你的密碼還安全嗎?
12月25日,天涯社區(qū)的4000萬(wàn)用戶(hù)信息被泄漏,占到天涯用戶(hù)總數(shù)的60%。到目前為止,這起信息泄漏事件的始作俑者仍未查出。
多家互聯(lián)網(wǎng)公司的用戶(hù)數(shù)據(jù)庫(kù)被大規(guī)模泄露。12月21日,知名程序員網(wǎng)站CSDN的600萬(wàn)用戶(hù)數(shù)據(jù)被泄漏。此前,用戶(hù)信息泄漏事件涉及到多玩網(wǎng)、人人網(wǎng)、貓撲、新浪微博、7K7K小游戲、嘟嘟牛、178游戲等互聯(lián)網(wǎng)公司。12月26日,人人網(wǎng)、新浪微博等公開(kāi)否認(rèn)用戶(hù)信息被泄露。
互聯(lián)網(wǎng)用戶(hù)信息泄漏由來(lái)已久。“200元購(gòu)買(mǎi)4萬(wàn)個(gè)老總的手機(jī)號(hào)”類(lèi)似販賣(mài)信息在互聯(lián)網(wǎng)上呈泛濫之勢(shì)。“用戶(hù)信息泄漏傷害的是用戶(hù)本身,并不損害互聯(lián)網(wǎng)公司的利益。”一位互聯(lián)網(wǎng)行業(yè)人士評(píng)價(jià)說(shuō)。
信息泄露程度難估
對(duì)于部分互聯(lián)網(wǎng)公司而言,最值錢(qián)的就是用戶(hù)數(shù)據(jù),這些數(shù)據(jù)隨時(shí)可以售賣(mài)變現(xiàn);另一方面,互聯(lián)網(wǎng)企業(yè)在安全方面投入甚少,也變相造成了用戶(hù)信息的“裸奔”。
用戶(hù)信息遭到泄露的互聯(lián)網(wǎng)公司“人人自危”,紛紛自查用戶(hù)數(shù)據(jù)庫(kù),同時(shí)以郵件、短信等方式通知用戶(hù)更改個(gè)人密碼。
多玩網(wǎng)相關(guān)負(fù)責(zé)人告訴記者,目前,多玩網(wǎng)正在確認(rèn)被泄漏用戶(hù)的數(shù)量與程度,負(fù)責(zé)安全的技術(shù)人員正在接受排查。
有大量實(shí)名用戶(hù)的網(wǎng)站對(duì)信息泄漏事件則一口否認(rèn)。人人網(wǎng)的官方回復(fù)稱(chēng),人人網(wǎng)對(duì)用戶(hù)信息采取的不是明文存儲(chǔ)方式,也并沒(méi)有泄漏用戶(hù)信息的情況。新浪則回復(fù)道,新浪微博的用戶(hù)密碼并沒(méi)有被盜取,并且已經(jīng)采取了更加嚴(yán)格的保護(hù)措施。
“由于關(guān)聯(lián)性,用戶(hù)信息泄漏到什么程度,現(xiàn)在還很難估量。”金山毒霸反病毒工程師李鐵軍認(rèn)為,大部分用戶(hù)往往使用同一個(gè)用戶(hù)名和密碼登錄多個(gè)網(wǎng)站。
李舉例道,一個(gè)郵箱往往關(guān)聯(lián)十幾個(gè)互聯(lián)網(wǎng)服務(wù),包括常用郵箱、論壇、網(wǎng)站、SNS、購(gòu)物、支付等。用戶(hù)不僅會(huì)收到大量的垃圾短信與郵件,還會(huì)將病毒通過(guò)SNS傳至朋友,支付賬戶(hù)的余額很可能被竊取。對(duì)于游戲類(lèi)的玩家來(lái)說(shuō),賬戶(hù)里的裝備可能一夜之間被人“順手牽羊”,辛苦幾年練出來(lái)的級(jí)別瞬間“化為烏有”。
不僅如此,對(duì)于企業(yè)用戶(hù)來(lái)說(shuō),將更加危險(xiǎn)。獲得這些用戶(hù)數(shù)據(jù)的企業(yè)或個(gè)人,可以通過(guò)多種手段搜尋到最有價(jià)值的企業(yè)賬戶(hù),往往可以獲得企業(yè)郵箱,進(jìn)而獲取企業(yè)的經(jīng)營(yíng)內(nèi)容甚至商業(yè)機(jī)密。
“隨著互聯(lián)網(wǎng)用戶(hù)的暴增,各家都會(huì)保存數(shù)據(jù)用以分析用戶(hù)行為,所以互聯(lián)網(wǎng)上的安全風(fēng)險(xiǎn)增大。”前文所述的互聯(lián)網(wǎng)行業(yè)人士認(rèn)為,一旦執(zhí)行實(shí)名制,由于互聯(lián)網(wǎng)安全不規(guī)范,那么存在的隱患就更大。
由來(lái)已久的用戶(hù)信息販賣(mài)
“實(shí)際上,自互聯(lián)網(wǎng)誕生之日起,互聯(lián)網(wǎng)用戶(hù)數(shù)據(jù)的交易就開(kāi)始了。”李鐵軍告訴記者,現(xiàn)在暴露出來(lái)是因?yàn)橛脩?hù)信息經(jīng)過(guò)多次販賣(mài),已經(jīng)變得“廉價(jià)”,甚至免費(fèi)了,之前用戶(hù)信息的價(jià)格非常高。
互聯(lián)網(wǎng)公司的盈利模式基本分為兩種,一是廣告,二是向用戶(hù)收費(fèi)。這兩種模式的共同基礎(chǔ)是,為用戶(hù)提供某個(gè)免費(fèi)產(chǎn)品或服務(wù)以獲得流量,再通過(guò)廣告或道具收費(fèi)來(lái)賺錢(qián)。前者如新聞門(mén)戶(hù),后者如游戲公司。但是,互聯(lián)網(wǎng)“免費(fèi)”的模式使得這些公司賺錢(qián)需要花費(fèi)的時(shí)間比較長(zhǎng),并且很多互聯(lián)網(wǎng)公司在創(chuàng)業(yè)過(guò)程中倒閉了。
對(duì)于互聯(lián)網(wǎng)公司而言,最值錢(qián)的就是用戶(hù)數(shù)據(jù)。只要擁有了這些數(shù)據(jù),就可以做定向的廣告推送,還可以分析用戶(hù)的行為,進(jìn)行更具針對(duì)性的營(yíng)銷(xiāo)。其中,游戲、SNS網(wǎng)站用戶(hù)的信息價(jià)值最可觀。業(yè)內(nèi)估計(jì),1000萬(wàn)游戲用戶(hù)的信息價(jià)值達(dá)到幾百萬(wàn)甚至上千萬(wàn)元。
“所有的網(wǎng)站都‘死守’這些用戶(hù)數(shù)據(jù),它們可以隨時(shí)變現(xiàn)。”前述互聯(lián)網(wǎng)行業(yè)人士說(shuō)道。
因此,接下來(lái)的現(xiàn)象就屢見(jiàn)不鮮。某些網(wǎng)站的用戶(hù)想注銷(xiāo)賬戶(hù),卻被提示無(wú)法注銷(xiāo)。在SNS網(wǎng)站上,用戶(hù)注銷(xiāo)后,相關(guān)的信息并不會(huì)刪除,用戶(hù)再用相同的郵箱注冊(cè),之前的個(gè)人信息、記錄、日志、照片全部可以恢復(fù)。那些倒閉的網(wǎng)站,絕大部分不會(huì)銷(xiāo)毀用戶(hù)數(shù)據(jù)。
這些有價(jià)值的用戶(hù)信息是如何被泄漏出去的呢?
一位業(yè)內(nèi)人士告訴記者,一般而言,信息泄漏有兩個(gè)渠道:一是“黑客”攻破公司的防火墻,盜取存于服務(wù)器上的用戶(hù)信息;二是某些網(wǎng)站主動(dòng)售賣(mài)用戶(hù)數(shù)據(jù),以謀取利益。
獲得用戶(hù)信息后,這些販賣(mài)者就會(huì)泡在論壇、社交網(wǎng)站甚至黑客網(wǎng)站里。因?yàn)檫@里存在大量的求購(gòu)或販賣(mài)用戶(hù)信息的需求。而交易雙方一般通過(guò)互聯(lián)網(wǎng)進(jìn)行交易,并不見(jiàn)面。
一位不愿意透露姓名的行業(yè)人士告訴記者,由于購(gòu)買(mǎi)用戶(hù)信息代價(jià)不菲,那些花高價(jià)買(mǎi)了用戶(hù)信息的人會(huì)想辦法將這些信息再兜售出去。由于電子化的信息售賣(mài)起來(lái)很方便,會(huì)導(dǎo)致用戶(hù)信息被多次轉(zhuǎn)手泄露。
“用戶(hù)信息泄漏,并不會(huì)損害互聯(lián)網(wǎng)公司的利益,只是用戶(hù)受到損失。”這位互聯(lián)網(wǎng)人士告訴記者,這樣的機(jī)制讓用戶(hù)“反抗無(wú)效”,只有“任人宰割”。
安全投入不足1%
“現(xiàn)在泄露的用戶(hù)信息都是直接保存密碼原文(明文),沒(méi)做任何加密。”金山快盤(pán)CTO楊鋼告訴記者,如果做了不可逆加密后,即使數(shù)據(jù)庫(kù)被拖走,里面的密碼也解不開(kāi),只能看到用戶(hù)名。
道高一尺,魔高一丈。對(duì)于常用的加密方法,黑客已經(jīng)搜集到了大量的解密方法,破解起來(lái)并不是一件難事。
“互聯(lián)網(wǎng)公司對(duì)安全性心存矛盾。”李鐵軍認(rèn)為,對(duì)于互聯(lián)網(wǎng)公司來(lái)說(shuō),產(chǎn)品的用戶(hù)體驗(yàn)是第一位。形成好的用戶(hù)體驗(yàn)往往是簡(jiǎn)單、易用的產(chǎn)品,安全往往與復(fù)雜對(duì)應(yīng),會(huì)在一定程度上影響易用性。因此,無(wú)一例外,互聯(lián)網(wǎng)公司都優(yōu)先選擇了用戶(hù)體驗(yàn)。
一位互聯(lián)網(wǎng)安全專(zhuān)家告訴記者,很多網(wǎng)站采用明文密碼的方式讓用戶(hù)信息“裸奔”,即便對(duì)安全性有所重視,也只是選擇MD5方式(一種加密算法),一般不會(huì)選擇SHA1方式。因?yàn)殡m然SHA1比MD5強(qiáng)度高,但是MD5比SHA1快,互聯(lián)網(wǎng)需要的就是快。但是MD5并不完全可靠,若要保證用戶(hù)的安全,最好選擇SHA1。
李鐵軍認(rèn)為,安全防護(hù)不只是一個(gè)技術(shù)問(wèn)題,企業(yè)也不只是安裝了防火墻和殺毒軟件就完成了安全防護(hù),需要專(zhuān)人來(lái)實(shí)時(shí)監(jiān)控。安全運(yùn)維人員需要根據(jù)訪(fǎng)問(wèn)列表來(lái)及時(shí)辨別哪些是入侵,哪些是正常訪(fǎng)問(wèn),并進(jìn)行及時(shí)處理。
“目前,中國(guó)只有瀏覽量在前100的網(wǎng)站有自己專(zhuān)業(yè)的安全運(yùn)維人員,前1000的網(wǎng)站有安全產(chǎn)品或服務(wù)的采購(gòu),大部分網(wǎng)站都沒(méi)有專(zhuān)業(yè)的安全團(tuán)隊(duì)。”一位互聯(lián)網(wǎng)行業(yè)人士坦言。
據(jù)該人士介紹,互聯(lián)網(wǎng)公司建立自己的安全運(yùn)維團(tuán)隊(duì),需要的成本投入很大。比如,大型B2C購(gòu)物網(wǎng)站每年的安全運(yùn)維投入需要達(dá)到千萬(wàn)元級(jí)別,小一點(diǎn)的網(wǎng)站也需要幾百萬(wàn)。但是目前,這些公司的安全投入不過(guò)幾百萬(wàn),有的只有幾十萬(wàn)。
而從整個(gè)行業(yè)來(lái)看,據(jù)一家券商TMT研究部門(mén)的調(diào)研數(shù)據(jù),目前,中國(guó)互聯(lián)網(wǎng)公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國(guó)內(nèi),對(duì)安全性要求比較高的金融行業(yè),其信息安全支出在整個(gè)IT支出中占到10%。相比之下,互聯(lián)網(wǎng)行業(yè)的安全投入有些“捉襟見(jiàn)肘”。
“再不注意保護(hù)用戶(hù)信息,互聯(lián)網(wǎng)公司的品牌將會(huì)受極大傷害。”李鐵軍認(rèn)為,安全就像是大樓里的消防措施,平常看起來(lái)并沒(méi)有發(fā)揮多大作用,但一旦發(fā)生問(wèn)題,如果安全不到位,那么造成的損害會(huì)很大。
推薦閱讀
中國(guó)聯(lián)通推出8款首批4英寸千元智能手機(jī)
預(yù)存話(huà)費(fèi)送手機(jī)合約計(jì)劃 購(gòu)手機(jī)送話(huà)費(fèi)合約計(jì)劃 【搜狐IT消息】(文/ 宿藝)12月26日消息,中國(guó)聯(lián)通今天宣布聯(lián)合中興、華為、酷派、聯(lián)想、海信、TCL、夏新、飛利浦等8家廠(chǎng)商推出系列4.0英寸新定義千元3G智能機(jī)。價(jià)格涵>>>詳細(xì)閱讀
本文標(biāo)題:信息泄露始作俑者仍未查出 企業(yè)安全支出不足1%
地址:http://m.sdlzkt.com/a/05/20111227/20956.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示