“密码门”引爆网络安全危机
http://msn.finance.sina.com.cn 2011-12-30 22:20 来源: 中国联合商报■CUBN记者 陈文喜 北京报道
近日,各类用户数据库外泄的消息引爆了国内网民对于个人隐私保护的关注。
2011年12月28日,网络传出交通银行、民生银行等多家国内银行上亿个客户的账户资料遭泄密,但随后相关银行否认;随后,微博(http://weibo.com)再度传出支付宝和京东商城有用户信息外泄可能,对此支付宝和京东商城也均予以否认;与此同时,广东省公安厅出入境政务服务网被曝出存在漏洞,大量申请人姓名、护照号码、港澳通行证号码遭到泄露,广东省公安厅则回应称确实存在漏洞,但已修复。
瑞星安全专家表示,目前已知泄漏的帐号密码均为媒体、社区类,并未包括利用价值较高的支付密码、网银密码或者SNS(微博)密码等,用户在修改密码之后,完全不必要过度恐慌。
互联网企业信息安全支出低
有业界专家表示,用户对账户的不良使用习惯是导火索。据了解,在CSDN被爆出的640万网民用户密码中,单纯以“123456789”、“12345678”、“11111111”等极其简单的排列组合方式的网民数量高达52万之多,无需任何技术支持便可破解。
支付宝相关负责人则指出,“一些会员习惯在注册任何网络账户时都用同一个邮箱,并设置成相同的密码,由此导致账户的不安全。”
但除了网民的个人使用习惯外,导致泄密门事件愈演愈烈的另一因素是国内互联网企业信息安全支出比重偏低。据相关数据显示,目前,中国互联网公司的信息安全支出,在整体IT支出中的比重不到1%,相较于国外8%~10%的投入。
有业内专家透露,“在被泄露的用户密码中,的确存在着部分互联网企业采用了明文密码保存方式,该网站被黑客攻破,用户密码便如同‘裸奔’一样,毫无任何保护措施可言。此外,一些互联网企业还存在一个普遍问题,就是为了降低成本,而将密码存储的服务器挂到了外网上,对黑客而言,攻破网站后盗取密码便轻而易举了。”
除此以外,随着泄密事件的再度升级,背后隐藏的商业产业链危机开始被互联网业界关注。此前,据CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。据360分析评估,上述被盗号的1.21亿网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据,危害远远超过盗号木马。
在去年早些时候的信息安全论坛上,Chown Group(信息安全专业委员会)的李麒曾在接受媒体采访时更是指出,目前中国黑客的黑色产业链规模价值已经高达百亿元。
因此,对于短期内传出庞大数量的用户信息被密集泄露现象,互联网知名评论人谢文称,泄密门事件恐不止黑客入侵简单,背后是否有商业利益操控值得推敲。
问题或出在服务器端
根据瑞星互联网攻防实验室对整个事件的追踪分析,可以肯定的是,此次出现泄露事故的厂商,问题都出在服务器端,可能存在漏洞的地方是服务器操作系统、数据库、磁盘备份及论坛程序等,对这些环节的软硬件进行加固处理可以很好的防止再次出现泄露事故。
瑞星安全专家也指出,由于密码泄露在服务器上,用户在自己电脑上进行的防护几乎失去了意义,只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。在整件事件中用户处于最弱势、最无能为力的环节,瑞星呼吁所有的互联网服务厂商应提高自己的安全能力,承担起应有的保护用户隐私的责任;对于已经出现问题的厂商,应及时、透明的公布应对措施,帮助用户提升自己账号级别。
针对目前的形势,瑞星宣布,在未来的1个月内,如有大中型互联网公司怀疑自己的网站有安全问题,瑞星愿意为其提供免费技术援助,检测软硬件安全程度、弥补系统漏洞、服务器状态检测等,协助其做好用户数据的保护工作。
瑞星安全专家表示,尽管目前泄露的仅是不太具有利用价值的密码,但如果将来出现SNS网站密码泄露、电商网站密码泄露,其可能带来的损失将大大超出CSDN网站的密码泄露。值得警惕的是,密码泄露的利用价值跟数据库大小无关,比如,如果银行网站的数据库泄露,即使只有几千个用户,那也比几百万、上千万的社区用户数据库有价值,因为黑客可以直接利用其窃取用户资金。
针对普通网民,瑞星安全专家建议可以采用以下措施提高帐号的安全性:1,用户不应该盲目信任“大公司、大网站”,在网上注册的时候应尽可能少的透露自己的个人资料,如非必要,不要泄露电话、家庭住址、银行卡号、QQ密码等私人信息。2,一定要“1个网站1个密码”,不要在多个网站使用同一密码,避免黑客通过攻击安全性低的网站,拿到其数据库后去猜解别的网站密码,近日有多个网站发生此类情况,有些使用相同密码的用户帐号被猜解成功。3,设置网站密码时,应至少在8位以上,数字、字母和特殊符号(@%&&)混合,这样可以加强密码强度。4,应每隔一段时间就定时更换所有密码。比如每三个月就至少更换一次重要网站的密码,这样即使黑客拖库成功,也可以降低其利用密码作恶的成功率。