热搜
您的位置:首页 >> 体育

明文密码并非祸首泄密门催火查询网站

2019年05月17日 栏目:体育

本报 孙超逸改密码改到手软,在中关村上班的赵星不幸地成为了CSDN用户泄密门的受害者,而他在人人、易邮箱、新浪微博、天涯社区几乎所有常用

本报 孙超逸

改密码改到手软,在中关村上班的赵星不幸地成为了CSDN用户泄密门的受害者,而他在人人、易邮箱、新浪微博、天涯社区几乎所有常用的站用的都是同样的ID和密码,密码设成一样就是想少点麻烦,现在却成了的麻烦。

赵星只是上千万受害者中的一个,从本月21日CSDN用户数据泄露后,天涯社区、开心、多玩、百合、新浪微博等十几家站先后卷入其中,晒在上的用户信息条数已过亿,成为中国互联史上规模的用户信息泄露事件,而通过泄密门折射出的则是整个中国互联企业自身安全的脆弱和对用户数据安全保护的轻视。

泄密门催火查询站

随着天涯、腾讯、新浪微博等互联公司先后卷入泄密门,无数民不得不战战兢兢地问:我的账号安全么?

友们的集体忧虑,让十余家密码外泄查询站一夜大热、流量暴涨,第三方查询工具甚至成了民居家旅行必备佳品。

提供泄露密码查询服务的站,既有金山络这样的安全企业,也有普通的个人开发者。个人开发者宓俊推出的检测站,访问量在几天时间里就由几万激增至几百万;金山络推出的密码泄露快速查询站总查询次数已超千万,而随着越来越多站卷入泄密门,用户查询次数还在不断上升。

即使不看这些数据,也能感受到检测需求的旺盛。不少提供密码泄露查询的站,需要反复提交多次请求才能返回结果。在上试图对自己的账户进行检测,但点击了多次都显示服务器繁忙。

在此次泄密事件中,很少有用户能逃过一劫,尤其是老民。面对民们汹涌的查询热情,不少外泄密码查询站也以调侃的方式奉劝用户放弃侥幸心理,直接修改密码。

一家查询站首页甚至在醒目处写着:按照目前这个阵仗,你还是别查询了,你只要在国内注册过,你的密码基本都被泄露了,直接改密码吧。即使在这没有查到,也不意味着你的账号安全,因为我们的数据库并不一定是全的。

明文密码并非祸首

几百万、上千万的用户账号和密码,究竟是如何从站流出的?

已承认用户数据被盗的CSDN和天涯社区在对外说明中,除将矛头指向攻击站的黑客外,都同时提及了明文密码。CSDN和天涯社区在声明中称,因站早期使用过明文密码,所以导致用户信息被盗。

明文密码就是不加密的密码。360络安全专家石晓虹说,不安全的数据保存方式就是直接存储明文,一旦数据库泄露,黑客就可直接掌握所有的账号和密码信息,肆无忌惮地盗取用户权益。这次泄密门之所以会涉及如此众多用户资料,密码直接存储明文只是诱因之一,更根本的原因是部分站对于用户账号重吸引轻保护的态度。

随着中国互联近年来快速发展,争夺用户成为每家站迅速长大的重点。在风投资金的催化作用下,巨大的用户量是站吸引更多风投的资本。因此,站纷纷简化注册过程,以扩充注册用户数为要务。但与吸引用户时的挥金如土不同,很多站在用户数据安全保护上的投入却是锱铢必较。

小偷能偷到东西,不是因为我们把钱包放在了桌子上,而是因为家里的防盗门没锁。一位业内人士的话一针见血地指出,泄密门并不是因为用户密码的保存方式,而是因为站在信息安全保护上偷工减料。

只有在国内排行前100的站,才有专门的安全团队,剩下的站几乎都是不设防。这位人士透露,互联公司建立自己的安全运维团队资金投入量很大,比如大型B2C购物站每年的安全投入可达千万元级别,普通站要想免于黑客攻击每年也要付出几十万元的成本。但是目前,许多小公司的安全投入多几十万元,有的只有几万元,甚至有的互联公司连基本的公司防火墙都没有设置,黑客进出自由。

一些互联企业不重视用户数据,是觉得安全对一个企业来说是要花钱但不产生收入的事情,即使用户数据被盗,对企业来说也损失不大。因此,在安全防范方面投入非常少,即使在出事之后也不重视,而是想办法遮掩。东方IC供图

泄密门大事记

12月21日

知名程序员站CSDN对外承认,因受黑客攻击,约600万用户的数据信息被泄露,泄密门进入公众视野。随后,多玩、人人、猫扑、新浪微博、7K7K小游戏等十几家站先后卷入其中,当晚互联安全公司360、金山都发布数据称,监测发现上公开暴露的络账户密码超过1亿个。

12月22日

人人、新浪微博公开否认用户信息泄露,但建议与CSDN使用相同账号和密码的用户尽快修改密码。随后起点、腾讯、开心等多家站也发布公告,建议用户修改密码。

12月25日

天涯社区对外发布公告,同样称因黑客攻击,站用户数据被盗。虽然上贴出的数据库文件中包含有超过4000万的用户账号信息,但天涯表示实际被盗数目没有4000万。

12月26日凌晨

一份包含有476万用户账号信息的数据库文件被贴在上,标注为新浪微博的用户数据。新浪方面马上发布澄清声明,表示新浪微博用户账号信息采用加密存储,并未被盗,上所谓数据库中的绝大部分信息是根据已有泄密信息混搭出来的。

延伸调查

千万级用户数据库能卖几百万元

与站对于用户信息安全保护的冷漠态度相比,活跃于互联各个角落的黑客对用户数据库却很有热情。

一位黑客圈里人告诉,目前黑客行业钱的营生主要有三种,分别是安放木马、设置钓鱼站和盗取数据库信息,相比于前两项生意,市场上对于数据库信息的需求更多。

黑客从站盗取用户信息库后,会把这些用户信息倒卖、分销给黑公关或钓鱼集团。前者利用这些用户信息打击竞争对手或发放垃圾广告;后者则利用这些信息传送木马、病毒或发布诈骗信息,甚至直接在上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和上支付密码相同,支付账户中的余额就可能被黑客全部盗取。

多的时候,千万级的用户数据库能卖几百万元。这位黑客表示,从盗取到分销再到获利,圈里都有专人服务和特定的规则,早已成为一条龙产业。

同时,他还爆料,地方上一些小的团购站手里也收集了大量用户资料,随着这些团购站纷纷倒闭,这些用户数据也成了孤儿数据,被放在上公开叫卖,更为要命的是这些数据往往还都直接关联着用户的银账户和交易信息。

专家观点

立法治理用户数据监管缺位

面对还在持续发酵的泄密门,友们正忙于修改自己的账号密码,而陷入其中的CSDN、天涯等站却在道了一声歉后就此缄默。不少友表示,数据是从站泄露,站应承担,并进行一定的赔偿,但又苦于拿不出相关证据和法律条文作支撑。

目前法律对于普通用户的信息安全保护还是一片空白。社科院信息化研究所秘书长、互联专家姜奇平表示,除了国家相关机构有保密法外,对于企业的用户数据保护并没有相应的法律规定,甚至都没有一套成型的行业准则,各家站都是各自为政。在没有一个权威第三方的监管之下,用户数据安全目前处在一个没人管的困局,因而这次泄密门中的受害用户维权困难很大。

姜奇平认为,泄密门事件凸显出个人信息时代法规的缺失。2005年时,立法部门就曾推动过个人信息保护法的立法进程,但一直未能正式出台。此次泄密门给业界、民和监管部门都提了个醒,让大家认识到个人信息安全保护的重要性。他建议政府尽快立法,从权利保护、认定、追究和法律保障上对个人信息予以保护,将个人、站和监管机构所应承担的、义务厘清。

除此以外,姜奇平还建议以经济手段来打击黑客,彻底掐断地下的用户信息买卖黑市渠道。

汇品万货清货可信吗
小型三轮吸污车
杭州大金空调