吉林视窗  用户名: 密码:
首页|设为主页

账户资料一“泄”不可收拾 请先管好数据库

来源:西北网   日期:2011-12-31  

      在互联网兴起的初期,曾经盛传一个段子:在互联网时代是最安全的,因为没有人知道电脑后面到底是一个人还是一只狗。但是在今天,这个段子已经过时,因为无论你是一个人还是一条狗,不仅别人都知道,而且还可以让全互联网的人都可以知道你的账户密码,姓名性别,浏览习惯之类的信息,而你对这一切只能默默地承受……

  近期关于国内互联网数据库外泄的事件可谓是越演越烈,并且已经让多家互联网企业深陷其中,中国互联网用户的数据安全正在面临空前的考验。

  账户资料一“泄”不可收拾

  天涯、猫扑、人人网、新浪微博、腾讯QQ均有泄密

  12月21日,有网友爆料称,国内程序员社区CSDN的安全系统遭到黑客攻击,CSDN数据库中的600万用户的登录名及密码遭到泄漏。CSDN在微博上确认了这一事故,并表示已经报案。

  12月25日,国内最受网友欢迎的社区之一,天涯社区也被披露已泄露4000万用户个人数据。“尊敬的天涯社区用户:我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一……”天涯社区首页的哀悼让众多用户陷入彷徨。据悉,天涯网目前共有6000万注册用户,而此次泄漏的用户数量达到总数的60%以上。在得知用户隐私遭黑客泄漏以后天涯网已经启动应急预案,通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码,同时也已经向公安机关进行了报案。

  当互联网业界正在高度关注事件的同时,互联网的“巨头新贵”们也未能幸免,7K7K、猫扑,人人网、新浪微博、腾讯QQ、多玩、世纪佳缘(微博)、珍爱网、美空网、百合网、178、京东商城等也被卷入此次事件中,铺天盖地的各种传言让这些网站的用户也陷入了资料被泄露的担心之中。

  据网友透露,由于此次泄漏的用户名和密码大多是明文密码,一般用户在获得资料库后就可以轻松盗取来使用,通过在一些大型网站中尝试进行登录后发现,部分账户密码的确可以顺利登录,并且还有不少“一号多用”(同一账户密码通用多个网站)的现象出现,被泄露的用户信息可以毫无保留地被全互联网的网民所“共享”。

  360安全专家石晓虹在接受南方日报记者采访时表示,目前根据网上公开的多个数据库账号条目计算,涉及到的具体用户数字已经超过1.1亿。“最近公开的仅仅是部分在黑客交易市场中流传很久的老旧数据库,不同黑客组织实际掌握的用户数据库规模应该远大于1亿条。”根据中国互联网络信息中心在今年7月公布的《第28次中国互联网络发展状况统计报告》显示,截至2011年6月底,中国网民规模为4.85亿,网民资料外泄的比例已经到了不容忽视的地步。

  谁在传播用户数据资料?金山员工,网络黑客?

  虽然国内互联网安全领域存在着众多的知名企业,同时被泄露资料的企业也已经向公安机关进行了保安,但是截止至12月28日记者发稿时为止,对于这次用户资料泄露的源头却一直还是“一个谜”。

  在资料泄漏之初,有网友爆出在CSDN用户数据库泄露事件中,最早在迅雷(微博)公开提供数据库下载的人为金山网络的员工。随后金山网络发表声明,承认相关资料传播人确为其公司员工,但同时表示,该员工并非窃取数据的黑客,也不是最早泄露用户数据的人,并且表示已经对该名员工进行安全意识教育。

  而瑞星安全专家王占涛在接受南方日报记者采访时则认为,像类似的用户资料外泄的黑客事件,要找到源头其实是非常困难的。“以陈冠希的艳照门事件为例,就算是一个普通网民的信息发布的追踪也是非常困难的,更别说具有专业知识的黑客人士了。”

  据记者从业内人士中了解到,由于如今资料传播的途径种类繁多,特别是经过黑客故意掩饰的传播途径更是难以追寻,不管是国外还是国内的安全领域专家对此大多都是束手无策的,“能做到的也只是无奈地等待着下一次用户资料泄漏的发生”。

  网站运营,请先管好数据库

  “由于密码泄漏在服务器上,用户在自己电脑上进行的防护几乎失去了意义,在整件事件中用户处于最弱势、最无能为力的环节。”瑞星安全专家王占涛在接受南方日报记者采访时认为只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。

  业内人士介绍,目前互联网企业对用户信息的保护主要在两个层面,一是防范黑客入侵,二是对用户信息的加密保护。首先网站防护一般会部署防火墙、入侵检测设备、入侵防护设备等防护措施,同时应该及时修复网站程序和服务器系统漏洞,至于网站数据库保存用户密码是为了在用户登录账号时进行身份验证,其中最不安全的保存方式是直接存储明文(用户密码什么样,网站数据库就存成什么样)。这种情况一旦数据库泄露,黑客就可直接掌握所有密码,在本次用户资料泄漏事件中的用户资料大多数都是这种形式。而具有一定安全意识的互联网企业,通常会选择高强度的数据加密方式,即使数据库泄露,黑客也不会轻易掌握所有用户的常用邮箱和密码。

  在用户资料被泄露后,不少互联网企业也已经积极采取措施应对。网易邮件事业部副总经理莫子睿在接受南方日报记者采访时透露,在得知互联网大面积的用户资料被泄露的消息后,网易采取了多种应对措施:“在CSDN的600万用户资料被泄露之后,我们发现里面有260万的资料是在使用网易邮箱。”这是网易邮箱首次公开对泄漏数据进行披露。“虽然不是网易邮箱自身的安全问题,但是网易邮箱还是针对已经遭到泄露的用户的邮箱账号,通过群发邮件告诉用户爆库事件,并提请用户修改密码,绑定手机,注意账户安全。同时针对这些账号,对已经绑定了手机号码的用户,群发短信,通知用户第一时间上来修改密码。而对所有没有任何密保信息的邮箱用户进行弹窗,提醒用户绑定手机。”

  据南方日报记者了解,包括新浪、人人网等互联网企业,都采取了类似的数据库匹配的方式,对已经被泄漏的用户账号在再次登录时都进行了修改密码的提示。

  啥都不说了,赶紧改密码吧

  面对个人账户和密码又有可能赤裸裸地在互联网上供他人“观赏”,广大网民该如何应对呢?根据网友爆料,在用户资料外泄的同时,十余家外泄密码查询网站则一夜大热、流量暴涨。

  南方日报记者登录了其中一家名为“CSDN密码查询”的网站发现,网站简单的界面上提供了用户账号的输入框,用户只要输入自己的账户,点击“搜索”按钮即可通过网站的搜索功能来匹配本次泄漏的用户资料信息,查找出你的账号信息是否在本次泄漏的行列之内。截止至12月28日,网站的查询次数已经接近百万次,而该网站更是在主要的位置上以调侃的口吻奉劝各位网友:“按照目前这个阵仗,你还是别查询了,你只要在国内注册过,你的密码基本都被泄漏了。”

  除了及时发现自己的账户的安全风险外,如何保障账户安全也是各位网民需要提高认识的。360安全专家石晓虹则提醒各位网民,除了马上去对自己的账户密码进行修改外,还要养成分级管理密码,重要账号(如常用邮箱、网上支付、聊天账号等)单独设置密码的习惯,同时需要定期修改密码,最好能够做到工作邮箱不用于注册网络账号。

  密码被黑微博罢工

  近日,包括本报记者在内的不少网友发现,自己的微博账号突然会登录不上,或者在异地登录存在不正常。央视女主播张泉灵也有此遭遇。12月24日晚张泉灵在其个人认证的新浪微博上说:“正上着微博呢,突然就被提示:您的密码已被修改。然后就上不去了。”张泉灵透露,自己赶紧给管理员打了电话,新浪马上帮其重置了。她还提醒广大网民:“如果您在那些泄露网站上有账户,您又跟我一样爱用一个密码,千万小心!”

  张泉灵的遭遇显然不是个案。就在前天,网上再传出爆炸性的消息,称新浪微博用户密码库已被泄露,网上还有下载地址。据称用户数据涉及微博4765896名用户。网友们随机抽取验证,发现其中部分用户名、密码可以正常登录新浪邮箱或新浪微博。对此消息,新浪微博小秘书很快声明称,“有传言新浪微博476万账号被盗,经核实,该份数据绝大部分不是新浪微博账号。”不过此前有新浪内部人士称,传说中的那个476万资料中,超过90%的匹配不上,至于网友反映出问题的,他们认为系“有些网友在不同网站使用同样的用户名和密码,一个被黑,其他的就整体被黑了。”

打印本页】【关闭窗口

| 网友评论
       网友                               评论        评论时间
 昵称:
 内容:  留言内容不得超过200字
 请输入验证码:  看不清?点击此处换一张