你的密碼還安全嗎?
12月25日,天涯社區的4000萬用戶信息被泄漏,占到天涯用戶總數的60%。到目前為止,這起信息泄漏事件的始作俑者仍未查出。
多家互聯網公司的用戶數據庫被大規模泄露。12月21日,知名程序員網站CSDN的600萬用戶數據被泄漏。此前,用戶信息泄漏事件涉及到多玩網、人人網、貓撲、新浪微博、7K7K小游戲、嘟嘟牛、178游戲等互聯網公司。12月26日,人人網、新浪微博等公開否認用戶信息被泄露。
互聯網用戶信息泄漏由來已久。“200元購買4萬個老總的手機號”類似販賣信息在互聯網上呈泛濫之勢。“用戶信息泄漏傷害的是用戶本身,并不損害互聯網公司的利益。”一位互聯網行業人士評價說。
信息泄露程度難估
對于部分互聯網公司而言,最值錢的就是用戶數據,這些數據隨時可以售賣變現;另一方面,互聯網企業在安全方面投入甚少,也變相造成了用戶信息的“裸奔”。
用戶信息遭到泄露的互聯網公司“人人自危”,紛紛自查用戶數據庫,同時以郵件、短信等方式通知用戶更改個人密碼。
多玩網相關負責人告訴記者,目前,多玩網正在確認被泄漏用戶的數量與程度,負責安全的技術人員正在接受排查。
有大量實名用戶的網站對信息泄漏事件則一口否認。人人網的官方回復稱,人人網對用戶信息采取的不是明文存儲方式,也并沒有泄漏用戶信息的情況。新浪則回復道,新浪微博的用戶密碼并沒有被盜取,并且已經采取了更加嚴格的保護措施。
“由于關聯性,用戶信息泄漏到什么程度,現在還很難估量。”金山毒霸反病毒工程師李鐵軍認為,大部分用戶往往使用同一個用戶名和密碼登錄多個網站。
李舉例道,一個郵箱往往關聯十幾個互聯網服務,包括常用郵箱、論壇、網站、SNS、購物、支付等。用戶不僅會收到大量的垃圾短信與郵件,還會將病毒通過SNS傳至朋友,支付賬戶的余額很可能被竊取。對于游戲類的玩家來說,賬戶里的裝備可能一夜之間被人“順手牽羊”,辛苦幾年練出來的級別瞬間“化為烏有”。
不僅如此,對于企業用戶來說,將更加危險。獲得這些用戶數據的企業或個人,可以通過多種手段搜尋到最有價值的企業賬戶,往往可以獲得企業郵箱,進而獲取企業的經營內容甚至商業機密。
“隨著互聯網用戶的暴增,各家都會保存數據用以分析用戶行為,所以互聯網上的安全風險增大。”前文所述的互聯網行業人士認為,一旦執行實名制,由于互聯網安全不規范,那么存在的隱患就更大。
由來已久的用戶信息販賣
“實際上,自互聯網誕生之日起,互聯網用戶數據的交易就開始了。”李鐵軍告訴記者,現在暴露出來是因為用戶信息經過多次販賣,已經變得“廉價”,甚至免費了,之前用戶信息的價格非常高。
互聯網公司的盈利模式基本分為兩種,一是廣告,二是向用戶收費。這兩種模式的共同基礎是,為用戶提供某個免費產品或服務以獲得流量,再通過廣告或道具收費來賺錢。前者如新聞門戶,后者如游戲公司。但是,互聯網“免費”的模式使得這些公司賺錢需要花費的時間比較長,并且很多互聯網公司在創業過程中倒閉了。
對于互聯網公司而言,最值錢的就是用戶數據。只要擁有了這些數據,就可以做定向的廣告推送,還可以分析用戶的行為,進行更具針對性的營銷。其中,游戲、SNS網站用戶的信息價值最可觀。業內估計,1000萬游戲用戶的信息價值達到幾百萬甚至上千萬元。
“所有的網站都‘死守’這些用戶數據,它們可以隨時變現。”前述互聯網行業人士說道。
因此,接下來的現象就屢見不鮮。某些網站的用戶想注銷賬戶,卻被提示無法注銷。在SNS網站上,用戶注銷后,相關的信息并不會刪除,用戶再用相同的郵箱注冊,之前的個人信息、記錄、日志、照片全部可以恢復。那些倒閉的網站,絕大部分不會銷毀用戶數據。
這些有價值的用戶信息是如何被泄漏出去的呢?
一位業內人士告訴記者,一般而言,信息泄漏有兩個渠道:一是“黑客”攻破公司的防火墻,盜取存于服務器上的用戶信息;二是某些網站主動售賣用戶數據,以謀取利益。
獲得用戶信息后,這些販賣者就會泡在論壇、社交網站甚至黑客網站里。因為這里存在大量的求購或販賣用戶信息的需求。而交易雙方一般通過互聯網進行交易,并不見面。
一位不愿意透露姓名的行業人士告訴記者,由于購買用戶信息代價不菲,那些花高價買了用戶信息的人會想辦法將這些信息再兜售出去。由于電子化的信息售賣起來很方便,會導致用戶信息被多次轉手泄露。
“用戶信息泄漏,并不會損害互聯網公司的利益,只是用戶受到損失。”這位互聯網人士告訴記者,這樣的機制讓用戶“反抗無效”,只有“任人宰割”。
安全投入不足1%
“現在泄露的用戶信息都是直接保存密碼原文(明文),沒做任何加密。”金山快盤CTO楊鋼告訴記者,如果做了不可逆加密后,即使數據庫被拖走,里面的密碼也解不開,只能看到用戶名。
道高一尺,魔高一丈。對于常用的加密方法,黑客已經搜集到了大量的解密方法,破解起來并不是一件難事。
“互聯網公司對安全性心存矛盾。”李鐵軍認為,對于互聯網公司來說,產品的用戶體驗是第一位。形成好的用戶體驗往往是簡單、易用的產品,安全往往與復雜對應,會在一定程度上影響易用性。因此,無一例外,互聯網公司都優先選擇了用戶體驗。
一位互聯網安全專家告訴記者,很多網站采用明文密碼的方式讓用戶信息“裸奔”,即便對安全性有所重視,也只是選擇MD5方式(一種加密算法),一般不會選擇SHA1方式。因為雖然SHA1比MD5強度高,但是MD5比SHA1快,互聯網需要的就是快。但是MD5并不完全可靠,若要保證用戶的安全,最好選擇SHA1。
李鐵軍認為,安全防護不只是一個技術問題,企業也不只是安裝了防火墻和殺毒軟件就完成了安全防護,需要專人來實時監控。安全運維人員需要根據訪問列表來及時辨別哪些是入侵,哪些是正常訪問,并進行及時處理。
“目前,中國只有瀏覽量在前100的網站有自己專業的安全運維人員,前1000的網站有安全產品或服務的采購,大部分網站都沒有專業的安全團隊。”一位互聯網行業人士坦言。
據該人士介紹,互聯網公司建立自己的安全運維團隊,需要的成本投入很大。比如,大型B2C購物網站每年的安全運維投入需要達到千萬元級別,小一點的網站也需要幾百萬。但是目前,這些公司的安全投入不過幾百萬,有的只有幾十萬。
而從整個行業來看,據一家券商TMT研究部門的調研數據,目前,中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業,其信息安全支出在整個IT支出中占到10%。相比之下,互聯網行業的安全投入有些“捉襟見肘”。
“再不注意保護用戶信息,互聯網公司的品牌將會受極大傷害。”李鐵軍認為,安全就像是大樓里的消防措施,平常看起來并沒有發揮多大作用,但一旦發生問題,如果安全不到位,那么造成的損害會很大。
推薦閱讀
預存話費送手機合約計劃 購手機送話費合約計劃 【搜狐IT消息】(文/ 宿藝)12月26日消息,中國聯通今天宣布聯合中興、華為、酷派、聯想、海信、TCL、夏新、飛利浦等8家廠商推出系列4.0英寸新定義千元3G智能機。價格涵>>>詳細閱讀
地址:http://www.sdlzkt.com/a/05/20111227/20956.html
網友點評
精彩導讀
科技快報
品牌展示