2011年的歲末,一場不斷升級的密碼泄露事件,讓2011年的互聯網“永不寂寞”。從12月21日到12月29日,短短幾天,絕大部分知名網站全部淪陷,無一幸免。CSDN、多玩、178游戲、17173、天涯、當當、京東、卓越……
這是黑客引起的、網站領導的網民更改密碼“運動”,讓全體網民又有了一次自嘲式的狂歡。
用戶信息在互聯網上快速傳遞,好事者更是更改了他人的用戶密碼,讓一些人永遠無法再取回自己的賬號,有的老網民甚至被抹去了互聯網的最初記憶。
這一次,互聯網企業的安全短板暴露無遺。互聯網公司中有3人來專職負責網站安全的規模都是一種奢侈,5人以上算是豪華配制,10人的安全團隊只有3家。
一份來自知名券商的報告顯示,目前,國內互聯網公司的安全支出僅占IT支出的1%,而目前,歐美國家的安全支出占到整個IT支出的8%~10%。
面對大規模的用戶信息泄露,企業責無旁貸。但“脆弱”的它們根本無法抵抗“黑客”來襲,甚至是無意識的“繳械投降”。
問責,問責。在這樣的風口浪尖,它們幾乎都選擇沉默,無一企業坦承自己的安全支出明細。內部,各大互聯網公司開始了“自查、自究”風暴,希望能夠在2012年來臨時,獲得那張通往安全的船票。
集體淪陷
本次黑客公布了約有1億個用戶賬號及密碼相關信息
2011年12月21日,金山毒霸產品經理韓正奇在一個網絡安全相關的QQ群內下載了一份CSDN用戶賬號密碼文件。同時,他把QQ群內要用迅雷專用工具下載的鏈接,轉換成迅雷快傳的下載鏈接,發到一個朋友圈內的QQ群。
僅僅幾分鐘,韓正奇傳的文件就在專業安全網站“烏云”(wooyun.org)上出現了截圖。迅雷不及掩耳,一份包含了600萬用戶信息的CSDN用戶庫在互聯網上迅速流傳。
無論是黑客之間出于“互相炫耀”的心理,還是傳說某個商業組織的背后推動,許多原本被裝在“安全盒子”里、處于隱秘地方的用戶數據庫一一被暴曬在陽光下。
2011年12月23日,多玩、夢幻西游通過木馬泄露。此后,7K7K、178游戲、人人、貓撲、世紀佳緣等等,全國各大知名網站幾乎全部淪陷。
2011年12月25日,天涯被爆其4000萬用戶數據泄露,這占到其總體6000萬用戶的60%。
同月26日,當當、京東、凡客等一線電商被推上了風口浪尖。它們爆出用戶信息泄露,這其中包括真實姓名、電話號碼和收貨地址。
同月29日,中國工商銀行、交通銀行、民生銀行被爆出客戶信息泄露。就連,通往全球的廣東省出入境也有444萬用戶信息疑被泄露。
“每個互聯網公司的用戶和密碼都有泄露,只是規模大小。”采訪中,一位在安全行業多年的工程師告訴記者,大網站、大公司在安全這件事上也不可信。
在密碼門事件期間,中國黑客教父goodwell接受媒體采訪時稱,本次黑客公布了約有1億個用戶賬號及密碼相關信息,預計“地下黑客”已經掌握了更多的互聯網用戶賬號信息。
在使用“密碼泄露查詢工具”后,不少網民在微博上坦露心聲,自己不止一家網站的用戶名與密碼泄露。出于方便易記,許多網民將用戶名與密碼統一起來,或者互相關聯。有的使用郵箱進行互相關聯。
一位不愿意透露名字的CSDN用戶更是苦不堪言,她的CSDN賬戶信息被泄露,通過一連串關聯,搜狐、Gmai、網易、雅虎等郵箱全部無法登錄。這些郵箱是她登錄論壇、SNS、支付寶,以及各種購物網站的方式,“綁定”了她所有的互聯網生活。由于各個郵箱之間錯綜復雜的關聯,她無法通過密碼取回的方式來取回這些郵箱。于是,“一門攻破,全城皆失”。
危險,并不止于此。智能手機闖入生活,手機開始逐步成為大眾互聯網生活的主要載體。 “手機上的信息泄露將會更嚴重,除了泄露用戶名和密碼,還可以泄露位置。”云計算安全廠商星云融創CEO馬杰告訴記者。
目前,PC上的操作系統比較集中(win90%、MAC接近10%、linux是0.1%)。由于操作系統的“獨霸天下”,殺毒軟件也會比較完善。但是,手機操作系統種類較多,各種APP應用紛繁雜陳。由于安全軟件的不完善,許多黑客就盯上了這一有利時機。
“目前,手機上的安全問題并沒有全面爆發,但是一旦上網資費大幅下降,手機用戶可以‘隨時在線’,那么手機黑客產業鏈也會迅速成熟。”馬杰告訴記者,現在智能手機的CPU統一到ARM架構上,芯片有高通、聯發科等廠商,操作系統是iOS、Andriod、Windows,它們都在快速融合,這給黑客節省了“逐個攻破”的成本。
“手機扣費、扣流量都是SP時代玩的花樣,智能手機還會帶來更多的‘黑客’玩法,如查詢用戶常去的區域、GPS跟蹤、手機購物等等。”星云融創營銷總監孫大偉告訴記者。
“我們會生活在一個透明、沒有隱私的世界里。”就像電影《楚門的世界》里那樣,我們都生活在他人的“監視”之下,只要別人有這樣的想法。
企業問責
提供互聯網服務的公司無論免費,還是付費,在法律上都有責任保護用戶信息
此次暴露出來的CSDN、天涯等網站的用戶信息都采用“明文密碼”的方式編寫。黑客可以輕而易舉地攻擊網站,拿到用戶數據,而“明文密碼”根本用不著破解,用戶名和密碼可以直接讀取出來。 上一頁1 2 下一頁
推薦閱讀
中國國家版權局官員30日透露,現已草擬《主動監管視頻網站管理辦法》和《視頻網站主動監管黑名單和警示名單制度》,征求意見后將適時發布。 【 IT 商業新聞網訊】 (記者 漆畫)國家版權局、新聞出版總署兩部門今天召>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/170366.html
網友點評
精彩導讀
科技快報
品牌展示