企业视频展播区
  • 新闻中心

    “密码危机”后,“泄密门”是如何关上的

    发表时间:2012-1-6  [打印]

    一方面,“泄密门”暴露了部分网民安全意识的薄弱;另一方面,人们也讶异:本应被极为妥善保管的用户密码怎会如此不堪黑客一击?在鱼龙混杂的互联网领域,是否应当设立一定的安全运营条件?对这类事件又是否建立起合理的追责机制?

    沸沸扬扬的危机之后,恐怕如何关上“泄密门”,建立起与我国互联网发展相适应的信息安全保障体系,才是更值得我们追问的。

    “我的QQ被黑,请忽略一切借钱、充值、求助请求”

    前两天,彭先生发现自己的QQ账号被盗,以最快的速度将QQ签名更改为“我的QQ被黑,请忽略一切借钱、充值、求助请求”,可事后他得知,还是有两位朋友误以为他更换了手机号码,一时无法充值,分别给盗号者提供的手机号充了100元话费。虽说数目不大,但彭先生仍然觉得愤慨:“网站本应极为妥善保管用户的密码,怎么会说被盗就被盗了呢?”

    不止彭先生,在过去的两周内,包括国内最大的程序员网站CSDN、天涯社区等在内的数家网站,共有超过1亿个账户密码在网上公开暴露。这场“密码危机”造成的后果仍在蔓延,“我的QQ被黑”“我的微博账号被盗”“我的天涯账号不能上了”……不断有网民以各种方式诉说着密码被盗的郁闷经历,被盗走的账号纷纷成为群发广告信息、散播诈骗消息的媒介。一些网民由于将被暴露的密码同样用作邮箱登录密码、网银支付密码,引来的连锁麻烦更甚。

    明文密码惹祸,密文密码就万无一失?

    “泄密门”发生后,天涯和CSDN均表示,被泄露的数据库是截至2009年用于备份的用户信息,并非最新的用户数据。这些数据在黑客产业圈中已被“洗”到没什么价值了,但这次的密集曝光至少证实了网络安全行业历年来的安全警告并非空穴来风。

    360网络安全专家石晓虹解释,此番密码遭泄露“都是明文密码惹的祸”。所谓明文密码就是没有隐藏、显而易见的密码,采用这种数据保存方式的网站将用户输入的密码不经过任何加密,直接存储到数据库中。这是最不安全的数据保存方式,一旦数据库泄露,所有密码一览无余。石晓虹指出,有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,近期被黑客公开的密码数据库大多属于此类情况。

    与明文密码相对的是暗码或称密文密码,指的是系统收到用户的密码后,通过某种加密算法进行编译,并对编译结果进行保存。假设用户设置的密码为12345,明文密码在数据库中直接显示为12345,暗码则显示编译后的*****。如果只知*****而不知解码规则,就很难翻译出12345。

    目前大部分网站的密码数据库是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。有业内人士指出,这样的暗码保存也并非万无一失,两个不同的密码可能会生成相同的哈希值,黑客仍可利用这个漏洞继续窃取暗码数据库的信息。

    黑客盗取用户信息的根本目的是倒卖信息、谋取利益

    为何会有黑客如此孜孜不倦地盗取网站的用户信息?当然不是为了耍酷,其根本目的是倒卖信息、谋取利益。目前,一条倒卖用户信息的灰色产业链已经形成。

    首先,一些企业为了在竞争中获得有利地位,不惜高价收买对手的数据资料。中国政法大学知识产权研究中心特约研究员、知名网络法律人士赵占领表示,在数以亿计的用户面前,蕴藏的巨大商业利益可能会让互联网服务的提供者铤而走险;用户在电子商务网站的浏览痕迹、消费记录、个人信息等,对电子商务企业来说都是宝贵的数据。

    其次,一些不法分子企图通过巨额收买用户信息以进行垃圾广告、垃圾邮件的定向发布,甚至实施诈骗行为。如今,通过用户的地理位置信息或者兴趣信息,产生巨大的商业利益似乎已经成为互联网行业不成文的“行规”。这些都给了黑客以生存的土壤,也正是一买一卖之间的市场需求,形成了网络上用户个人信息频遭泄露的恶性循环。

    利益的诱惑加上技术的漏洞,已使得互联网用户数据安全尴尬频现。

    缺乏法律约束,网站仅一声道歉了事

    在数据安全的尴尬中,我国互联网产业却在迅速发展,争夺用户一直是各大网站快速壮大的重点。简化的注册程序吸引了海量用户,而同样简化的数据保护措施恰恰为黑客提供了方便。

    许多网站在前期根本就没有重视客户信息的保密工作,先发展后治理成为了行业的一种通病。一些小的团购网站采取各种手法收集大量用户资料,但过不多久,网站因为各种原因倒闭,用户数据成为“孤儿数据”。网站“健在”时都无心保障数据安全,倒闭后的情形可想而知。

    不过,这些仅是造成用户信息泄露的主观因素,客观上,互联网产业信息安全监管的滞后难辞其咎。目前,对于用户数据我国尚没有统一的安全标准,也没有第三方机构监管。虽然2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,已对商业网站或其内部人员恶意泄露用户信息牟利的行为作出了相关刑责规定,亦有现实案例,但专门针对信息安全监管的法律,目前仅有一部2004年颁布的《电子签名法》。

    正是由于缺乏相应的法律约束,即使数千万用户信息轻易被盗,网站也仅一声道歉了事,种种损失都要普通用户自行承担。如此这般,“泄密门”能关得上吗?

    链接

    万不可“一码走天下”

    此次“泄密门”虽泄露的是旧数据库信息,但仍波及深远,其中一个原因是部分网民常年使用相同的密码,一些网民为了图省事,还使用相同的邮箱、密码注册大量社区网站,甚至有些网民还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。

    这种“一码走天下”的方式看似省事,但只要有任何一个注册过的网站发生用户资料外泄,不法分子就可能利用其中的账号、密码资料去别的网站进行试探登录,获取用户的个人资料、隐私信息,导致用户的数字资产或实际资产损失。
    更多