【IT商業(yè)新聞網(wǎng)綜合報(bào)道】(記者 艾米)CSDN、天涯社區(qū)等知名大論壇的用戶密碼大批外泄事件導(dǎo)致互聯(lián)網(wǎng)界"草木皆兵"。 "泄密門"從一個(gè)網(wǎng)站的危機(jī)演變成互聯(lián)網(wǎng)世界的一場(chǎng)風(fēng)波,變成了2011年底網(wǎng)民最關(guān)心的話題之一,"你的密碼改了嗎"成為歲末網(wǎng)民間最流行的問候語。
分析稱,黑客盜取CSDN、天涯、新浪等眾多知名互聯(lián)網(wǎng)的用戶信息,是為了獲得漁利。京探網(wǎng)CTO黃榮明透露,盜取用戶信息的根本目的是為了倒賣信息賺錢,目前一條倒賣用戶信息的完整灰色產(chǎn)業(yè)鏈已經(jīng)形成。
并且,國(guó)外也有這樣的案例,早在2011年4月,有人在PSX-Scene出售220萬個(gè)來自索尼PSN平臺(tái)的用戶資料。除用戶姓名、居住地址、郵編、國(guó)籍、電話號(hào)碼、電子郵箱地址、密碼、生日外,遭到泄露的資料還包括信用卡號(hào)碼、CVV2碼和失效日期。索尼也承認(rèn)PSN平臺(tái)遭到"黑客入侵"。
一方面是服務(wù)端難以彌補(bǔ)的漏洞,另一方面,引發(fā)賬戶入侵的則是激烈的市場(chǎng)競(jìng)爭(zhēng)下,互聯(lián)網(wǎng)應(yīng)用開發(fā)者、各類企業(yè)對(duì)于用戶的爭(zhēng)奪戰(zhàn)。據(jù)了解,目前,國(guó)內(nèi)有眾多專門從事入侵賬戶的黑客,專門兜售竊取的用戶資料,其身后有兩種買家:一種是模仿抄襲某網(wǎng)站時(shí),請(qǐng)黑客入侵同類網(wǎng)站的數(shù)據(jù)庫(kù),將該庫(kù)信息進(jìn)行簡(jiǎn)單修改后,再導(dǎo)入自己的網(wǎng)站,開發(fā)成本驟降;另外一種,則是由于營(yíng)銷需求索取特定的某種個(gè)人資料,如郵箱、手機(jī)號(hào)碼等,主要是電商在用。
安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光認(rèn)為,眼下網(wǎng)絡(luò)泄密的根本原因,從根本上看是過去10年,互聯(lián)網(wǎng)開發(fā)搶速度的后遺癥。根據(jù)安天實(shí)驗(yàn)室普查的情況,國(guó)內(nèi)網(wǎng)站賬戶信息使用明文存放、標(biāo)準(zhǔn)MD5存放的比率是比較高的,而這些方法都是不科學(xué)的。但不少商業(yè)網(wǎng)站出于方便操作、節(jié)省成本,普遍采用"明文保存"的儲(chǔ)存方法。
肖新光建議,網(wǎng)站可以通過制定整體權(quán)限和數(shù)據(jù)訪問的策略;及時(shí)安裝應(yīng)用和補(bǔ)丁;提升應(yīng)用的編碼質(zhì)量,提升對(duì)SQL注入的防范;還可將應(yīng)用服務(wù)和數(shù)據(jù)庫(kù)服務(wù)器分開,將數(shù)據(jù)庫(kù)服務(wù)器配置為只有需要訪問庫(kù)的應(yīng)用和管理才能訪問。"加強(qiáng)網(wǎng)站安全有很多的策略和方法,但很多需要較大的成本,這并不是大部分國(guó)內(nèi)網(wǎng)站所 能承受的。"肖新光補(bǔ)充道。
推薦閱讀
盤點(diǎn)2011網(wǎng)絡(luò)流行語:坑爹、hold住、傷不起
“總結(jié)體”、“方陣體”、“淘寶體”、“穿越”、“傷不起”“hold>>>詳細(xì)閱讀
本文標(biāo)題:網(wǎng)站安全投入低黑客難防 兜售用戶資料已成產(chǎn)業(yè)鏈
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/170136.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示