“改密碼改到手軟”,在中關村上班的趙星不幸地成為了CSDN用戶泄密門的受害者,而他在人人網、網易郵箱、新浪微博、天涯社區……幾乎所有常用的網站用的都是同樣的ID和密碼,“密碼設成一樣就是想少點麻煩,現在卻成了最大的麻煩。”
趙星只是上千萬受害者中的一個,從本月21日CSDN用戶數據泄露后,天涯社區、開心網、多玩網、百合網、新浪微博等十幾家網站先后卷入其中,曬在網上的用戶信息條數已過億,成為中國互聯網史上最大規模的用戶信息泄露事件,而通過“泄密門”折射出的則是整個中國互聯網企業自身安全的脆弱和對用戶數據安全保護的輕視。
“泄密門”催火查詢網站
隨著天涯、騰訊QQ、新浪微博等互聯網公司先后卷入“泄密門”,無數網民不得不戰戰兢兢地問:“我的賬號安全么?”
網友們的集體憂慮,讓十余家“密碼外泄”查詢網站一夜大熱、流量暴漲,第三方查詢工具甚至成了網民“居家旅行必備佳品”。
提供泄露密碼查詢服務的網站,既有金山網絡這樣的安全企業,也有普通的個人開發者。個人開發者宓俊推出的檢測網站amihacked.mijun.net,訪問量在幾天時間里就由幾萬激增至幾百萬;金山網絡推出的“密碼泄露快速查詢”網站總查詢次數已超千萬,而隨著越來越多網站卷入“泄密門”,用戶查詢次數還在不斷上升。
即使不看這些數據,也能感受到檢測需求的旺盛。不少提供密碼泄露查詢的網站,需要反復提交多次請求才能返回結果。記者在amihacked.mijun.net上試圖對自己的賬戶進行檢測,但點擊了多次都顯示“服務器繁忙”。
在此次泄密事件中,很少有用戶能逃過一劫,尤其是老網民。面對網民們洶涌的查詢“熱情”,不少外泄密碼查詢網站也以調侃的方式奉勸用戶放棄僥幸心理,直接修改密碼。
一家查詢網站首頁甚至在醒目處寫著:“按照目前這個陣仗,你還是別查詢了,你只要在國內注冊過,你的密碼基本都被泄露了,直接改密碼吧。即使在這沒有查到,也不意味著你的賬號安全,因為我們的數據庫并不一定是最全的。”
明文密碼并非“禍首”
幾百萬、上千萬的用戶賬號和密碼,究竟是如何從網站“流出”的?
已承認用戶數據被盜的CSDN和天涯社區在對外說明中,除將矛頭指向攻擊網站的黑客外,都同時提及了“明文密碼”。CSDN和天涯社區在聲明中稱,因網站早期使用過明文密碼,所以導致用戶信息被盜。
“明文密碼就是不加密的密碼。”360網絡安全專家石曉虹說,最不安全的數據保存方式就是直接存儲明文,一旦數據庫泄露,黑客就可直接掌握所有的賬號和密碼信息,肆無忌憚地盜取用戶權益。這次“泄密門”之所以會涉及如此眾多用戶資料,密碼直接存儲明文只是誘因之一,更根本的原因是部分網站對于用戶賬號“重吸引輕保護”的態度。
隨著中國互聯網近年來快速發展,爭奪用戶成為每家網站迅速“長大”的重點。在風投資金的催化作用下,巨大的用戶量是網站吸引更多風投的資本。因此,網站紛紛簡化注冊過程,以擴充注冊用戶數為第一要務。但與吸引用戶時的“揮金如土”不同,很多網站在用戶數據安全保護上的投入卻是“錙銖必較”。
“小偷能偷到東西,不是因為我們把錢包放在了桌子上,而是因為家里的防盜門沒鎖。”一位業內人士的話一針見血地指出,“泄密門”并不是因為用戶密碼的保存方式,而是因為網站在信息安全保護上“偷工減料”。
“只有在國內排行前100的網站,才有專門的安全團隊,剩下的網站幾乎都是‘不設防’。”這位人士透露,互聯網公司建立自己的安全運維團隊資金投入量很大,比如大型B2C購物網站每年的安全投入可達千萬元級別,普通網站要想免于黑客攻擊每年也要付出幾十萬元的成本。但是目前,許多小公司的安全投入最多幾十萬元,有的只有幾萬元,甚至有的互聯網公司連基本的公司防火墻都沒有設置,黑客進出自由。
一些互聯網企業不重視用戶數據,是覺得安全對一個企業來說是要“花錢但不產生收入”的事情,即使用戶數據被盜,對企業來說也損失不大。因此,在安全防范方面投入非常少,即使在出事之后也不重視,而是想辦法遮掩。東方IC供圖
“泄密門”大事記
12月21日
知名程序員網站CSDN對外承認,因受黑客攻擊,約600萬用戶的數據信息被泄露,“泄密門”進入公眾視野。隨后,多玩、人人、貓撲、新浪微博、7K7K小游戲等十幾家網站先后卷入其中,當晚互聯網安全公司360、金山都發布數據稱,監測發現網上公開暴露的網絡賬戶密碼超過1億個。
12月22日
人人網、新浪微博公開否認用戶信息泄露,但建議與CSDN使用相同賬號和密碼的用戶盡快修改密碼。隨后起點、騰訊、開心等多家網站也發布公告,建議用戶修改密碼。
12月25日
天涯社區對外發布公告,同樣稱因黑客攻擊,網站用戶數據被盜。雖然網上貼出的數據庫文件中包含有超過4000萬的用戶賬號信息,但天涯表示實際被盜數目沒有4000萬。
12月26日凌晨
一份包含有476萬用戶賬號信息的數據庫文件被貼在網上,標注為新浪微博的用戶數據。新浪方面馬上發布澄清聲明,表示“新浪微博用戶賬號信息采用加密存儲,并未被盜”,網上所謂數據庫中的絕大部分信息是根據已有泄密信息“混搭”出來的。
延伸調查
千萬級用戶數據庫能賣幾百萬元
與網站對于用戶信息安全保護的冷漠態度相比,活躍于互聯網各個角落的黑客對用戶數據庫卻很有“熱情”。
一位黑客“圈里人”告訴記者,目前黑客行業最賺錢的營生主要有三種,分別是安放木馬、設置釣魚網站和盜取數據庫信息,相比于前兩項生意,市場上對于數據庫信息的需求更多。
黑客從網站盜取用戶信息庫后,會把這些用戶信息倒賣、分銷給黑公關或釣魚集團。前者利用這些用戶信息打擊競爭對手或發放垃圾廣告;后者則利用這些信息傳送木馬、病毒或發布詐騙信息,甚至直接在網上支付平臺自動批量發起交易,如果恰好試探出用戶泄露的密碼和網上支付密碼相同,支付賬戶中的余額就可能被黑客全部盜取。
“最多的時候,千萬級的用戶數據庫能賣幾百萬元。”這位黑客表示,從盜取到分銷再到獲利,“圈里”都有專人服務和特定的規則,早已成為“一條龍”產業。
同時,他還爆料,地方上一些小的團購網站手里也收集了大量用戶資料,隨著這些團購網站紛紛倒閉,這些用戶數據也成了“孤兒數據”,被放在網上公開叫賣,更為要命的是這些數據往往還都直接關聯著用戶的網銀賬戶和交易信息。
專家觀點
立法治理用戶數據監管缺位
面對還在持續發酵的“泄密門”,網友們正忙于修改自己的賬號密碼,而陷入其中的CSDN、天涯等網站卻在道了一聲歉后就此緘默。不少網友表示,數據是從網站泄露,網站應承擔責任,并進行一定的賠償,但又苦于拿不出相關證據和法律條文作支撐。
“目前法律對于普通用戶的信息安全保護還是一片空白。”社科院信息化研究所秘書長、互聯網專家姜奇平(微博)表示,除了國家相關機構有保密法外,對于企業的用戶數據保護并沒有相應的法律規定,甚至都沒有一套成型的行業準則,各家網站都是各自為政。在沒有一個權威第三方的監管之下,用戶數據安全目前處在一個“沒人管”的困局,因而這次“泄密門”中的受害用戶維權困難很大。
姜奇平認為,“泄密門”事件凸顯出個人信息時代法規的缺失。2005年時,立法部門就曾推動過個人信息保護法的立法進程,但一直未能正式出臺。此次“泄密門”給業界、網民和監管部門都提了個醒,讓大家認識到個人信息安全保護的重要性。他建議政府盡快立法,從權利保護、責任認定、責任追究和法律保障上對個人信息予以保護,將個人、網站和監管機構所應承擔的責任、義務厘清。
除此以外,姜奇平還建議以經濟手段來打擊黑客,徹底掐斷地下的用戶信息買賣黑市渠道 |
浙公網安備 33038102330897號