|
中國(guó)互聯(lián)網(wǎng)最大規(guī)模的用戶資料泄露事件正在進(jìn)行時(shí),自12月21日有黑客在網(wǎng)上公開了開發(fā)者技術(shù)社區(qū)CSDN用戶數(shù)據(jù)庫(kù)包括600余萬(wàn)個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼以來(lái)�����,上周末,又新增了十余家國(guó)內(nèi)知名網(wǎng)站涉入密碼外泄的消息�。你的密碼改了嗎?已成為眾多網(wǎng)民最流行的相互問(wèn)候語(yǔ)��。
事件回放
12月21日��,黑客在網(wǎng)上公開了CSDN網(wǎng)站用戶數(shù)據(jù)庫(kù)�����。12月21日晚間���,CSDN在其官網(wǎng)上發(fā)表聲明承認(rèn)有約600萬(wàn)用戶密碼遭到外泄����,且絕大部分是早年留存的明文密碼����。
CSDN僅僅是一個(gè)開始,緊接著在國(guó)內(nèi)著名的漏洞報(bào)告平臺(tái)wooyun曝出一組截圖���,截圖中顯示�����,其中包括人人網(wǎng)�����、開心網(wǎng)�����、多玩�、世紀(jì)佳緣�、珍愛(ài)網(wǎng)、美空網(wǎng)��、百合網(wǎng)等數(shù)十家國(guó)內(nèi)知名網(wǎng)站數(shù)據(jù)庫(kù)可以通過(guò)訊雷下載�。
25日,wooyun又曝出國(guó)內(nèi)知名社區(qū)天涯論壇4000萬(wàn)用戶賬號(hào)密碼郵箱明文保存的數(shù)據(jù)遭泄露�。當(dāng)晚,天涯論壇在其官方微博發(fā)表聲明和致歉信稱:“近日由于遭受黑客攻擊�����,有多家網(wǎng)站的部分用戶數(shù)據(jù)庫(kù)外泄�,天涯也是受害網(wǎng)站之一���。為確保您的隱私及賬戶安全,在此����,我們懇請(qǐng)您盡快修改天涯社區(qū)相關(guān)賬戶的密碼。”
盡管人人網(wǎng)�����、開心網(wǎng)����、多玩網(wǎng)、貓撲等上榜的網(wǎng)站均對(duì)此予以否認(rèn)���,僅有天涯社區(qū)和CSDN表明已向公安機(jī)關(guān)報(bào)案�。隨著天涯用戶密碼遭到泄露����,數(shù)據(jù)泄露的影響進(jìn)一步擴(kuò)大。也意味著大約超過(guò)5000萬(wàn)的用戶數(shù)據(jù)庫(kù)被泄露�����,同時(shí)被通過(guò)各種渠道擴(kuò)散和被人下載。正如國(guó)內(nèi)著名的開源社區(qū)Chinaunix創(chuàng)始人之一竇喆在其微博上所調(diào)侃:“手里沒(méi)幾個(gè)密碼庫(kù)����,都不好意思和同事聊天,連前臺(tái)都有幾個(gè)密碼庫(kù)了���,讓我情何以堪�。”
密碼的外泄一時(shí)引發(fā)互聯(lián)網(wǎng)上人人自危���,互聯(lián)網(wǎng)安全公司紛紛拉響紅色預(yù)警�。有網(wǎng)絡(luò)安全專家表示�,此次泄露源于黑客入侵這些網(wǎng)站的數(shù)據(jù)庫(kù)服務(wù)器,盜取用戶數(shù)據(jù)庫(kù)等信息��,其中包括注冊(cè)郵箱�、用戶名�����、密碼(多是密文��、部分網(wǎng)站是明文)��,并將這些數(shù)據(jù)在互聯(lián)網(wǎng)中進(jìn)行傳播。
蝴蝶效應(yīng)
此次曝出的用戶資料泄露事件����,不過(guò)是冰山一角,網(wǎng)民之所以如此震驚���,只不過(guò)是因?yàn)橐恢北幻稍诠睦锪T了����。有知情人士稱����,“很多網(wǎng)站的數(shù)據(jù)庫(kù)不知道在黑市中被販賣了多少次了”。
有安全專家指出�,這些數(shù)據(jù)泄露會(huì)造成蝴蝶效應(yīng),當(dāng)過(guò)千萬(wàn)級(jí)的明文密碼����、真實(shí)郵箱、網(wǎng)上常用ID暴露��,如果有心人通過(guò)數(shù)據(jù)挖掘是能做出很多恐怖的事情的���。你的密碼使用習(xí)慣被人知道��,如生日��、喜歡的人��、手機(jī)號(hào)碼等等���。你的ID和真實(shí)郵箱被泄露��,那么你在網(wǎng)上所有的一切都有可能被人肉搜索�����,想想暗地里有一雙雙窺私的眼睛盯著你����,隨時(shí)可能給你致命一擊��,這是多么可怕的事情��。
東軟網(wǎng)絡(luò)安全副總經(jīng)理曹鵬在其微博上表示:“最近這個(gè)月大量的用戶密碼信息被不斷曝光��,再加上實(shí)名制和摻雜個(gè)人信息的網(wǎng)絡(luò)發(fā)帖使得人肉搜索更加容易�,口令賬號(hào)被竊取就意味著個(gè)人信息泄露的源頭會(huì)被打開,多套密碼加上多個(gè)馬甲看來(lái)還是有必要的��,另外就是網(wǎng)絡(luò)世界也需要謹(jǐn)言慎行了��。自己前段時(shí)間網(wǎng)絡(luò)交易差點(diǎn)被騙�,最后通過(guò)人肉搜索逼迫無(wú)賴就擒。”
資深安全顧問(wèn)張百川在微博上道出了此次事件網(wǎng)民恐慌的原因�����,“CSDN暴露的僅僅是程序員為主體的密碼����,群體少,且相當(dāng)一部分人的關(guān)鍵應(yīng)用用的是不同密碼;但是多玩�����、天涯等網(wǎng)站的用戶都是普通網(wǎng)民���,安全意識(shí)很薄弱�����。也許���,很多人的密碼被用來(lái)嘗試郵箱��、相冊(cè)等����,以及各種“云”系統(tǒng):云盤��、云CRM�����、云……網(wǎng)絡(luò)時(shí)代����,安全是個(gè)大問(wèn)題。”
眾多網(wǎng)民習(xí)慣于一個(gè)密碼“走天下”���,也就是說(shuō)在多個(gè)網(wǎng)站上注冊(cè)都使用相同的密碼��,這其中也許包括了網(wǎng)銀���、QQ、郵件等私密的密碼�。此次事件的爆發(fā),互聯(lián)網(wǎng)掀起了改密碼狂潮���,也讓眾多網(wǎng)民過(guò)了一個(gè)最忙碌的“冬至”��。
中國(guó)黑客教父�����、元老�,知名網(wǎng)絡(luò)安全專家����,綠色兵團(tuán)創(chuàng)始人,COG信息安全組織創(chuàng)建人龔蔚則表示���,黑客一開始或許是出于炫耀目的而向外公布網(wǎng)站數(shù)據(jù)庫(kù)����,網(wǎng)站安全問(wèn)題是歷史累積的�����,累積到一定時(shí)間就會(huì)爆發(fā)����。同時(shí)他表示��,網(wǎng)絡(luò)犯罪投入成本低����,隱蔽性強(qiáng)�����,所以打擊起來(lái)有難度�����。因此���,網(wǎng)民要有自我保護(hù)意識(shí)�,設(shè)置密碼時(shí)盡量不要使用簡(jiǎn)單單詞�����,也不要一個(gè)密碼在多個(gè)網(wǎng)站使用�。
目前,多個(gè)網(wǎng)站開始預(yù)警提醒用戶注意賬號(hào)安全�,建議用戶盡快修改密碼��。此外��,還提示用戶設(shè)置的密碼不要過(guò)于簡(jiǎn)單,建議新密碼采用數(shù)字和字母組合的方式以增強(qiáng)安全性����。有專家建議,盡量避免使用相同的用戶名和密碼來(lái)注冊(cè)所有的賬戶�,并采用經(jīng)常更改密碼的方式,來(lái)規(guī)避不可預(yù)知的風(fēng)險(xiǎn)���。
事件反思
解決此次事件所帶來(lái)的麻煩��,僅僅改密碼就夠了嗎����?盡管眾多上榜的網(wǎng)站均否認(rèn)數(shù)據(jù)庫(kù)被泄漏���,但通過(guò)此次事件讓網(wǎng)民對(duì)網(wǎng)站的安全性提出了質(zhì)疑�����。暫且不論這些的網(wǎng)站出于什么動(dòng)機(jī)去明文存儲(chǔ)用戶的密碼��。明文存儲(chǔ)密碼本身就是個(gè)致命的安全錯(cuò)誤�。有不少網(wǎng)民對(duì)此表示憤怒,“明文存儲(chǔ)密碼簡(jiǎn)直是坑爹��。”
深圳大成天下公司網(wǎng)絡(luò)安全技術(shù)專家吳魯加認(rèn)為���,此次事件是黑客攻擊導(dǎo)致數(shù)據(jù)整體泄露的事件��。由于的數(shù)據(jù)泄露����,對(duì)企業(yè)和用戶實(shí)實(shí)在在地產(chǎn)生了重大的影響��。吳魯加用木桶來(lái)比喻互聯(lián)網(wǎng)���。他說(shuō)����,互聯(lián)網(wǎng)用戶的隱私短板�,不再取決于單一企業(yè),而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板�����。
近年來(lái),由于金錢利益的驅(qū)動(dòng)及非法地下交易市場(chǎng)��,黑客攻擊目標(biāo)從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫(kù)�����,數(shù)據(jù)庫(kù)的安全防護(hù)也一直被列為企業(yè)IT部門的重要工作之一��,但是防范措施和安全投入?yún)s參差不齊����。
北京明朝萬(wàn)達(dá)科技有限公司董事長(zhǎng)王志海一語(yǔ)道破目前眾多互聯(lián)網(wǎng)對(duì)安全不重視的弊端�,“CSDN這次泄密不是技術(shù)問(wèn)題,是態(tài)度意識(shí)問(wèn)題�。”同時(shí)他指出,目前大部分人面對(duì)安全顧問(wèn)����,習(xí)慣的反應(yīng)是我沒(méi)有什么系統(tǒng)或數(shù)據(jù)需要保護(hù)的。CSDN事件再次警醒�����,我們現(xiàn)在最缺的不是什么先進(jìn)的安全技術(shù)���,而是基本的安全意識(shí)�����。如果能夠?qū)崒?shí)在在地把現(xiàn)有安全措施用上���,絕大部分安全事件都不會(huì)發(fā)生���。
百度PHP高級(jí)顧問(wèn)惠新宸則指出,安全意識(shí)是一個(gè)程序員的基本素養(yǎng)���,它應(yīng)該成為你的本能���,時(shí)時(shí)刻刻地灌注到你的每一行可能產(chǎn)生taintedstring的代碼中。而不應(yīng)該假手�,依賴于安全工程師。
知名信息安全專家彭泉給出了防范之道:“我覺(jué)得最簡(jiǎn)單的就是讓黑客即使觸及到數(shù)據(jù)庫(kù)也無(wú)法“看懂”�����,即對(duì)用戶名��、密碼、郵箱����、身份信息全部加密,而且變形加密����,然后可再配合數(shù)據(jù)分散存儲(chǔ)。”他感嘆到�����,到目前為止�,還未有此事件涉及的公司公布或說(shuō)明數(shù)據(jù)庫(kù)泄露過(guò)程的技術(shù)審計(jì)結(jié)果�����,這是此事件最大的悲哀�。
通過(guò)此次中國(guó)互聯(lián)網(wǎng)最大的用戶數(shù)據(jù)泄露事件暴露出這些網(wǎng)站在運(yùn)用各種方式吸引用戶,增加網(wǎng)站注冊(cè)人數(shù)�����、提升人氣的同時(shí)���,完全忽視了安全的必要性��,無(wú)疑是對(duì)用戶信息安全的公然漠視���。此次事件給眾多互聯(lián)網(wǎng)企業(yè)及網(wǎng)站敲響了警鐘��。最后引用知名網(wǎng)絡(luò)安全專家Coolfire的話:“身為程序員���,不否認(rèn)自己也曾犯過(guò)同樣的錯(cuò),某些小小系統(tǒng)仍使用明文存儲(chǔ)密碼��,成本是主要考量����。程序、心態(tài)都一起升級(jí)吧���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
