1. 首页
  2. 网络安全

速途专栏:“刷库”事件背后谁在坐收渔翁之利

  (速途网专栏 作者:叶永良)“亲,你今天刷库了吗?”只差数天,便将踏入2012年,就在这新旧交替之际,12月21日,网上曝出本年度国内互联网最大安全事件,国内知名程序员网站CSDN上超过600万个用户账户信息被黑客在网上公布。随后,CSDN官方发布了道歉信,称因未查明原因导致信息泄露,已经向公安机关报案,同时已经对现有的2000万注册用户的账号密码数据库采取了密文保护和备份。此事余波未了,第二天,继续有网友爆料,多玩网的800万份用户资料再次被公之于众!除此之外,7K7K、猫扑等大型社交网站亦有疑似用户数据通过p2p网络公布出来,一时之间,吸引了数以千万的网友争相下载,“亲,你今天刷库了吗?”成了炙手可热的问候语,就在人人自危之时,到底谁能站在背后坐收渔人之利?


  以专业程序员和开发技术为核心的行业网站,CSDN拥有超过2000万名的注册用户,在国内it行业当属无人不知。但就以为可以安稳度过年底之际,最不可思议的安全事件就此发生。作为专业技术的it网站,CSDN竟然采用明文方式保存用户密码,这意味着,不需要任何额外技术辅助,就跟打开记事本一样简单便可查看其中用户信息。


  事件发生后,CSDN方面已经采取积极措施进行补救,但数据源已经泄露,并非所有用户都能第一时间获悉相关情况并登陆网站修改密码,所以无论如何挽救,这次惨痛的安全教训由CSDN给网民上了一课。


  因为很多用户是一个账户在多个网站通用,除了用户名和密码,电子邮件也是“一用到底”。知名邮箱管理专家叶永良指出,目前很多网站都开放了“密码寻回”功能,可通过邮箱重设密码,目前已经泄露了大量的账户信息,甚至可以通过这些信息进入用户的个人邮箱获取更多重要的私人信息,造成更深远的影响。用户可以通过修改邮箱登陆设置来降低风险,例如在登陆时增加手机动态密码验证功能,这样即使丢了邮箱密码,只要手机没丢,以可以让邮箱内的信息力保不失。


  之后相继被爆出的几个大型网站数据库情况亦相当类似,操作手法具有雷同之处。从目前来看,盗取这些数据库的黑客并非将获利摆在首位,若只想从中牟利,大可私下转手即可。数据一旦公布出来,就相当于把事情摆在公众面前,透明度为0的让大家可以看清楚事件的脉络和走向。那么到底谁能站在幕后笑看风云?


  把各大网站的数据库公布出来,既能让一些在一边旁观的“有心人”从中渔利一番,亦会给一些安防程序设计者以压力,影响互联网发展走向。得失之间,自有接盘之人。


  一、旁观者1-垃圾邮件营人员


  数百上千万个账户里面,包含着对应的邮件地址。从不同网站的类型来分类,这些用户群体的兴趣和职业具有很高的相关性,甚至可以以此来推断这些群体当中各自的兴趣倾向、职业演变和经济能力。对于垃圾邮件营销者而言,平白无故的得到几百万份高针对性的邮件地址,那是做梦都会笑醒的乐事。


  只要把数据经过筛选、归类之后导入数据库,再根据不同群体的集体属性特征决定推送广告、产品的类型,面向受众群体的营销方式有的放矢,其效率之高实在难寻对手;


  二、旁观者2-破解人员


  对于从事密码研究和破解的人员而言,这数百万份账户信息里面包含的明文密码可是不可多得的素材。通过数据分析,可以发现对应群体,如CSDN的用户群:程序员设置密码的习惯和倾向,如密码“123456789”被使用了235030次,密码“12345678”被使用了212763次,然后以此为范本,更新破解所需的密码词典,足以大大提升破解效率;


  三、受影响-政策制定者


  前几天刚在北京方面实行了微博后台实名制度,22日又公布了在广州、深圳的七家网站上推行使用真实身份信息注册微博制度。这规定的出发点本意是营造良好的互联网环境,遏制谣言的蔓延,净化网络语言环境。但之前公众亦表示,“后台实名、前台自愿”虽可接受,但只怕网站方面是否有能力保证用户的个人信息得到有效、稳妥的保障。


  以韩国为例,自从2007年7月开始启动网络实名制,分步在各大网站执行。但今年7月,韩国一个知名的门户网站和大型社交网站遭到黑客攻击,约3500万名用户的个人信息外泄,当中包括未经加密的用户名、姓名、电话号码、邮件地址和身份证号等重要信息。此事在韩国引起掀然大波,出于保护网络用户个人信息安全考虑,韩国方面拟打算逐步取消网络实名制度。


  这对于刚在中国社交网络推行的实名制度而言,具有相当程度的冲击,对该制度何去何从,相信是很多网民心中共同的疑问。


  目前事情还在发展当中,但基本已处于可控状态之下。对于网络安全该走向何方,这不得不让我们倒吸了一口凉气。在互联网这个虚拟世界当中,攻防守恒是永远的主题,做好万全的防备之策是不会过时的,应当从个人层面至企业层面构建成熟、稳妥的安全保障体系,从个人做起,从身边做起。

发表评论

登录后才能评论