據(jù)網(wǎng)信辦最新消息,網(wǎng)信辦、工信部、公安部等有關(guān)部門將加快推動(dòng)個(gè)人信息保護(hù)等相關(guān)法律的研究制定,加強(qiáng)對(duì)網(wǎng)絡(luò)服務(wù)提供者的監(jiān)管,加大對(duì)非法收集、泄露、出售個(gè)人信息行為的打擊力度,今后5到7年,較為完善的互聯(lián)網(wǎng)法律體系將逐步形成。
收到署名為公司技術(shù)部的郵件,說(shuō)因網(wǎng)站受到攻擊,多數(shù)員工用戶名密碼泄露,讓你點(diǎn)擊鏈接重置密碼,你照做嗎?使用中移動(dòng)的手機(jī)號(hào),10086發(fā)來(lái)短信“尊敬的用戶,您當(dāng)前手機(jī)積分已滿足兌換188元現(xiàn)金禮包,請(qǐng)點(diǎn)擊網(wǎng)址鏈接登錄移動(dòng)商城按提示安裝領(lǐng)取”,你點(diǎn)不點(diǎn)?老板在QQ或微信里跟你聊完工作項(xiàng)目,喊你幫他轉(zhuǎn)賬,幫不幫?在飯店咖啡廳或機(jī)場(chǎng)火車站,你會(huì)打開手機(jī)Wi-Fi,毫不猶豫地連上免費(fèi)Wi-Fi熱點(diǎn)嗎?
如果你對(duì)這些問(wèn)題的回答都是肯定的,那么,和很多因此中招、遭受損失的人一樣,你也是信息時(shí)代里一個(gè)身處危險(xiǎn)而不自知的網(wǎng)民——技術(shù)部的郵件是假的,你的賬戶和密碼將被騙走;10086短信是通過(guò)偽基站模擬的,你點(diǎn)入了偽裝成移動(dòng)官網(wǎng)的釣魚網(wǎng)站,領(lǐng)取“禮包”過(guò)程中,姓名、身份證號(hào)、銀行卡號(hào)及密碼統(tǒng)統(tǒng)被套取。同時(shí),植入手機(jī)的木馬病毒將攔截并轉(zhuǎn)發(fā)手機(jī)收到的支付驗(yàn)證碼和支付通知短信,你的銀行卡被輕松盜刷;老板是冒充的,騙子研究了他的說(shuō)話語(yǔ)氣和社交往來(lái),用各種方式實(shí)施詐騙,例如盜號(hào),又或在被你隨意地加為好友后,把自己的昵稱改成你老板的;一些名字像運(yùn)營(yíng)商或商家提供的免費(fèi)公共熱點(diǎn)也許是黑客所設(shè),你在手機(jī)上的操作被一覽無(wú)遺……
2014年是業(yè)內(nèi)人士口中的“中國(guó)網(wǎng)絡(luò)安全元年”。這年年初,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,從國(guó)家到個(gè)人,網(wǎng)絡(luò)安全正受到前所未有的重視。那么,2015年網(wǎng)絡(luò)安全的情況將會(huì)如何?
你沒有想象的那么安全
“想玩?zhèn)€游戲嗎?告訴我你的郵箱,我可以寫出你的密碼?!?60公司網(wǎng)站安全檢測(cè)部門總監(jiān)趙武說(shuō)。拿到《新華每日電訊》記者郵箱3分鐘后,他遞過(guò)來(lái)一張紙,上面寫著兩條記者曾用過(guò)的密碼,并說(shuō)出了它們分別對(duì)應(yīng)的網(wǎng)站?!澳闼愫馨踩耍挥袃蓷l記錄還是已經(jīng)不用的,過(guò)去我做這個(gè)測(cè)試,找到的密碼都還在用,如果你這郵箱在很多網(wǎng)站上注冊(cè)過(guò),我甚至可能找到十幾條密碼,畫出你平時(shí)都訪問(wèn)哪些網(wǎng)站?!?
這些信息是通過(guò)社工庫(kù)找到的。所謂“社工庫(kù)”是指黑客們?nèi)肭指鞣N網(wǎng)站,盜走用戶數(shù)據(jù)庫(kù)——用行話講就是“拖庫(kù)”,之后將所得數(shù)據(jù)加以處理,整合搭建而成的數(shù)據(jù)庫(kù)查詢平臺(tái)。有多少網(wǎng)站曾被拖庫(kù)?用360副總裁譚曉生的話,“行業(yè)內(nèi)開會(huì),我?guī)状螁?wèn)過(guò)同一個(gè)問(wèn)題:誰(shuí)敢舉手說(shuō)自家網(wǎng)站從來(lái)沒被拖庫(kù)?臺(tái)下那么多做互聯(lián)網(wǎng)的人,從沒有一個(gè)人舉手。中國(guó)網(wǎng)絡(luò)用戶數(shù)據(jù)泄露的情況比大家了解到的要嚴(yán)重得多。”
拖庫(kù)之后,黑客們還會(huì)嘗試拿已獲取的用戶名和密碼登錄其他網(wǎng)站,即“撞庫(kù)”,此前12306泄露的13萬(wàn)用戶數(shù)據(jù)就是撞庫(kù)所致。愛用同一套用戶名和密碼的網(wǎng)民最得黑客歡心,哪怕只知道他們?cè)谀硞€(gè)小論壇所用的密碼,也能成功登錄他們的支付寶。去年8月,江蘇的一位網(wǎng)民就是這樣被人從支付寶分批轉(zhuǎn)走了32萬(wàn)元。
趙武所負(fù)責(zé)的補(bǔ)天漏洞響應(yīng)平臺(tái)上,每天都有上百個(gè)網(wǎng)站漏洞被提交上來(lái),等待提請(qǐng)相關(guān)方注意和修補(bǔ)。“我們的任何信息都在泄露,我說(shuō)的是任何?!壁w武說(shuō)這并非危言聳聽,在互聯(lián)網(wǎng)逐步與人們生活融合的近20年里,很多網(wǎng)站和應(yīng)用程序搭建時(shí)沒充分考慮安全問(wèn)題,致使黑客利用漏洞獲取信息的成本非常低?!澳阋唤Y(jié)婚,戶籍信息就被泄露出去了;一有小孩,新生兒信息就被人知道;孩子打了疫苗,打針的信息被泄露……這些不是想象,是已經(jīng)發(fā)生過(guò)、現(xiàn)在還在發(fā)生的事實(shí),背后有很多血淋淋的案例。有些事你自己能避免,但這些你沒辦法控制,因?yàn)槟惚仨毥Y(jié)婚必須買房必須體檢必須生小孩?!?
2014年9月,一名網(wǎng)絡(luò)工程師因故意殺人罪被判死刑。因女友旅游缺錢,該男子從網(wǎng)上購(gòu)買了某銀行的客戶信息,隨機(jī)選取目標(biāo),冒充快遞員入室劫殺了一位七旬老人。騰訊玄武安全實(shí)驗(yàn)室負(fù)責(zé)人、有“TK教主”之稱的知名安全專家于旸不無(wú)憤慨地在微博上寫道:“殺人者是抓了、判了,但出售客戶信息的人呢?信息是誰(shuí)拿出去賣的?按現(xiàn)行法律能怎么處理?如果這樣一個(gè)惡性案件還不能促成相關(guān)立法,談什么國(guó)家信息安全?”
根據(jù)騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》,2014年下半年,大量冒充熟人詐騙、利用被泄露的銀行卡信息進(jìn)行盜刷等網(wǎng)絡(luò)黑產(chǎn)犯罪案件層出不窮,矛頭直指用戶個(gè)人隱私泄漏問(wèn)題,互聯(lián)網(wǎng)企業(yè)應(yīng)對(duì)用戶隱私數(shù)據(jù)被盜的防御措施和用戶的自我保護(hù)意識(shí)都仍然較弱。
于旸這樣感嘆:“到底有多少信息泄露了?一言難盡,但用‘無(wú)人幸免’形容,應(yīng)該不會(huì)錯(cuò)太多。”
意識(shí)非常非常重要,現(xiàn)在很低很低很低
“每天看到大量這種情景,對(duì)公眾可以做什么、國(guó)家可以做什么,我會(huì)思考很多。”讓趙武感觸頗深的是現(xiàn)階段公眾網(wǎng)絡(luò)安全意識(shí)的薄弱,比如12306的撞庫(kù)主要基于被泄露已久的17173、7k7k等游戲網(wǎng)站的數(shù)據(jù)庫(kù),但距當(dāng)時(shí)曝出這些網(wǎng)站信息泄露的新聞已隔數(shù)載,仍有十幾萬(wàn)用戶繼續(xù)用著他們?cè)绫蝗双@取的密碼,直到此次中招,“意識(shí)非常非常重要,現(xiàn)在很低很低很低”。
“網(wǎng)絡(luò)安全的一個(gè)難題是大部分人在災(zāi)難沒發(fā)生到自己身上時(shí),都僅僅在口頭上葉公好龍地表示重視安全,沒有付諸實(shí)際行動(dòng),就好像系安全帶,人們知道應(yīng)該系,但總相信自己沒那么倒霉?!?60副總裁譚曉生說(shuō)。
直接遭遇網(wǎng)絡(luò)安全攻擊、成為網(wǎng)絡(luò)犯罪受害者始終是件小概率的事,但這并不意味著可以因此僥幸,大量數(shù)據(jù)都沉睡在黑客的數(shù)據(jù)庫(kù)里,走在即將被利用的路上。
譚曉生認(rèn)為,在網(wǎng)絡(luò)安全問(wèn)題中存在便利與安全間的矛盾,人們有時(shí)并不真的在意自己的信息。世界著名研究機(jī)構(gòu)高德納于2014年初發(fā)布的一份研究報(bào)告中預(yù)測(cè),到2017年,將有80%的用戶愿意讓服務(wù)商收集、跟蹤和交換自己的個(gè)人信息以換取優(yōu)惠、方便和個(gè)性化的服務(wù),“安全和便利便宜的天平上,永遠(yuǎn)是便利便宜這頭更重。”
網(wǎng)絡(luò)安全意識(shí)不足并不只體現(xiàn)在作為用戶的網(wǎng)民身上,公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全指出,一些重點(diǎn)部門、大型服務(wù)網(wǎng)站和互聯(lián)網(wǎng)服務(wù)商也因?yàn)榘踩婪兑庾R(shí)差,沒有按國(guó)家有關(guān)要求落實(shí)安全管理措施和技術(shù)保護(hù)措施,導(dǎo)致公民信息大量被竊取、販賣,嚴(yán)重危害社會(huì)公共安全和公民財(cái)產(chǎn)安全。
出了網(wǎng)絡(luò)安全事件,沒人埋單也就沒人重視
2011年索尼因PS3的7700萬(wàn)用戶信息遭竊,向用戶賠償245億美元;2014年,美國(guó)零售業(yè)巨頭塔吉特因4000萬(wàn)條客戶信用卡信息及7000萬(wàn)條其他信息失竊,為公司服務(wù)35年的CEO引咎辭職。
“即使這樣,他們也還是受到很多批評(píng)。在美國(guó),出了網(wǎng)絡(luò)安全事件,股價(jià)下跌、負(fù)責(zé)人辭職等等很正常,但我們還沒有這種意識(shí),即使發(fā)生大規(guī)模數(shù)據(jù)泄露,往往也不了了之,企業(yè)也不會(huì)有什么處罰?!壁w武說(shuō)。
騰訊玄武安全實(shí)驗(yàn)室負(fù)責(zé)人于旸認(rèn)為這或許是國(guó)內(nèi)企業(yè)不愿在網(wǎng)絡(luò)安全上投錢的根本原因,“既然出了事情沒有那么大的影響,可能投入的欲望就不那么強(qiáng)烈。根據(jù)數(shù)字,美國(guó)網(wǎng)絡(luò)安全投入占整個(gè)IT投入的比例是國(guó)內(nèi)的兩三倍,就是說(shuō)投在信息技術(shù)上的每100塊錢里,他們有10塊錢是投在安全上,我們只有3塊?!?
趙武對(duì)公司免責(zé)條款普遍存在的“由于黑客攻擊等不可抗原因?qū)е滦畔⑿孤叮菊静回?fù)任何責(zé)任”一條非常不滿,“就好像銀行說(shuō)你來(lái)辦卡存錢我很歡迎,但你卡要是被盜了我不管。這些聲明讓人很無(wú)奈,完全是毫不負(fù)責(zé)、站不住腳的霸王條款?!?
“應(yīng)該呼吁國(guó)家立法,從法律上形成威懾力量?!弊T曉生說(shuō)。由于國(guó)內(nèi)相關(guān)法律還不完善、舉證困難且維權(quán)成本高昂,很多人問(wèn)責(zé)無(wú)門,只能自認(rèn)倒霉。
十八屆四中全會(huì)通過(guò)了《中共中央關(guān)于全面推進(jìn)依法治國(guó)若干重大問(wèn)題的決定》。《決定》明確提出,要加強(qiáng)互聯(lián)網(wǎng)領(lǐng)域立法,完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護(hù)、網(wǎng)絡(luò)社會(huì)管理等方面的法律法規(guī)。
據(jù)網(wǎng)信辦最新消息,網(wǎng)信辦、工信部、公安部等有關(guān)部門將加快推動(dòng)個(gè)人信息保護(hù)等相關(guān)法律的研究制定,加強(qiáng)對(duì)網(wǎng)絡(luò)服務(wù)提供者的監(jiān)管,加大對(duì)非法收集、泄露、出售個(gè)人信息行為的打擊力度,今后5到7年,較為完善的互聯(lián)網(wǎng)法律體系將逐步形成。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900