546
中國互聯網的十二月大災變
開發者門戶CSDN泄漏600萬用戶數據,其中包含極為敏感的用戶名、密碼。垂直遊戲網站多玩網泄漏800萬用戶數據,大部分加密也有小部分明文保存,措手不及的用戶們瑟瑟顫抖。
緊接著51CTO、CNZZ、eNet、UUU9、YY語音、百合網、開心網、人人網、美空網、珍愛網等眾多網站也都陷入用戶數據泄漏醜聞,包括CSDN、人人網、新浪微博、QQ郵箱、知乎多個網站已經在消息披露後提升了安全等級,提醒可能被波及的用戶更改密碼。
僅現在已經確認被波及的用戶規模已經超過千萬,本來大家都在在暖氣房為年終報表、業績數據裏奔忙,現在不得不麵對可能存在的未知威脅,並且你對威脅什麼時候到來完全一無所知。
連環泄漏像是有心人刻意為之
在兩天內,先是CSDN緊接著是多玩網,超過十家網站紛紛爆出用戶資料泄漏醜聞,暫且不論那些未被證實的泄密網站有多少屬實,僅就現在披露的數據已經引起了非常大規模的影響。
這些大型網站通常已經有三年以上的曆史,期間有機會接觸用戶信息的程序員不計其數,是否有泄密可能根本無據可查,更談不上什麼責任認定跟追究了。即便是報警也隻能算是策略性行為,起不到太實質性的作用,在事件策劃者自揭謎底之前,沒有任何一個網站敢說自己是清白的。
事件策劃者既然敢曝露如此多的用戶數據,必然做了足夠多的自我保護措施,確保沒有人能夠找到他們的真實身份。至於策劃這一事件究竟是為了什麼,顯然目前還沒有清晰的答案,也許是為了攻擊競爭對手,也許是為了轉移大家的注意力,也許隻是惡意黑客的玩笑而已。
對互聯網的影響遠比想象中更深刻
“我無法想象這些大網站無法保障我的信息安全,我的郵箱、支付寶、QQ都使用了相同的密碼,這意味著黑客可以肆意去攻陷我的在線帳戶”,這段話正是大多數普通用戶心理的真實寫照,在他們看來網站保障用戶信息安全是理所當然的義務,普通用戶可能會對在線服務失去信心。
問題的核心是沒有人知道自己是否受到影響,普通人並不會像程序員建立數據庫導入SQL文件然後查詢,也不知道自己日常使用的網站資料安全是否完備。通常被曝光的數量往往遠大於真實存在的數量,沒有人知道自己的帳號、密碼、電子郵件、信用卡密碼會不會被放在信封。
這些帳號信息可能會對用戶的關聯帳戶產生巨大危害,並且這樣的危害基本是無法阻止的,因為大多數人對郵件使用了相同密碼,你如果能夠通過登陸及郵件更改密碼,那麼恭喜你,因為那些惡意攻擊者也可以。
更大的危害是,泄漏的用戶數據可能被有心的黑客用作建設密碼破解數據庫(彩虹表),幫助惡意黑客們更有效攻陷在線帳戶。甚至他們會基於此建立更有效的方式,利用社會工程學來突破傳統保護係統的封鎖。
怎樣的密碼才是更安全的?
網友對開發者門戶CSDN泄漏的數據進行了分析,發現排名前三的用戶密碼是 “123456789”、“12345678”、“11111111 ”,這三個弱密碼在泄漏密碼中的占比高達10%。考慮到用戶密碼的的巨大差異性,這已經是一個非常高的比例。(CSDN有下載限製,所以很多賬戶建立的目的是下載,所以就是輸入個不會忘的、簡單的密碼。這部分密碼不可能是用戶真實的常用密碼。)
弱密碼是指簡單容易被破解的密碼,而且這還是在業內的開發者門戶網站,在普通網站使用弱密碼的用戶比例可能更高。
當然,作為用戶有義務設置更高強度的密碼,但是這些密碼居然成功通過了CSDN網站的驗證,大多數網站都具有弱密碼檢測功能,提示使用弱密碼的用戶更換更高強度的密碼。這意味著大多數國內網站的弱密碼檢測功能都是存在嚐試缺陷的,甚至僅僅是判斷字符數而不包含必備的常規判斷。
那什麼樣的密碼更安全?
數字、大小寫字母、符號相互組合,字符數越多越安全,但前提是不要給日常使用帶來太多障礙。考慮到大多數網站已經配置記憶登陸功能,這並不是一個特別大的障礙。如果可能的話,重要帳戶使用單獨的密碼,盡量定期更改敏感密碼
給互聯網創業公司的安全警鍾
CSDN資料泄漏事件中,受到威脅的主要是早期注冊並且沒有更改過密碼的用戶,多玩網方麵給出的回複大致相同。
這樣的情況在大多數創業公司存在,這次事件波及到的很多網站也是近幾年才成長起來的創業公司。在初期由於人手、資源有限,大量的精力都被投入到運營與功能開發中,缺乏對用戶資料的有效防護,容易忽略對用戶資料安全的重視。
然後他們做大之後會發現存在的安全隱患,然後騰出人手來修複存在的安全問題。但這次資料泄漏事件給創業公司敲響了警鍾:用戶的資料安全始終應該被放在足夠重要的位置,否則可能會成為壓倒駱駝的最後一根稻草。
最後更新:2017-04-04 07:03:06