互联网泄露事件:实际损失远小于外界想象
http://msn.finance.sina.com.cn 2012-01-09 08:45 来源: 财经国家周刊2011年底发生的互联网泄露事件,实际造成的直接损失远小于外界想象,其意义在于让公众更加关注信息安全,并转化为互联网业界构建中国信息安全生态的宝贵契机
记者 王云辉 实习记者 程明
2011 年12月19日,民间组织COG(信息安全专业委员会)创始人龚蔚(goodwell)发布了一条微博(http://weibo.com)称,互联网信任危机一触即发。
这条微博似乎成了中国互联网2011年度的预言——48小时后,中国互联网泄密事件发生。
自12月21日开始,在不到10天的时间中,由技术网站CSDN、知名论坛天涯开始,大量网站被爆存在用户数据泄露,据CNCERT(国家互联网应急中心)公布的不完全统计,截至12月29日,被外界怀疑泄露的数据库已达26个,涉及账号、密码2.78亿条。
12月27日晚,中国计算机学会青年计算机科技论坛广州分会(下称“CCF广州”)召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件。”
当天,工信部通信管理局和国家计算机网络应急技术处理协调中心也在北京紧急召集多家互联网企业、信息安全企业和多位网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。据不愿具名的消息人士透露,公安部门也已对此次事件立案侦查。
在业界看来,此次恐慌事件后,互联网信息安全可能由一个甚至不受行业重视的技术问题,变成如同药品、食品、教育一般受到社会广泛重视的问题。破而后立,这或将成为中国信息安全生态进化的宝贵契机。
网站利益局中局
此次泄露风暴最终影响了多少中国网民,目前无法确切统计。
国家互联网应急中心的通报认为,此前能够确认数据泄露的只有CSDN与天涯两个网站,其他的数据库被公布的“泄露信息”只有部分属实,部分数据则被证伪。
“在业内看来,类似的事情早已多到近乎麻木。”信息安全公司启明星辰(001439.SZ)首席战略官潘柱廷说,其实每年都有多起重大的用户数据库被盗事件(黑客们习惯称为刷库或拖库),国外类似事件的规模更大,且因涉及信用卡账号等关键信息,危害普遍大于国内的泄露事件。比如,2011年已被证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,就包括索尼、世嘉等大型游戏设备厂商、花旗银行等金融机构及RSA等安全厂商巨头,仅日本索尼4月被黑客窃取的客户信息就高达7700万,其中还包括信用卡账号。
业内人士告诉记者,此次事件之所以影响大,是利益驱动下“搅浑水”的互联网江湖众生百态。
“关于密码泄密后的事情:1、某上市公司忙着造假库往外扔。栽赃其他公司,想摆脱被曝明文库的证据;2、有网站通知所有用户修改密码,乘机激活用户;3、还有网站把这些公开库的数据直接导入自己用户库,也发通知给用户改密码;4、钓鱼的、垃圾邮件的也都活跃起来。”12月27日,CSDN创始人蒋涛发布微博说。
“其实,很多用户根本就记不清自己在哪些网站注册过用户名与密码,”一位网站负责人说,以前,他们发展用户需要花钱做广告、群发邮件,而且效果并不理想,但这一次有现成的用户资料,而且这些已经泄露密码的网民非常恐慌,收到邮件后会积极的“改密码”,这让很多中小网站一夜之间就发展了大量“老用户”。
“这反过来又加剧了公众的恐慌,因为有越来越多的网站说数据泄露了,快来改密码吧,一夜之间仿佛整个互联网都变得不可信任。”该负责人说。
一位黑客说,与之对应的是,也有发现数据库泄露的网站不动声色,悄悄地给用户发邮件,让用户“防患于未然,避免受到其他网站数据库泄露影响”。
在业内人士看来,此次泄露事件对网民造成的直接损失其实小于外界想象。 “破而后立,从长远来看,对中国互联网来说,这或许反而是一件好事。”一位安全厂商负责人认为,经过恐慌的放大效应,事件虽然没有带来重大的经济或社会损失,但却让互联网企业和公众意识到信息安全面临的风险,这有助于中国互联网的安全生态得以进化。
或转化产业契机
“网络安全其实可以分成两个层次。”潘柱廷说,一个层次是政府、军事乃至电力、通信、金融等事关国家安全的关键基础网络,在这个层次上,中国一直非常重视,有相对严格的安全保护机制,此次事件中也没有受到影响;另一个层次则是以商业、社会公用为主的互联网络,这一层次则相对脆弱,比如大量的中小网站,就普遍缺乏信息安全的意识及投入。
潘柱廷同时也表示,这一问题全球皆然。
“用户的安全防范能力永远滞后于黑客的技术能力,因此仅靠用户自己的话,数据泄露问题是‘无解’的。”国家网络信息安全技术研究所所长杜跃进说,如同世界上总会有小偷一样,数据泄密事件在互联网领域也无法杜绝。杜跃进认为,互联网的信息安全防护水平其实一直在不断提高,比如现在攻击一个网站的难度,已经远大于以前,只是因为互联网不断发展,应用更加深入,吸引攻击者的“有价值目标”不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。
在2011年6月的中国计算机学会YOCSEF特别论坛上,中科院软件所副研究员蒋建春就曾对互联网的攻击演变进行回顾总结:在上世纪七十年代,网络攻击是一件难以想象的事情;八十年代出现了学术攻击;九十年代出现非利益性攻击;二十一世纪则演变为面向价值攻击。
“不过,目前国内地下产业中相对更多的还是信息倒卖,真正直接在网上损失财产的还相对较少。”陈睿说,“就目前而言,中国自行车被偷的人,还比在互联网上丢了东西的人多。”
不过,也有一些安全厂商负责人认为,中国过去的网络安全风险不可小视。
“中国互联网的竞争相对更加激烈,中小网站可能有100个原因死亡,其中最小的可能就是安全问题,所以安全意识一直相对淡薄。”该负责人说,在成本一定的前提下,安全与方便性是矛盾的,比如增加验证码手段,在提升安全性同时,却会影响用户体验的方便性,可能会流失部分潜在用户,所以网站经营者往往先把安全放一边,投入先集中在吸引和发展用户。
甚至一些大中型网站也并不重视网站安全。“比如每年的互联网行业会议,安全分论坛都放到最后,而且到开会时网站的老总甚至CTO(首席技术官)都全走光了,只留下一堆没有决策权的技术员。”该负责人说,在此之前,我国信息安全占IT投资的比例只有1%,而西方发达国家是8%到12%。
此次泄露事件的爆发,则让很多网站开始反省安全问题。
潘柱廷说,最近已经有很多网站开始主动联络安全厂商讨论提高网站安全防护能力,“对整个中国互联网来说,这是一个良好的信号。”
陈睿表示,在网络技术到了一定层次后,个人的力量将越来越弱化,网络信息安全的对抗更多将趋向投入的对比、资源的对比、设备的对比。
业内人士认为,经过此次事件之后,无论是信息安全投入、还是信息安全的行业自律和流程规范,都将得到强化。像以前网站使用明文存放密码、用户使用简单密码等安全业屡次提醒、互联网站和公众一直未予重视的问题有望缓解,这些都将有助于互联网络的信息安全提高。
催生政策与商业模式变革
信息安全业界认为,此次事件的深远影响将在2012年以后逐渐显现,将可能在立法、政策、商业模式及格局等环节带来变革。
杜跃进说,其实中国的信息安全的很多领域在国际上并不落后,甚至领先,比如中国是最早出台国家层面的信息安全协调机制、国家级网络应急响应组织的国家,国家互联网应急中心从2003年就开始了对互联网络的病毒与木马全面监测,而在此次事件后,公众网络信息安全的防护或许还会得到进一步提升。
“在2008年以前,中国针对网络犯罪的立法曾相对滞后,但在过去两三年,尤其是2010年以来的法律修订过程中,已经有较大的完善,比如对制作病毒、木马,盗窃虚拟资产等行为,都已经有执法依据,此前也已有犯罪分子因为涉及触犯条例被刑事处罚。”陈睿说,“但在公民的网络信息安全、网络财产等权益保障环节,立法仍有一定空白,这在此次事件后可能会有所加速。”
很多安全人士则呼吁政府,对涉及用户信息保存与使用的网站,出台新的规范,以相对硬性的规定,约束网站达到一定的安全规范。
一位政府人士向《财经国家周刊》记者透露,未来政府可能会对互联网企业进行评估,社会影响较大的网站或服务将会进行强制性的安全要求,“增值电信领域的尝试近期就将开始。”
与此同时,互联网自身的市场竞争,也正在催生提高用户信息安全的新商业模式出现。
比如OPEN ID(通用账号)。互联网企业人士透露,目前新浪、腾讯、支付宝等大网站都已经在各自联合大量合作伙伴推广OPEN ID。通过这一服务,用户只需要记住一个统一的账号和密码,就可以同时登陆多家网站,而其账号、密码等信息,只存储于核心企业数据库中,这既减少了用户记忆密码的难度,也因为可以集中保护,减低了数据泄露的风险。
而在2011年8月,金山网络也推出了新的业务“网购敢赔”,承诺只要金山毒霸2012用户开启网购“敢赔模式”,如果网购仍感染木马或登录钓鱼网站遭遇财产被盗,金山网络将进行上限500元的现金赔付。在业内人士看来,在目前中国仍未出现虚拟财产保险的情况下,这一商业模式也正是迎合了信息安全风险不断加大的网络生态,在增加用户安全保障同时为企业吸引用户。
潘柱廷则认为,未来面向中小企业的信息安全防护业务也可能得到迅速发展。因为中小企业往往难以单独进行大量的信息安全投入,但地方政府、数据中心、运营商、云计算服务商等平台可能在服务中整合信息安全功能,在自身获得业务增值同时,也让整个互联网产业的信息安全也得以提升。
网络保护的法理求解
文/《财经国家周刊》记者 雍忠玮
用户数据库泄密事件之后,无论是数据库已经泄密的CSDN和天涯等社区网站,还是被用户担心和疑虑的新浪、腾讯等门户网站,无一例外地采取了“低调”或“沉默”的应对方式,而数以亿计的用户此时发现,保护自身信息安全,除了修改密码之外几乎无计可施。
还没有单独立法
在CSDN和天涯用户数据库泄密之后,大量的普通互联网用户在担忧自己的注册信息是否泄密的同时,也参与到泄密数据库的下载和转发过程中。
“需要提醒的是,普通用户得到这些数据库密码信息,再进行传播,也是违法的。” 中国政法大学知识产权中心研究员、法律专家赵占领对《财经国家周刊》记者表示。他进一步提出,“政府和法律界应更为重视类似事件的处理,从法理和法规上,对互联网信息安全进行政策和法律的制定。”
根据赵占领的介绍,围绕互联网个人信息保护的法律法规,中国当前的主要参照依据,仍然是刑法的相关规定,“相关的判例也有,但那些都是涉及到明确的主体、明确的资金,在民事赔偿和行政处罚领域,仍然缺乏明确依据。”
由此不难理解,为何CSDN和天涯两大泄密网站一方面分别在北京和海南向公安机关报案,而另一方面绝口不提对用户的任何赔偿方案,仅以道歉作为终结事件的底线。
CSDN相关负责人告诉《财经国家周刊》记者,公司内部对于如何处理此次注册用户数据库泄密事件已有结论,“一方面通过各种方式,包括和其他网站合作,通知用户修改密码;另一方面我们也对存在安全隐患的用户,进行临时的密码锁定,敦促用户在登录过程中修改密码。”
该人士多次强调,CSDN早于2009年4月开始,就已经使用加密密码保存用户数据库,“已泄密数据属于早前数据,甚至相当一部分密码用户已经修改过,但业界媒体和很多用户对此并不了解。”在谈及是否已有对涉及泄密的用户提供赔偿方案或者弥补措施时,该人士表示,通知密码修改和临时锁定就是弥补措施,对于赔偿方案,对方拒绝讨论,并称“这个事情甚至不是我们公司所能决定。”
天涯网站一位副总裁则私下对《财经国家周刊》表示,“国内在用户赔偿方面,还没有什么具体可依据的标准,而且用户的损失究竟如何界定,也不是很清楚。”该人士透露,天涯内部证据显示,有些用户数据库泄密,其原因并不是因为天涯网站,而在于用户在其他网站使用了同样的ID和密码,“那些网站发生泄密后,我们发现了极少数用户在天涯也使用了同样的ID和密码。这种泄密,天涯根本无法预防。”同样,该副总裁也对记者表示,虽然并不具体负责技术部门,但也明确知晓公司至2009年以来,就一直采用的是非明文密码数据库。
包括CSDN、天涯、网易等网站在内的超过2亿个账户及密码泄密事件,所涉及的金额数量目前仍然难以估计。在《财经国家周刊》调查过程中,无论是网站主体,还是普通用户,都认为大部分网站注册用户的相关数据“是免费的,没有太多实际资金的损失。”
“其实从法律的角度,虽然没有单独立法,但从多个法律条款已经对用户信息保障有所规定,难点仍然是在执法上,这个问题从全球看都是一样的,就如同美国和欧洲也有黑客盗取信息。”互联网领域的知名律师于国富对《财经国家周刊》表示,“例如中国的法律就规定了,对于非法入侵他人电脑获取信息,可以判处三年或以下拘役徒刑,但年轻的黑客们甚至都不知道这个法律条文,他们精通互联网技术,却在法律方面面临大片的盲区。”
同样,发生于2011年底的互联网用户数据库泄密事件,并非中国互联网发展过程中的第一次规模性安全事件。2005年底,中国互联网曾爆发了第一次大规模个人信息泄密事件,即“9000万人信息泄露”事件,该次事件将“优库网Ucloo”和“中国同学录”直接推至浪尖。
立法纠结之处
1994年由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,但这一条例更多的是从计算机病毒和国家信息安全的角度,对计算机信息领域安全进行了规范,而这之后,随着中国互联网的发展,有关个人信息保护的立法,多年来一直是让法律界和政府主管部门纠结的环节之一。
2002年,国务院信息化办公室联合中国社科院,开始了“个人数据法律法规比较课题”的研究,并于2005年在此基础上形成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。此后没有更进一步立法进展。
在过去近十年中,试图牵头个人信息保护领域立法工作的部委,分别包括了国务院信息化办公室、原信息产业部(现为工业和信息化部)、商务部等多个部委,然而,缺乏统一的牵头单位,成为中国个人信息领域尤其是互联网个人信息领域立法推进缓慢的核心原因。
“就目前而言,中国政府目前甚至没有专门的信息资源主管部门。如果无法从源头厘清这一现状,制定个人信息保护的法律法规,就无从谈起,即便制定出这一法律,也无法得到有效实施和规范。”北京邮电大学教授、法律专家谢明敦对《财经国家周刊》说。
作为中国互联网业务上的主管部委,工业和信息化部于2011年2月曾发布《信息安全技术个人信息保护指南》,但由于该文件仅属于建议性和规范性范畴,因此并没有对互联网信息泄露有任何可执行的规范和处罚条文。
于国富律师认为,中国的法律采用大陆法系的成文法体系,需要经过法定程序研讨制订,法律才能在司法实践中起到作用,而法律制订通常需要很长的时间并经过严格的程序,这必然会导致立法滞后于实践。
“不过从目前来看,中国有比较完善的司法解释制度,涉及互联网案例中尚未立法的部分,司法体系或许可以通过司法解释来填补空缺。”于国富说。