【IT商業新聞網綜合報道】(記者 艾米)CSDN、天涯社區等知名大論壇的用戶密碼大批外泄事件導致互聯網界"草木皆兵"。 "泄密門"從一個網站的危機演變成互聯網世界的一場風波,變成了2011年底網民最關心的話題之一,"你的密碼改了嗎"成為歲末網民間最流行的問候語。
分析稱,黑客盜取CSDN、天涯、新浪等眾多知名互聯網的用戶信息,是為了獲得漁利。京探網CTO黃榮明透露,盜取用戶信息的根本目的是為了倒賣信息賺錢,目前一條倒賣用戶信息的完整灰色產業鏈已經形成。
并且,國外也有這樣的案例,早在2011年4月,有人在PSX-Scene出售220萬個來自索尼PSN平臺的用戶資料。除用戶姓名、居住地址、郵編、國籍、電話號碼、電子郵箱地址、密碼、生日外,遭到泄露的資料還包括信用卡號碼、CVV2碼和失效日期。索尼也承認PSN平臺遭到"黑客入侵"。
一方面是服務端難以彌補的漏洞,另一方面,引發賬戶入侵的則是激烈的市場競爭下,互聯網應用開發者、各類企業對于用戶的爭奪戰。據了解,目前,國內有眾多專門從事入侵賬戶的黑客,專門兜售竊取的用戶資料,其身后有兩種買家:一種是模仿抄襲某網站時,請黑客入侵同類網站的數據庫,將該庫信息進行簡單修改后,再導入自己的網站,開發成本驟降;另外一種,則是由于營銷需求索取特定的某種個人資料,如郵箱、手機號碼等,主要是電商在用。
安天實驗室首席技術架構師肖新光認為,眼下網絡泄密的根本原因,從根本上看是過去10年,互聯網開發搶速度的后遺癥。根據安天實驗室普查的情況,國內網站賬戶信息使用明文存放、標準MD5存放的比率是比較高的,而這些方法都是不科學的。但不少商業網站出于方便操作、節省成本,普遍采用"明文保存"的儲存方法。
肖新光建議,網站可以通過制定整體權限和數據訪問的策略;及時安裝應用和補丁;提升應用的編碼質量,提升對SQL注入的防范;還可將應用服務和數據庫服務器分開,將數據庫服務器配置為只有需要訪問庫的應用和管理才能訪問。"加強網站安全有很多的策略和方法,但很多需要較大的成本,這并不是大部分國內網站所 能承受的。"肖新光補充道。
推薦閱讀
“總結體”、“方陣體”、“淘寶體”、“穿越”、“傷不起”“hold>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/170136.html
網友點評
精彩導讀
科技快報
品牌展示