如何关上“泄密门”?
2011年,我国互联网以一场“史上最大规模的用户资料泄密”事件结束,上千万的账号密码在网上公开,很多网民收到牵连。“泄密门”事件提醒我们要提高安全意识,但是如何关上“泄密门”才是更值得追问的。
“泄密门”暴露了部分网民安全意识的薄弱,同时,人们也讶异:本应被极为妥善保管的用户密码怎会如此不堪黑客一击?在鱼龙混杂的互联网领域,是否应当设立一定的安全运营条件?对这类事件又是否建立起合理的追责机制?
明文密码惹祸 暗码也并非万无一失
“泄密门”发生后,天涯和CSDN均表示,被泄露的数据库是截至2009年用于备份的用户信息,并非最新的用户数据。这些数据在黑客产业圈中已被“洗”到没什么价值了,但这次的密集曝光至少证实了网络安全行业历年来的安全警告并非空穴来风。
360网络安全专家石晓虹解释,此番密码遭泄露“都是明文密码惹的祸”。所谓明文密码就是没有隐藏、显而易见的密码,采用这种数据保存方式的网站将用户输入的密码不经过任何加密,直接存储到数据库中。这是最不安全的数据保存方式,一旦数据库泄露,所有密码一览无余。石晓虹指出,有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,近期被黑客公开的密码数据库大多属于此类情况。
与明文密码相对的是暗码或称密文密码,指的是系统收到用户的密码后,通过某种加密算法进行编译,并对编译结果进行保存。假设用户设置的密码为12345,明文密码在数据库中直接显示为12345,暗码则显示编译后的*****。如果只知*****而不知解码规则,就很难翻译出12345。
目前大部分网站的密码数据库是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。有业内人士指出,这样的暗码保存也并非万无一失,两个不同的密码可能会生成相同的哈希值,黑客仍可利用这个漏洞继续窃取暗码数据库的信息。
黑客盗密 利益驱使
为何会有黑客如此孜孜不倦地盗取网站的用户信息?当然不是为了耍酷,其根本目的是倒卖信息、谋取利益。目前,一条倒卖用户信息的灰色产业链已经形成。
首先,一些企业为了在竞争中获得有利地位,不惜高价收买对手的数据资料。中国政法大学知识产权研究中心特约研究员、知名网络法律人士赵占领表示,在数以亿计的用户面前,蕴藏的巨大商业利益可能会让互联网服务的提供者铤而走险;用户在电子商务网站的浏览痕迹、消费记录、个人信息等,对电子商务企业来说都是宝贵的数据。
其次,一些不法分子企图通过巨额收买用户信息以进行垃圾广告、垃圾邮件的定向发布,甚至实施诈骗行为。如今,通过用户的地理位置信息或者兴趣信息,产生巨大的商业利益似乎已经成为互联网行业不成文的“行规”。这些都给了黑客以生存的土壤,也正是一买一卖之间的市场需求,形成了网络上用户个人信息频遭泄露的恶性循环。
利益的诱惑加上技术的漏洞,已使得互联网用户数据安全尴尬频现。
网站缺乏法律约束 后果网民承担
在数据安全的尴尬中,我国互联网产业却在迅速发展,争夺用户一直是各大网站快速壮大的重点。简化的注册程序吸引了海量用户,而同样简化的数据保护措施恰恰为黑客提供了方便。
许多网站在前期根本就没有重视客户信息的保密工作,先发展后治理成为了行业的一种通病。一些小的团购网站采取各种手法收集大量用户资料,但过不多久,网站因为各种原因倒闭,用户数据成为“孤儿数据”。网站“健在”时都无心保障数据安全,倒闭后的情形可想而知。
不过,这些仅是造成用户信息泄露的主观因素,客观上,互联网产业信息安全监管的滞后难辞其咎。目前,对于用户数据我国尚没有统一的安全标准,也没有第三方机构监管。虽然2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,已对商业网站或其内部人员恶意泄露用户信息牟利的行为作出了相关刑责规定,亦有现实案例,但专门针对信息安全监管的法律,目前仅有一部2004年颁布的《电子签名法》。
正是由于缺乏相应的法律约束,即使数千万用户信息轻易被盗,网站也仅一声道歉了事,种种损失都要普通用户自行承担。如此这般,“泄密门”能关得上吗?
作为普通网民面对用户信息被盗,我们能做的很少,但是我们应尽力减少我们的损失,不要所有网站都有一个用户名和密码,尽量将密码改的复杂一些,同时最好能定期更改密码。
相关资讯 [ 关键词: 泄密 ]