近日,国内最大的开发者技术社区CSDN600余万个用户邮箱账号和密码被泄露,引发网络安全集体恐慌。此后不久,天涯论坛、新浪微博、人人网、开心网……众多知名网站相继陷入“密码疑云”。
被认为是迄今为止“中国互联网史上最大信息泄露事件”的此次危机,拉响了互联网公司信息安全的红色警报。你我的网络信息安全谁该负责?能否筑起更多“防线”?记者就此展开调查。
知名网站集体卷入“密码疑云”
针对近期发生的一些网站用户信息泄露事件,12月28日,工信部发布通告称,信息泄露严重侵害了互联网用户的合法权益,危害互联网安全,工信部对窃取和泄露用户信息的行为表示强烈谴责。同时要求各互联网站开展全面的安全自查。
有专家认为,此次事件是迄今为止“中国互联网史上最大信息泄露事件”。它起源于开发者技术社区CSDN的密码泄露:
12月21日, CSDN的大量用户数据库被公布在互联网上,600多万个注册邮箱和与之相应的明文密码被曝光。
当日,CSDN发表公开信致歉,表示将进一步加强网站安全性和用户账号信息的安全性。
用户信息泄露事件继续扩大,更多网站卷入其中。12月22日,人人网、天涯 、多玩、7K7K等多家知名网站被曝用户数据泄露。但人人网随后否认密码泄露,称“人人网自建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露。”
12月26日,天涯发布致歉信,称部分用户隐私也遭到黑客泄露。天涯在致歉信中称,天涯社区早期使用过明文密码。此次遭到黑客泄露的用户是2009年11月升级密码保存方式之前所注册的用户。
12月27日,京东商城被乌云漏洞报告平台曝出发现漏洞,导致用户资料泄露。28日,京东商城表示,对自身安全系统再次进行了全面检查,但并未发现相关安全漏洞的存在,也没有发现数据泄露情况。
新浪微博用户密码亦疑遭泄露。根据网友提供的信息,泄露文件显示的用户数据涉及4765896名微博用户。新浪公司很快对此予以否认,并紧急提醒用户进行账号安全设置。
杜绝泄露不能完全依赖技术
此次泄露事件波及甚广,引发广泛关注。
有专家指出,互联网用户账号、密码信息被盗现象在全球范围内屡有发生。今年4月份,日本索尼公司约1亿个PlayStation Network网络账户曾遭到黑客攻击,该公司被迫关闭PlayStation Network近1个月时间,曾引起全球高度关注。在国内,黑客利用网站服务器的安全漏洞侵入,盗取用户数据库等信息,然后私下进行传播、倒卖,已形成“灰色产业链”。
瑞星安全专家王占涛则表示,网站用户数据泄露的情况,很多可能是黑客用来练手的,并不会贩卖用户数据,因为有些数据并无贩卖价值,而且,如果不是专业贩卖数据者,很难找到买家。此次“不知道为什么,有人在迅雷上放出CSDN的密码库”。
王占涛表示,目前,我国并没有相关法律规定要求网站一定要对密码进行加密。虽然密码加密后也有可能被破译,但不加密让安全防线更加薄弱。像天涯这样的网站,不涉及财物安全,用户密码泄露虽然没有什么太实际的危害,但是如果被人利用,也是很麻烦的。
王占涛说,单从技术上保障安全是不可能的,因为即使再先进的技术,也可能存在漏洞,因此,要以好的流程设计来加强安全保障。网上银行、支付宝等,通常采用短信验证、U盾、转账或支付金额限制等方法增强安全性。有了这样的保障,即使账号和密码被人获取,也不一定能登录网银或转走账户中的钱。
他认为,有些公司可能未意识到安全的重要性,对流程设计不够重视。他强调,尽管密码加密之后可能会被破解,但如果在安全方面给予更多重视,加大投入,找好的安全团队,情况应该会好很多。
针对一些网站要求用户注意修改密码、保障账户安全,王占涛强调,用户只是其中的一个环节,只要求用户是不现实的。从CSDN外泄的密码来看,有很多密码都达到十几位的长度,而且是字母、符号和数字的组合,说明很多用户已经在力所能及的范围内做得很好。网络公司应当“告诉用户,我是怎么保护你的密码的,以获得用户的信任”。
互联网公司需承担泄露主要责任
目前,“虚拟”的互联网向现实生活渗透越来越多,成为了越来越实体化的存在。而互联网用户的个人信息,附加着经济价值和商业开发潜力,显得愈发重要。
中国社科院信息化研究中心秘书长、《互联网周刊》主编姜奇平说,此次密码泄露事件,凸显了安全问题的严重性。首先从国家的层面,要提高对信息安全的认识,信息安全面临着全球性的挑战,应由国家成立信息战的高层机构,投入大量精力,从战略层面提高对信息安全的保障力度。姜奇平认为,要加紧制定相关法律,如信息安全法,从法律上对如何加强防范等问题进行一定的规范。对用户的保护,要有法可依。
互联网研究者方兴东也认为,在商业网站的用户信息保障方面,政府应出台一定的规范。
同时,作为信息服务产业,信息安全产业需要发展壮大。姜奇平认为,安全问题最主要的是管理问题。此次泄露事件暴露出一些网站安全措施不到位,说明是管理制度和程序的问题。
上海泛洋律师事务所高级合伙人刘春泉分析,互联网公司需要承担用户数据信息泄密的主要责任。“互联网公司首先必须做好员工管理工作,坚决杜绝内部员工主动泄密的情形,刑法修正案加入‘非法获取公民个人信息罪’,对此能起到一些警示作用。其次则是要做好用户信息数据的安全防护工作,包括技术的投入和数据的管理,提升数据保密的层级。”
找紧固件,买紧固件,卖紧固件,就上88号五金门户网请认准网址(www.bshib.com)