【IT時代周刊訊】(記者 張淇人)數億的用戶信息遭泄露,凸顯了中國互聯網公司的安全機制如同一道紙糊的墻。
1月11日,“泄密門”發生的20天后,作為第一個被公開報道的受害者,中國軟件開發聯盟(以下簡稱CSDN)在北京宣布,將攜手阿里云邁出建立網絡安全體系的第一步——為開發者打造安全可信的平臺,從隔離核心數據開始。同時,CSDN公開承認包括自己在內的國內諸多網站的安全意識薄弱問題是導致用戶信息密集泄露的關鍵。
CSDN所做的一切被業內看作是其挽回不利影響的重要行動。
2011年12月21日,業界傳出國內最大程序員網站CSDN被黑客“成功擊敗”的消息,其超過640萬個注冊用戶的信息在網上公開。隨后的一周內,天涯社區、人人網、開心網和多玩網等十余家國內知名網站近5000萬用戶的信息在網上被黑客公布。
由于遭泄露的網站覆蓋社交、電子商務甚至個別政府部門的官網,一夜之間,“泄密門”成為互聯網上一個引發廣泛恐慌的“大事件”。
截至2011年12月29日,根據國家互聯網應急中心(CNCERT)統計,CNCERT通過公開渠道獲得疑似泄露的數據庫有26個,涉及帳號、密碼2.78億條。其中,含有與網站、論壇相關聯信息的數據庫有12個,涉及數據1.36億條;無法判斷網站、論壇關聯性的數據庫有14個,涉及數據 1.42億條。
有分析指出,中國互聯網十余年的發展中,快速擴張的互聯網企業不知不覺地為自己埋下了安全隱患的種子。對安全投放的不重視,透露出這些企業沒有把用戶數據放在一個正常的位置,而這無疑是對用戶信息安全的公然漠視。這樣的現狀為黑客提供了良好的獲利環境,助長了一次次的黑客行動。而網企欠下的賬,在未來必定要陸續埋單。
擴張種下毒瘤
泄密事件發生后,CSDN創始人、公司總裁蔣濤公開坦承此前并沒有想到數據泄露會如此嚴重。在CSDN擁有不到100臺服務器,注冊信息只包括郵箱和密碼的情況下,蔣濤一度認為,這些注冊信息并不具備太大的隱私性,也不會引起黑客的興趣。
但是,蔣濤和其他“中招”的所有網站都忽略了一個重要問題——黑客會將盜來的信息用于用戶數據更為敏感的網站(如支付寶)進行密碼刷庫比對,如果密碼是同一個,則意味著黑客們能夠輕而易舉地攻入這些網站,從而獲取用戶的敏感資料。
對于這種可能出現的后遺癥,深圳大成天下公司網絡安全技術專家吳魯加認為,互聯網用戶的隱私短板,已經不再取決于單一企業,而是取決于所有這些握有大量用戶信息的企業中的最短板。也就是說,網絡信息的安全牽系每一個企業與個人。
而據蔣濤介紹,目前80%以上的互聯網公司都存在安全漏洞,70%以上的加密算法密碼庫都可以通過高頻碰撞破解,60%以上有安全策略的公司同樣存在著漏洞。
根據杭州安恒信息技術公司給CSDN提供的審計報告顯示,由于CSDN網站開源系統等第三方系統存在漏洞、應用程序存在跨站腳本漏洞等四大問題,使其網站存在安全風險,泄露了大量信息。
“不止CSDN一家網站這樣”資深安全顧問張百川表示,許多網站設計之初就只考慮業務而不考慮安全性。在試運行期間只要功能滿足就驗收通過。在網站的規劃、設計、實施、運維和廢棄等五個階段都沒有一個安全保護的考慮。這樣“湊合”用的系統,其安全性之低顯而易見。
根據CNNIC《第28次中國互聯網絡發展狀況統計報告》顯示,2011年上半年,有過賬號或密碼被盜經歷的網民達到1.21億,占24.9%。而卡巴斯基亞太區產品部經理高祎瑋對《IT時代周刊》表示,盡管近年來針對互聯網的安全保護技術有了很大的提升,但是很多企業沒有及時調整或升級后臺系統。
有業內安全專家向本刊記者透露,國內大部分電子商務網站還停留在防護墻等傳統的防御技術層面,對賬戶、密碼等機密數據也沒有明確的訪問規定監控,甚至還采用明文存儲或不安全的加密存儲手段。
而某券商TMT研究部門公布的調研結果更能說明問題。該券商的研究數據顯示了目前中國互聯網公司的信息安全支出在整體IT支出中的比例還不到1%,安全性要求比較高的金融行業也僅在10%,而歐美互聯網公司的安全支出普遍占到8%-10%。
在安全支出嚴重低于歐美同行的情形下,中國整個互聯網的安全現狀當然極不樂觀。而業內人士普遍認為“泄密門”最根本的原因正是一些互聯網企業沒有建立完善的安全防護機制。同時,他們也認為由于網絡環境競爭的激烈,互聯網的發展一直以擴張效率為主導,導致了安全風險或隱患的存在成為一種必然。
國內資深網絡安全專家肖新光就持有類似觀點。他指出,一家網游企業投入100萬元來加快游戲的開發速度或增加新的功能,收益就會提前看到,而如果把這筆錢花在安全防護上,短期內不僅看不到收益,還會影響開發的效率,甚至可能被對手甩在身后。
業內安全專家透露,大部分網企缺少安全維護團隊及投入,更令人擔憂的是,與網民隱私財產息息相關的國內電子商務網站少有安全部門,設立了的也不過1-2人。這樣的現狀,其風險不言而喻。
黑客的微妙之傷
中國網絡安全現狀堪憂,除了互聯網公司對安全體系建設的不重視,另一主要原因還在于黑客從中覓到了灰色商機。于是,一個似乎可被忽視的問題,變得不容忽視。
近年來,由于金錢利益的驅動及非法地下交易市場不斷擴大,黑客攻擊目標從普通用戶轉向具有更多用戶資料的企業數據庫。數據庫的安全防護也一直被列為企業IT部門的重要工作之一,但由于防范措施形同虛設,導致黑客經常“光臨”。
僅在2011年7月,黑客對韓國SK通信發起精密攻擊,就致3500萬用戶信息外泄,而這個國家的人口總數僅為5000萬。另有安全廠商RSA被入侵,直接導致多家工業巨頭遭遇連鎖攻擊,荷蘭電子認證公司DigiNotar被入侵后宣告破產。
讓人稍感慶幸的是,中國互聯網僅是遭受了信譽損失,至今不見有公司聲稱經濟上有所損失。“這一次,黑客是善意的,‘泄密門’爆出來的都是以前的庫。”一位不愿具名的安全行業工程師透露,實際上,他們手里有最新的庫,但出于對行業環境的考慮,沒有把這些庫爆出來。
而事實上,對于這樣善意的“警告”,在事發前就有提醒,卻并未被有關方面重視。
在這次事件中,一個名為“烏云漏洞平臺”的網站從不為人熟知的專業平臺一下躍入大眾視野。該平臺大批的黑客在發現企業漏洞時,已經將漏洞與補丁傳到網上,但后來出事的多家企業中居然“無人問津”。
“民間的安全測試平臺一直不受企業待見,他們扮演的黑客角色與企業之間多年來形成了微妙關系。”有業內人士指出,沒有企業愿意總被人在國內常見的網絡安全問題上“挑錯”,也正因為如此,更有一些公司極端地認為,如果沒有黑客,企業的漏洞在某種程度上來說就不存在,“只要不暴露,就可以視而不見”。
這樣的愿景無疑是美好的,但部分黑客也有自己的游戲規則。“眾多的‘黑客’潛伏在IT互聯網公司。”一位不愿透露姓名的黑客表示,這些人可能白天是某企業的安全工程師,晚上就是黑客。另有傳言,竊取CSDN用戶數據也為某網企技術人員所為。而盜賣公司內部信息是公開的地下商業交易,監守自盜在中國互聯網公司內部屢見不鮮。甚至有知情人士透露,一些大的互聯網企業甚至直接“招安”黑客,將其納入麾下。有的小網站每月給黑客上交1萬元到2萬元的“保護費”。
“如果企業愿意對黑客指出的漏洞給予相應的重視,并采取補救措施,危機可能還是會爆發,但肯定不會這么嚴重。”安全行業工程師表示,對于這次事件,落后的防護技術僅是誘因,本質還是對安全防范投入的態度問題,同樣也是一個程序員的基本素養。
為此,高祎瑋對《IT時代周刊》強調,名為Anonymous的黑客組織曾在去年7、8月攻擊了美國多個警察部門,甚至美國國防部的信息安全咨詢公司,所以無論多高級的安全設備,多專業的安全知識,如不能在工作中嚴格應用及遵守,企業網絡安全都將是空中樓閣。
而就在本刊的截止發稿日,經過北京網警的調查,北京市公安局外宣處的工作人員表示,今年1月10日已有兩名涉案黑客被抓,詳情還在調查中。次日,有接近工信部通信保障局的人士透露,該部門對泄密事件的調查工作已經“告一段落”。
也正如中國計算機學會理事潘柱廷所說,熱熱鬧鬧的社會事件結束后,應當是認真地在法律、技術等方面尋找長效機制的時候了。
推薦閱讀
“奢侈品網購潛力很大,但仍然處于最早的發展階段,存在不少隱患。”中國電子商務研究中心分析師莫貸青在接受采訪時表示,貨源、誠信、售后保障等均困擾著奢侈品電商們。 奢侈品折扣網站重蹈覆轍? Gucci最低5.3折,>>>詳細閱讀
本文標題:網路“泄密門”引發的思考 用戶隱私保護機制形同虛設
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/165342.html
網友點評
精彩導讀
科技快報
品牌展示