青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 中国2011大事记电子商务和政府网站用户资料泄漏 »

标本兼治方能关上“泄密门”

  日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,知名中文社区天涯网的4000万用户的登录名及密码也被公开泄露,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。(12月25日《新华网》)

  今年注定是互联网安全领域重要的一年,网络安全这个原本技术领域的小众话题一下子跃入大众的视野,天涯CSDN的泄密事件引发了大众对于泄露用户隐私事件的关注,而后各大网站的泄密数据库也纷纷在网络上传播,搞的业界鸡飞狗跳,用户忙着四处修改密码,网站忙着加强密保措施,而从这次泄密事件中也可以看出中国网络安全现状存忧。

个人密码安全策略

  泄密规模巨大

  此次事件是中国互联网至今为止最大规模的一次用户资料泄露事件,泄密用户数量高达五千万,除此之外,预计还有许多已被盗取但尚未被公开传播的泄密用户信息。

  今年以来,在全球范围内发生过多起泄密事件,今年4月索尼游戏主机网络平台遭黑客入侵,全球7700万用户的个人资料被窃取,包含姓名、住址、生日、登录名和密码、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,索尼5月份表示,攻击导致其损失了1.7亿美元。

  而已经实行网络实名制的韩国也发生过类似泄露事件,今年7月底,韩国多个知名门户网站遭黑客攻击,约3500万名用户的个人信息外泄,之后,韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。

  泄密的主要原因

  这次“泄密门”,是我国信息安全形势堪忧的一次集中写照。很多互联网企业,信息安全投入比例很低,对于网络安全没有足够的意识,只有少数大型网站以及网银支付网站采用较为安全的加密认证技术,而一些中小型网站以及部分大型网站都缺少防范意识。

  对用户密码进行加密存储,应该是商业网站的运营常识,像天涯和CSDN这样业界出名的大网站,竟然长期以明文方式保存用户密码,可见这些商业网站的安全意识是多么的淡薄,如果当初这些网站采用加密的方式保存密码,那么黑客也不可能如此轻而易举地获取到如此庞大的用户信息。

  因为商业网站的安全意识淡薄,使得黑客窃取网站数据库(刷库)成为最近几年非常流行的攻击方式,黑客刷库的危害已经远远超过了盗号木马。此次的大规模泄密,就是因为黑客入侵了各个目标网站,刷库获取了网民的账号密码数据。

  不过幸运的是,这次用户的个人隐私数据以及财务支付等信息并没有直接泄露。但是,由于许多网民为了方便,对于邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,一旦密码被泄露,很有可能导致网上支付等其他重要账号一并失窃,从而遭到更大程度的泄密以及财产损失。

  泄密的法律探讨

  为什么这么多大公司都采取明文保存密码?相关信息安全法律不健全是一个重要原因,对那些因为“泄密门”而遭受损失的网民来说,很难去追究互联网公司,这种状况,与一些国外企业相比,具有相当大的差距。

  例如早先的索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交的个人信息难以得到有效的保护,发生泄密事件后,个人权益无法得到保证,也没有明确的用户赔偿机制。所以,那些互联网企业也不愿意花费大量资金投入网络安全领域,从而给黑客留下了可乘之机。

  泄密的影响和危害

  这次事件中,天涯和CSDN等网站其实也是一个受害者,由于其疏于网站安全管理,缺乏安全意识,这次也尝到了恶果,其声誉遭到严重打击,网站的权威性会受到质疑,网站形象受到负面影响,在网民中的口碑下降。

  各大网站通过这次泄密门,已经充分感受到了网络安全和数据安全的重要性,因此将会投入不少精力到网站安全上,不过由于安全领域的专业性,将网站安全外包给专业的安全公司可能会是一个成本较低的选择,这也会给专门做网络安全的公司带来不少机会。

  用户通过这次泄密事件,会更加重视对自己个人信息保护,在互联网上注册信息时尽量不要留下过多个人真实信息,而对于目前正在推行的微博实名制,在目前愈演愈烈的泄密门影响下,众多网友都开始担心自己的真实身份资料可能会面临同样泄露的可能,而天涯这样的大型社区也出现泄密情况,这说明网友们的担忧并非空穴来风。即便微博实名制开始实施,也存在盗用他人的身份证号码进行注册的可能,可见目前中国实行实名制时机并不太成熟。

  亡羊补牢、为时未晚

  既然泄密事件已经发生,恐慌是没用的,用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。

  一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

  另一方面,网站要加大信息安全方面的投入,进行大规模的安全检查,切实保护好网友的个人信息,再也不要发生“明文保存密码”这样的低级错误。

  在监管方面,国家在网络安全方面的立法相对还较为滞后,对于个人隐私保护和泄密的法律有待完善,监管部门的技术落伍,难以对黑客这种盗取网站数据的行为进行威慑,因此迫切需要加快信息安全等方面的立法工作,提高信息安全监管部门的技术能力,加大对于黑客攻击行为的打击力度。对于那些疏于安全保护的商业网站,如果今后再次发生用户信息泄密事件,应该通过完善相关法律,追究网站的渎职之责。

  作者:月光博客 龙威廉,首发于 东方早报 2011-12-28



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2942.html
  • 文章排行:
  • 1.群众纷纷
  • 真的有人认为这些网站是故意要保存明文密码的,而不是在09年被要求提交一份“带用户名和密码的备份”吗
  • 2011/12/28 13:42:52   支持(32)反对(9) 回复
  • 2.SB
  • 说的很对啊。
    首发于东方早报。
  • 2011/12/30 9:18:05   支持(17)反对(11) 回复
  • 3.美国VPN
  • 帐号发送,要的速度。
  • 2011/12/28 14:16:46   支持(15)反对(10) 回复
  • 4.Tracy
  • 都是安全意识不够强,还是需要严格的法律保护才会有效果
  • 2011/12/29 11:43:47   支持(14)反对(9) 回复
  • 5.舰载迫击炮
  • 在天朝要治标还要治本……
    任重道远啊。。
  • 2011/12/29 12:57:46   支持(16)反对(11) 回复
  • 6.马布里
  • 大家可以趁这次的机会提高自己的密码安全等级
  • 2011/12/28 13:36:41   支持(14)反对(10) 回复
  • 7.jichi
  • 绑定不绑定哪里这么困难?米国这么多网上银行从来都是密码登陆,支付只要卡号,也么见出国什么问题,哪里要什么u盾这么麻烦。

    网站被黑是难免的。以前索尼PSN不是照样被黑瘫痪导致用户信息泄露。但是只要给密码之类的重要信息加个密就不会这么严重。天朝这么多大网站竟然都是明文存储密码真是匪夷所思。
    国内网站大多山寨或直接用国外软件。自己用过很多开源的jsp和php源码,从来没见过不给密码加密的,源码默认都是暗文存储,除非是架站的人刻意为止改成明文。

    另一个不可解的地方是为什么受害的都是天朝的各不相干的网站?网站的软件系统都各不相同怎么会同时泄露。

    好吧,我是阴谋论的支持者,还是点到为止。
  • 2011/12/28 18:23:36   支持(15)反对(12) 回复
  • 8.朱定聪
  • 0-0 结合QQ一键登录就简单多了。
    龙在燕山 于 2011-12-28 18:31:11 回复
    那QQ被盗了呢 那会儿岂不是死的更惨吗
  • 2011/12/28 18:28:55   支持(13)反对(10) 回复
  • 9.caoliushequ
  • 重要网站密码一定要字母,数字,符号,大小写,一起来啊
  • 2011/12/28 21:26:56   支持(15)反对(12) 回复
  • 10.泥水匠
  • 以后要注意密码的安全问题了。
  • 2011/12/28 22:00:22   支持(13)反对(10) 回复
  • 11.钻铣床
  • 一看到明文存储我就笑了,现在随便拉出个站长都会用暗文的
    重庆长峰医院 于 2011-12-29 10:14:43 回复
    网上下的源码什么的,从来就没看见是明文的,至少都是MD5的
  • 2011/12/29 8:43:08   支持(12)反对(9) 回复
  • 12.wanrr
  • 唉,中国的网络发展还有很多有待健全啊
  • 2011/12/30 9:29:32   支持(12)反对(9) 回复
  • 14.月鹏红星
  • 方便的代价就是不安全。所谓安全,就是避免被拷贝,而拷贝,是计算机很基本的功能;即使被限制了,眼睛看过了,大脑记住了,同样是可以被拷贝的。所以,没有绝对的安全,只有更安全。有什么办法呢?!鱼与熊掌不可兼得。照顾到两方面,恰到好处就行了。呵呵呵!
  • 2011/12/28 15:08:37   支持(9)反对(7) 回复
  • 15.软旭科技
  • 软旭KYW整体内网安全解决方案,特别采用了模块化设计,包含了日志监控、上网行为管理、网络维护、透明加解密、离线管理、、外发管理、硬件资产管理、邮件管理、聊天工具管理、用户授权管理等13大子系统,能使得内网安全的诸多隐患得到全面的管理和监控,实时监测内网的运行,洞察客户端的一举一动;使数据更加安全。
  • 2012/5/26 16:31:21   支持(11)反对(9) 回复
  • 16.trping
  • 安全问题一直是很重要的啊!
  • 2011/12/28 14:03:59   支持(14)反对(13) 回复
  • 17.土狼妹妹
  • 我的微博密码被盗了,很少用了,今后要注意了。
  • 2011/12/28 18:01:00   支持(10)反对(9) 回复
  • 18.龙在燕山
  • 网民安全自律很容易做到 毕竟事关切身利益
    但是网站运营商就没那么容易了吧 他们只关心金钱利润 一旦出了安全事故 完全可以按照现行司法规定全盘推卸给黑客和用户
    在国内 公民隐私权并没有国外那么值钱 司法缺乏保护 这么一来 泄露隐私的网站得不到严惩 也就没了进取心 其实暴库的事并不影响他们的收益 因为已经是垄断格局了
  • 2011/12/28 18:28:52   支持(9)反对(8) 回复
  • 19.saintsky
  • 这次事件弄得大家都好紧张啊
  • 2011/12/28 22:02:53   支持(11)反对(10) 回复
  • 20.广交会信息网
  • 唉,中国的悲哀啊,真的泄漏那么多吗?还是炒作的呢?
  • 2011/12/30 11:46:14   支持(14)反对(13) 回复
  • 21.缤纷涯
  • 在我们这样的环境里面,技术是不被重视的,只有利益与关系才能压倒一切。
  • 2011/12/28 13:26:48   支持(11)反对(11) 回复
  • 22.编程入门
  • 这次比较靠前。呵呵。明文密码对csdn这样技术人才云集的地方真的是太离谱了。后面又不断的有新的网站爆出泄露,希望各大网站对用户的隐私切实的维护,否则会对声誉造成很大影响。
  • 2011/12/28 13:27:02   支持(10)反对(10) 回复
  • 23.爱训练
  • 技术因此而升级,塞翁失马焉知非福啊
  • 2011/12/28 14:04:35   支持(15)反对(15) 回复
  • 24.小笨鱼
  • 从此以后大家都把密码等级升高了。
  • 2011/12/28 14:17:53   支持(12)反对(12) 回复
  • 25.繁体字网
  • 个人信息安全将成为下一阶段一个互联网发展的重点应用领域。
  • 2011/12/29 9:00:14   支持(11)反对(11) 回复
  • 26.BNC转VGA
  • 网络安全和信息安全的机制建立迫在眉睫。
  • 2011/12/29 15:34:41   支持(11)反对(11) 回复
  • 27.高清硬盘播放器
  • 国外都取消实名制了··
  • 2011/12/31 1:09:19   支持(11)反对(11) 回复
  • 28.武林外史
  • 加关注楼~楼主网站不错哦
  • 2012/12/2 21:23:15   支持(10)反对(10) 回复
  • 29.香港自由行
  • 下载了CSDN的泄漏库,发现自己的帐号、密码和邮箱就在上面。亏了我设置了那么长的密码呢。气死我了
  • 2011/12/28 22:33:19   支持(11)反对(12) 回复
  • 30.就爱不粘锅
  • 不错,还有,平常我们更需要注意类似支付宝,或财付通,网银等涉及到个人财产的账户
  • 2011/12/29 11:05:24   支持(12)反对(13) 回复
  • 33.加强内网安全保护

  • 企业内网安全防泄密软件,IP-guard三重保护包括:

    第一重:详尽细致的操作审计

    • 重要文档的访问、修改、删除、转移、外发、打印等所有操作都能够一一记录,从而文档的使用和传播都有据可查;
    • 还能够在重要文档被修改、删除前,打印和外发时进行备份,让安全审计更深入细节,同时降低重要文档被篡改甚至删除带来的损失。


    第二重:全面周详的操作授权

    • IP-guard能够对可能存在泄密隐患的所有环节进行管控:修改、删除等文档操作,U盘、打印、刻录等设备的使用,QQ、MSN、邮件等网络沟通,重要文档不再能轻易“看得到、改得了、发得出、带得走”;
    • IP-guard对于出差、在家办公和电脑出现故障无法正常开机等特殊情况也有周详的考虑,离线状态和安全模式下所有管控依然生效。一切意料之外,皆在防范之中。


    第三重:强大稳定的透明加密

    • IP-guard能够在不改变用户操作习惯的情况下对重要文档进行自动透明加密,最大限度保护文档安全,即使文档不慎丢失或外泄,依然处于IP-guard的护卫之下;
    • IP-guard还有移动存储加密功能,可对重要文档加密,也可对U盘整盘加密,满足企业对于便捷性和安全性的双重要求。
    QQ:443681063
  • 2012/2/3 13:57:17   支持(11)反对(12) 回复
  • 34.无语
  • 没用的,像discuz那个论坛,还要把自己身份证号码还有真实姓名,住址……几乎能够填写的都填写。真的看到那个填写的就发寒,真不知道为什么要填写那么多,个人隐私如何安全?discuz更是容易泄露自己的身份信息。
    路人甲 于 2012-1-11 13:48:08 回复
    可以乱写
  • 2011/12/28 13:08:30   支持(9)反对(11) 回复
  • 35.晨露博客
  • 这个需要过硬的技术了。。
  • 2011/12/28 22:30:21   支持(10)反对(12) 回复
  • 36.天津抄板技术
  • 一看到明文存储我就笑了,现在随便拉出个站长都会用暗文的
  • 2011/12/29 9:34:09   支持(7)反对(10) 回复
  • 37.马丁靴
  • 连weibo也不能幸免,怀疑起因于微博实名制,遭致海外黑客挑衅
  • 2011/12/28 15:17:07   支持(12)反对(16) 回复
  • 38.老姚
  • 我说百度特地发信息我,原来是这么回事。
  • 2011/12/29 8:39:23   支持(7)反对(11) 回复
  • 39.衣家人
  • 今天用了那个安全保测试了一下 不知道准不准 呵呵 反正测试已经说我的一个账号泄露了
  • 2011/12/29 9:49:27   支持(15)反对(19) 回复
  • 40.mn
  • 还是人人实名制好,这样,也就不存在什么其他问题了。
  • 2011/12/28 16:00:52   支持(10)反对(15) 回复
  • 41.叶左左
  • USB KEY好像很重要,黑客太厉害了。
  • 2011/12/28 13:35:58   支持(10)反对(16) 回复
  • 42.jo
  • 很多网站使用合作,QQ登录,这个是否安全。会不会泄露QQ密码。
  • 2011/12/28 16:08:41   支持(6)反对(12) 回复
  • 43.嘀嗒声声博客
  • 必须加强安全防范。
  • 2011/12/29 6:36:33   支持(13)反对(19) 回复
  • 44.黄大双
  • 密码问题一直是历史遗留问题
  • 2011/12/29 8:18:01   支持(7)反对(14) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.