【案例重現(xiàn)】
2011年12月下旬,大陸互聯(lián)網(wǎng)史上最大規(guī)模的一次用戶資料洩漏事件集中爆發(fā),多家網(wǎng)路安全機(jī)構(gòu)發(fā)佈紅色預(yù)警稱,CSDN、人人網(wǎng)、貓撲、178遊戲網(wǎng)等多家互聯(lián)網(wǎng)站遭駭客惡意公開資料庫。鑒於目前已有超過5000萬個(gè)用戶帳號(hào)和密碼在網(wǎng)上公開擴(kuò)散,特別是部分線民習(xí)慣為郵箱、微博、遊戲、網(wǎng)上支付、購物等帳號(hào)設(shè)置相同的密碼,呼籲廣大線民盡快修改重要帳號(hào)的密碼,而上述被捲入洩密風(fēng)波的網(wǎng)站也已向用戶敲響警鐘。
在CSDN.NET和天涯傳出密碼流出之後,很多網(wǎng)友表示「改密碼改到手軟」,然而網(wǎng)站方面,真誠反思整改者有,渾水摸魚、以鄰為壑者也有。
有專家揭露,此次被公開的資料庫,其實(shí)只是部分早就洩露、在駭客交易市場流傳很久的老舊資料庫,駭客實(shí)際掌握的資料庫遠(yuǎn)不止於此。網(wǎng)路公司早知資料庫被盜,現(xiàn)在才道歉和採取措施,足見用戶利益在其心中的位置之低。
在這個(gè)資訊世紀(jì),資訊已主導(dǎo)著人們的整個(gè)生活及社會(huì)的整個(gè)生產(chǎn)運(yùn)轉(zhuǎn),如何保障資訊的安全成為全社會(huì)全人類應(yīng)該深索的課題。
「密碼危機(jī)」
聞之色變
這場令人聞之色變的「密碼危機(jī)」,源於2011年12月21日。當(dāng)天上午,有駭客在網(wǎng)上公開了開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫,包括600餘萬個(gè)註冊(cè)郵箱帳號(hào)和與之對(duì)應(yīng)的明文密碼,在業(yè)界引發(fā)軒然大波。
CSDN通過微博緊急回應(yīng)稱,目前洩密原因尚未查明,已向公安機(jī)關(guān)報(bào)案,公安機(jī)關(guān)也正在調(diào)查相關(guān)線索。同時(shí),CSDN也已經(jīng)對(duì)現(xiàn)有2000萬註冊(cè)用戶的帳號(hào)密碼資料庫全部採取了密文保護(hù)和備份。
這場風(fēng)波的蝴蝶效應(yīng)第二天就立即顯現(xiàn)。12月22日,人人網(wǎng)、178遊戲網(wǎng)等5家網(wǎng)站用戶數(shù)據(jù)庫又相繼被公開,以打包壓縮文件的形式放在網(wǎng)盤中公然供人下載,幾百萬用戶的帳號(hào)密碼在其中一覽無遺,這讓不少用戶感到如坐針氈。隨後,更有貓撲等數(shù)十家大型網(wǎng)站被曝已經(jīng)遭駭客「爆庫」,面臨同樣的命運(yùn)。
金山毒霸也於12月22日發(fā)佈了紅色預(yù)警,其負(fù)責(zé)人表示,此次有多達(dá)千萬用戶資料被洩露,其中不乏一些名人的資料,是大陸互聯(lián)網(wǎng)史上最大規(guī)模的一次用戶資料洩露事件。
3天後「洩密門」再度升級(jí),大陸最早的社交網(wǎng)站天涯社區(qū)也「慘遭毒手」,據(jù)知情人士透露,4000萬用戶密碼全部洩露。洩密事件發(fā)生後,天涯社區(qū)發(fā)佈《針對(duì)用戶數(shù)據(jù)外泄的聲明》和《對(duì)用戶的致歉信》。天涯社區(qū)在道歉信中承認(rèn)用戶資料已洩露,稱「近日由於遭受駭客攻擊,有多家網(wǎng)站的部分用戶數(shù)據(jù)庫外泄,天涯也是受害網(wǎng)站之一」。
蝴蝶效應(yīng)
源於駭客「拖庫」
究竟駭客是如何順滕摸瓜竊得如此多大網(wǎng)站密碼的?360專家石曉虹分析稱,一家網(wǎng)站伺服器被駭客攻破,成百上千萬用戶的常用郵箱和密碼洩露後,很容易導(dǎo)致網(wǎng)上支付等其他重要帳號(hào)也一併失竊。此前爆發(fā)的微博、MSN大面積盜號(hào)事件,其攻擊方式均為駭客「拖庫」後試探盜號(hào)的?!改壳?,駭客竊取網(wǎng)站資料庫的危害已遠(yuǎn)遠(yuǎn)超過盜號(hào)木馬?!?/p>
為了便於記憶,大部分用戶存在一個(gè)密碼(多是密文、部分網(wǎng)站是明文)通行多個(gè)網(wǎng)站的習(xí)慣,甚至使用相同的郵箱註冊(cè)不同網(wǎng)路服務(wù),並且使用完全一樣的登錄密碼,這就好比用一把鑰匙就能打開所有的門。因此駭客們只要拿到一個(gè)網(wǎng)站的用戶資料,就可以打開大多數(shù)其他網(wǎng)站的服務(wù),這使得本次洩露事件的危害性進(jìn)一步擴(kuò)大。
已被證實(shí)的是,駭客並沒有入侵用戶本地的電腦,此事件和用戶電腦本身的安全無關(guān),完全是與網(wǎng)站對(duì)於用戶的個(gè)人資訊安全保護(hù)不善而導(dǎo)致。
「如果您的人人網(wǎng)帳號(hào)密碼和CSDN或其他網(wǎng)站一致,建議您馬上修改密碼,以免帳號(hào)被盜?!谷巳司W(wǎng)官方微博發(fā)表聲明稱。不過,人人網(wǎng)方面並未打算對(duì)此事承擔(dān)任何責(zé)任。其官方稱,人人網(wǎng)從上線開始就沒有記錄明文密碼,不存在過錯(cuò),受影響的用戶均因在CSDN或者其他論壇等使用相同帳號(hào)密碼。開心網(wǎng)亦已向用戶群發(fā)郵件,警告稱近日互聯(lián)網(wǎng)進(jìn)入了安全事故的高發(fā)期,坦言「經(jīng)常更換密碼對(duì)於您的帳戶安全非常重要」。
工信部要求網(wǎng)站自查
網(wǎng)路安全不容小視
為幫助用戶找回已被盜帳戶,天涯社區(qū)在公告中稱,可使用取回密碼功能,通過註冊(cè)郵箱、認(rèn)證手機(jī)或申訴的方式取回被盜密碼;或者撥打其客服電話,由工作人員進(jìn)行驗(yàn)證之後取回帳戶密碼。
對(duì)於此補(bǔ)救措施網(wǎng)路安全專家表示,各遭洩密的互聯(lián)網(wǎng)企業(yè)可互相作為借鑒;同時(shí),專家也指出,各大網(wǎng)站基本都推出了用戶帳戶體系,多數(shù)線民也會(huì)在各網(wǎng)站留下註冊(cè)資訊和即時(shí)資訊,當(dāng)駭客越來越習(xí)慣從公司後臺(tái)下手竊取用戶資料,保障資訊安全的挑戰(zhàn)越來越大,建議線民及時(shí)修改被疑洩密網(wǎng)站的登錄密碼等個(gè)人資料。專家建議,用戶應(yīng)設(shè)置較為複雜的密碼,且在不同網(wǎng)站盡量採用不同的註冊(cè)資訊,以免發(fā)生連鎖被盜事件。
而針對(duì)此次互聯(lián)網(wǎng)站資訊大規(guī)模洩露事件,工信部發(fā)佈通告,強(qiáng)烈譴責(zé)竊取和洩露用戶資訊行為,並展開調(diào)查。工信部要求,發(fā)生用戶資訊洩露的網(wǎng)站要做好善後工作,盡快通過網(wǎng)站公告、電子郵件、電話、短信等方式向用戶發(fā)出警示,提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼;未發(fā)生用戶資訊洩露的網(wǎng)站,要加強(qiáng)安全監(jiān)測,必要時(shí)提醒用戶修改密碼;同時(shí)提醒廣大互聯(lián)網(wǎng)用戶,密切關(guān)注相關(guān)網(wǎng)站發(fā)佈的公告,並根據(jù)網(wǎng)站安全提示修改密碼,提高密碼的安全強(qiáng)度並定期修改。
「洩密門」倒逼互聯(lián)網(wǎng)
重建行業(yè)倫理
洩密事件發(fā)生後,一些網(wǎng)站借機(jī)渾水摸魚,打起了那些「裸奔」用戶的主意,「有些網(wǎng)站把公開庫的數(shù)據(jù)直接導(dǎo)入自己的用戶庫,也發(fā)通知給用戶更改密碼,來獲取用戶」;更有一些「灌水」公司,居然拿被竊用戶的帳號(hào)去發(fā)「水帖」,刷「僵屍粉」;而一些存在競爭關(guān)係的公司,則互相指責(zé)抹黑對(duì)方。
此次洩密事件很大程度上源於「人禍」——一些網(wǎng)站為了商業(yè)利益,而犧牲用戶的利益。比如,對(duì)用戶密碼進(jìn)行加密存儲(chǔ),應(yīng)是商業(yè)網(wǎng)站的運(yùn)營常識(shí),然而,為了方便操作、節(jié)省成本,一些網(wǎng)站竟長期使用明文密碼,以至輕易遭竊;再如,用戶註冊(cè)時(shí)禁用簡單密碼的網(wǎng)站並不普遍,有的網(wǎng)站不設(shè)置密保提問,甚至連驗(yàn)證碼也沒有。
其實(shí),實(shí)現(xiàn)上述操作並不難,要的只是一個(gè)將用戶利益放在首位的理念而已。對(duì)於已遭洩密的網(wǎng)站,要盡快通過各種方式提醒用戶修改密碼;對(duì)於倖免的網(wǎng)站,則要加強(qiáng)安全監(jiān)測,盡快升級(jí)硬體,提升反洩密能力。
如今,電子商務(wù)、線上支付、移動(dòng)支付等網(wǎng)路手段越來越重要,如果洩密擴(kuò)大,帶來的恐怕將不僅是心理上的恐慌,更是經(jīng)濟(jì)上的重創(chuàng)。從此角度講,對(duì)網(wǎng)企來說,保護(hù)用戶就是保護(hù)自己;對(duì)政府來說,維護(hù)健康的互聯(lián)網(wǎng)行業(yè),也是在維護(hù)健康的經(jīng)濟(jì)。
那麼,就此次洩密事件看,工信部僅僅譴責(zé)和要求恐怕還不夠,還應(yīng)及時(shí)出臺(tái)更具體切實(shí)的舉措及行業(yè)條例,推進(jìn)相關(guān)立法,明確各方保護(hù)互聯(lián)網(wǎng)個(gè)人資訊的責(zé)任,用法律逼迫網(wǎng)站安全技術(shù)升級(jí);同時(shí)也應(yīng)讓那些不負(fù)責(zé)任的網(wǎng)站,依法受到懲罰。
大陸關(guān)於個(gè)人資訊保護(hù)的首個(gè)國家標(biāo)準(zhǔn)仍在制定階段。而現(xiàn)階段,網(wǎng)路漏洞的監(jiān)控與管理仍需靠電商網(wǎng)站、互聯(lián)網(wǎng)企的自覺。如果說此次洩密事件也能「壞事變好事」的話,那就是將網(wǎng)企漠視用戶資訊安全的短板徹底暴露出來,倒逼網(wǎng)企重建行業(yè)倫理,將保護(hù)用戶的資訊安全權(quán)作為基本生存準(zhǔn)則。
為了便於記憶,大部分用戶存在一個(gè)密碼(多是密文、部分網(wǎng)站是明文)通行多個(gè)網(wǎng)站的習(xí)慣,甚至使用相同的郵箱註冊(cè)不同網(wǎng)路服務(wù),並且使用完全一樣的登錄密碼,這就好比用一把鑰匙就能打開所有的門。