我們來自五湖四海,不為別的,只因有共同的愛好,為中國互聯網發展出一分力!

你的密碼誰做主?

2011年12月30日16:48 閱讀: 20866 次

標簽: 安全


國互聯網最大規模的用戶資料泄露事件正在進行時,自12月21日有黑客在網上公開了開發者技術社區CSDN用戶數據庫包括600余萬個明文的注冊郵箱賬號和密碼。

AD:

中國互聯網最大規模的用戶資料泄露事件正在進行時,自12月21日有黑客在網上公開了開發者技術社區CSDN用戶數據庫包括600余 萬個明文的注冊郵箱賬號和密碼以來,上周末,又新增了十余家國內知名網站涉入密碼外泄的消息。你的密碼改了嗎?已成為眾多網民最流行的相互問候語。

事件回放

12月21日,黑客在網上公開了CSDN網站用戶數據庫。12月21日晚間,CSDN在其官網上發表聲明承認有約600萬用戶密碼遭到外泄,且絕大部分是早年留存的明文密碼。

CSDN僅僅是一個開始,緊接著在國內著名的漏洞報告平臺wooyun曝出一組截圖,截圖中顯示,其中包括人人網、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網等數十家國內知名網站數據庫可以通過訊雷下載。

25日,wooyun又曝出國內知名社區天涯論壇4000萬用戶賬號密碼郵箱明文保存的數據遭泄露。當晚,天涯論壇在其官方微博發表聲明和致歉信 稱:“近日由于遭受黑客攻擊,有多家網站的部分用戶數據庫外泄,天涯也是受害網站之一。為確保您的隱私及賬戶安全,在此,我們懇請您盡快修改天涯社區相關 賬戶的密碼。”

盡管人人網、開心網、多玩網、貓撲等上榜的網站均對此予以否認,僅有天涯社區和CSDN表明已向公安機關報案。隨著天涯用戶密碼遭到泄露,數據泄露 的影響進一步擴大。也意味著大約超過5000萬的用戶數據庫被泄露,同時被通過各種渠道擴散和被人下載。正如國內著名的開源社區Chinaunix創始人 之一竇喆在其微博上所調侃:“手里沒幾個密碼庫,都不好意思和同事聊天,連前臺都有幾個密碼庫了,讓我情何以堪。”

密碼的外泄一時引發互聯網上人人自危,互聯網安全公司紛紛拉響紅色預警。有網絡安全專家表示,此次泄露源于黑客入侵這些網站的數據庫服務器,盜取用戶數據庫等信息,其中包括注冊郵箱、用戶名、密碼(多是密文、部分網站是明文),并將這些數據在互聯網中進行傳播。

蝴蝶效應

此次曝出的用戶資料泄露事件,不過是冰山一角,網民之所以如此震驚,只不過是因為一直被蒙在鼓里罷了。有知情人士稱,“很多網站的數據庫不知道在黑市中被販賣了多少次了”。

有安全專家指出,這些數據泄露會造成蝴蝶效應,當過千萬級的明文密碼、真實郵箱、網上常用ID暴露,如果有心人通過數據挖掘是能做出很多恐怖的事情 的。你的密碼使用習慣被人知道,如生日、喜歡的人、手機號碼等等。你的ID和真實郵箱被泄露,那么你在網上所有的一切都有可能被人肉搜索,想想暗地里有一 雙雙窺私的眼睛盯著你,隨時可能給你致命一擊,這是多么可怕的事情。

東軟網絡安全副總經理曹鵬在其微博上表示:“最近這個月大量的用戶密碼信息被不斷曝光,再加上實名制和摻雜個人信息的網絡發帖使得人肉搜索更加容 易,口令賬號被竊取就意味著個人信息泄露的源頭會被打開,多套密碼加上多個馬甲看來還是有必要的,另外就是網絡世界也需要謹言慎行了。自己前段時間網絡交 易差點被騙,最后通過人肉搜索逼迫無賴就擒。”

資深安全顧問張百川在微博上道出了此次事件網民恐慌的原因,“CSDN暴露的僅僅是程序員為主體的密碼,群體少,且相當一部分人的關鍵應用用的是不 同密碼;但是多玩、天涯等網站的用戶都是普通網民,安全意識很薄弱。也許,很多人的密碼被用來嘗試郵箱、相冊等,以及各種“云”系統:云盤、云CRM、 云……網絡時代,安全是個大問題。”

眾多網民習慣于一個密碼“走天下”,也就是說在多個網站上注冊都使用相同的密碼,這其中也許包括了網銀、QQ、郵件等私密的密碼。此次事件的爆發,互聯網掀起了改密碼狂潮,也讓眾多網民過了一個最忙碌的“冬至”。

中國黑客教父、元老,知名網絡安全專家,綠色兵團創始人,COG信息安全組織創建人龔蔚則表示,黑客一開始或許是出于炫耀目的而向外公布網站數據 庫,網站安全問題是歷史累積的,累積到一定時間就會爆發。同時他表示,網絡犯罪投入成本低,隱蔽性強,所以打擊起來有難度。因此,網民要有自我保護意識, 設置密碼時盡量不要使用簡單單詞,也不要一個密碼在多個網站使用。

目前,多個網站開始預警提醒用戶注意賬號安全,建議用戶盡快修改密碼。此外,還提示用戶設置的密碼不要過于簡單,建議新密碼采用數字和字母組合的方 式以增強安全性。有專家建議,盡量避免使用相同的用戶名和密碼來注冊所有的賬戶,并采用經常更改密碼的方式,來規避不可預知的風險。

事件反思

解決此次事件所帶來的麻煩,僅僅改密碼就夠了嗎?盡管眾多上榜的網站均否認數據庫被泄漏,但通過此次事件讓網民對網站的安全性提出了質疑。暫且不論 這些的網站出于什么動機去明文存儲用戶的密碼。明文存儲密碼本身就是個致命的安全錯誤。有不少網民對此表示憤怒,“明文存儲密碼簡直是坑爹。”

深圳大成天下公司網絡安全技術專家吳魯加認為,此次事件是黑客攻擊導致數據整體泄露的事件。由于的數據泄露,對企業和用戶實實在在地產生了重大的影 響。吳魯加用木桶來比喻互聯網。他說,互聯網用戶的隱私短板,不再取決于單一企業,而是取決于所有這些握有大量用戶信息的企業中的最短板。

近年來,由于金錢利益的驅動及非法地下交易市場,黑客攻擊目標從普通用戶轉向具有更多用戶資料的企業數據庫,數據庫的安全防護也一直被列為企業IT部門的重要工作之一,但是防范措施和安全投入卻參差不齊。

北京明朝萬達科技有限公司董事長王志海一語道破目前眾多互聯網對安全不重視的弊端,“CSDN這次泄密不是技術問題,是態度意識問題。”同時他指 出,目前大部分人面對安全顧問,習慣的反應是我沒有什么系統或數據需要保護的。CSDN事件再次警醒,我們現在最缺的不是什么先進的安全技術,而是基本的 安全意識。如果能夠實實在在地把現有安全措施用上,絕大部分安全事件都不會發生。

百度PHP高級顧問惠新宸則指出,安全意識是一個程序員的基本素養,它應該成為你的本能,時時刻刻地灌注到你的每一行可能產生taintedstring的代碼中。而不應該假手,依賴于安全工程師。

知名信息安全專家彭泉給出了防范之道:“我覺得最簡單的就是讓黑客即使觸及到數據庫也無法“看懂”,即對用戶名、密碼、郵箱、身份信息全部加密,而 且變形加密,然后可再配合數據分散存儲。”他感嘆到,到目前為止,還未有此事件涉及的公司公布或說明數據庫泄露過程的技術審計結果,這是此事件最大的悲 哀。

通過此次中國互聯網最大的用戶數據泄露事件暴露出這些網站在運用各種方式吸引用戶,增加網站注冊人數、提升人氣的同時,完全忽視了安全的必要性,無 疑是對用戶信息安全的公然漠視。此次事件給眾多互聯網企業及網站敲響了警鐘。最后引用知名網絡安全專家Coolfire的話:“身為程序員,不否認自己也 曾犯過同樣的錯,某些小小系統仍使用明文存儲密碼,成本是主要考量。程序、心態都一起升級吧。

分享到: 更多
藍客門戶
©2001-2019 中國藍客聯盟 版權所有.
關于藍客聯盟歷史宗旨章程技術服務聯系我們藍客社區

女校剑道部闯关