关注中国互联网史上最大规模的用户资料泄露事件
推荐麦田守望者 - 网络安全
这次网站密码明文“裸奔”事件,无疑是国内信息安全形势堪忧的一次集中写照。目前国内众多互联网企业,在信息安全投入比例很低,对于网络安全没有足够的意识,只有少数大型网站以及网银支付网站采用较为安全的加密认证技术,而一些中小型网站以及部分大型网站都缺少防范意识,在发送用户帐号密码的过程中,采取的是http数据传输而非选择更为安全的https传输方式。
面对“泄密门”最无奈的是用户,最恐慌的也是用户,最忙的还是用户,而对于信息提供方的网站,最近在忙些什么呢?希望是在加强自身安全,因为用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本之策”。
事件回顾:
12月21日,CSDN600万用户密码被黑客公布,涉及包括网易邮箱、QQ邮箱、人人网等多家网站,12月22日早间,黑客爆出多玩网、178、7K7K等游戏用户资料,涉及的用户资料在5000万以上。CSDN表示被盗的号码主要是2009年4月以前的用户,用户当时是采取明文密码,2010年8月底已清理掉所有明文密码,从2010年9月开始全部是安全的,9月之前的有可能不安全。网易、人人公司表示已经对存在风险的用户进行弹窗提示,要求用户通过修改密码、绑定手机等方式进行隐私保护。
CSDN通过微博紧急回应称,目前泄密原因尚未查明,已向公安机关报案,公安机关也正在调查相关线索。同时,CSDN也对现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。
金山毒霸前日发布了红色预警,其负责人表示,此次有多达千万用户资料被泄露,其中不乏一些名人的资料,是中国互联网史上最大规模的一次用户资料泄露事件。
特别提醒:密码经常换,莫一码通用
究竟黑客是如何顺藤摸瓜窃得如此多大网站密码的? 360专家石晓虹分析称,一家网站服务器被黑客攻破,成百上千万用户的常用邮箱和密码泄露后,很容易导致网上支付等其他重要账号也一并失窃。此前爆发的微博、MSN大面积盗号事件,其攻击方式均为黑客“拖库”后试探盗号的。 “目前,黑客窃取网站数据库的危害已远远超过盗号木马。 ”
为了便于记忆,大部分用户存在一个密码(多是密文、部分网站是明文)通行多个网站的习惯,甚至使用相同的邮箱注册不同网络服务,并且使用完全一样的登录密码,这就好比用一把钥匙就能打开所有的门。因此黑客们只要拿到一个网站的用户资料,就可以打开大多数其他网站的服务,这使得本次泄露事件的危害性进一步扩大。
目前已被证实的是,黑客并没有入侵用户本地的电脑,此事件和用户电脑本身的安全无关。
建议:网站提供方需加强自身安全建设:
1、用户网站密码请不要以明文的方式储存。请尊重用户对您的信任,也同时尊重用户的隐私,因为用户的密码很多都涉及到用户的隐私,例如:名字拼音、生日、电话等等。
2、用户网站密码请以安全的https协议方式传输。建议网站能够像网银支付网站一样向用户提供专门的密码控件切实保护用户的帐号安全。
3、加大信息安全方面的投入。切实保护好网友的个人信息,再也不要发生“明文保存密码”这样的低级错误。
4、加大反黑客技术。熟话说“道高一尺魔高一丈”,建立反黑客技术组织也是势在必行的。