網(wǎng)站600萬明文密碼被泄露引起網(wǎng)民擔(dān)憂:賬戶安全誰來監(jiān)管��?
羊城晚報記者林曦實(shí)習(xí)生陳胤挺
CSDN600多萬用戶資料一夜之間被黑客曝光��,涉及開心網(wǎng)、人人網(wǎng)、多玩網(wǎng)��、世紀(jì)佳緣等眾多國內(nèi)知名互聯(lián)網(wǎng)企業(yè)��。雖然安全軟件廠商一再督促網(wǎng)友要盡快更換密碼提高安全系數(shù)��, 但是換了密碼真的就能保證安全嗎��? 為何一再強(qiáng)調(diào)高超加密的數(shù)據(jù)庫泄露出來的居然是明文密碼�? 誰來監(jiān)管這些網(wǎng)站的后臺? 誰來為廣大用戶負(fù)責(zé)�?
1�、蹊蹺 被泄600萬賬號都是明文密碼��?
有網(wǎng)絡(luò)專家稱����,黑客密碼字典可瞬間破解簡單密碼
最先引爆該事件的是國內(nèi)最大的程序員社區(qū)CSDN(中國軟件開發(fā)聯(lián)盟)。21 日上午,黑客在網(wǎng)上公開了CSDN 網(wǎng)站的用戶數(shù)據(jù)庫��, 其中包括600 余萬個注冊郵箱賬號和與之對應(yīng)的明文密碼�。由于許多用戶采用了相同賬號密碼,人人網(wǎng)����、開心網(wǎng)、百合網(wǎng)�、珍愛網(wǎng)、世紀(jì)佳緣�、51CTO、CNZZ��、eNet��、UUU9�、多玩網(wǎng)、美空網(wǎng)等眾多網(wǎng)站隨即被卷入泄密風(fēng)波��,業(yè)界普遍認(rèn)為此次事件是中國互聯(lián)網(wǎng)史上最大信息泄露事件�。
但是令人感到蹊蹺的是, 這份文件中泄密的600 多萬賬號對應(yīng)的都是明文密碼�,也就是說是沒有經(jīng)過加密可以直接看懂的密碼。而一般用戶在網(wǎng)站注冊的時候�,填寫密碼時都用* 號代替并沒有直接顯示, 而且網(wǎng)站還都宣稱在后臺會高度加密�。據(jù)悉, CSDN 網(wǎng)站會員囊括了中國地區(qū)90%以上的優(yōu)秀程序員�, 那這份明文密碼文件該如何解釋呢? 目前該網(wǎng)站還未作出回應(yīng)��。
“網(wǎng)站的安全意識十分不到位�,”金山網(wǎng)絡(luò)安全專家李鐵軍對此向羊城晚報記者表示����,密碼加密技術(shù)其實(shí)已經(jīng)比較成熟��,但是由于黑客已經(jīng)收集了大量密碼的明文和密文��,并以此構(gòu)建了龐大的數(shù)據(jù)庫(在線密碼字典)����,“一些最簡單的字串被許多黑客工具加到最簡單的密碼字典中,瞬間即可破解��?�!睋?jù)悉����,這樣的匹配成功率高達(dá)93%。
2�、黑市 被盜資料數(shù)據(jù)包可賣上百萬元
買者會利用這些信息進(jìn)行詐騙��、發(fā)廣告等牟利
CSDN官方22 日發(fā)表聲明表示����,經(jīng)過初步分析����, 遭黑客泄露的數(shù)據(jù)是2009年CSDN 作為備份所用��, 目前不知泄露原因����,CSDN 表示已向公安機(jī)關(guān)報案,公司要求“2009 年4 月以前注冊的賬號��,且2010 年9 月之后沒有修改過密碼” 的用戶立即修改密碼�。
但有安全領(lǐng)域人士猜測, 目前泄密的資料可能只是一小部分��,更多的數(shù)據(jù)或已被黑客轉(zhuǎn)手賣錢�。該人士透露�,這些數(shù)據(jù)在黑客圈中所謂的“黑市”里銷售��,一個打包“產(chǎn)品”甚至可以叫價上百萬元����,有人會利用該信息進(jìn)行詐騙����,有人會買斷競爭對手的用戶資源, 有人會給用戶發(fā)廣告或垃圾信息牟利��,而一旦數(shù)據(jù)沒有價值了就會被拋出��, 但是對于普通用戶來說��,完全被蒙在鼓里��。
3����、驚訝 23萬人用同一密碼“9”
不少密碼竟在眾多網(wǎng)站中“一號通
大量用戶數(shù)據(jù)被公開后�, 據(jù)統(tǒng)計結(jié)果顯示, 有239 萬人的密碼和別人存在重復(fù)�。在所有密碼中, 最簡單好記的“9”使用率最高�,有23.5 萬人在使用��;其次為“”有21 萬多人使用�;“11111111”有7 萬多人使用?���?傊?,使用相同數(shù)字或者相同字母如“aaaaaaaa”等安全性極差的密碼的網(wǎng)民大有人在��。
李鐵軍指出��,不少網(wǎng)民在眾多網(wǎng)站中都是“一號通”��,一旦一家網(wǎng)站用戶數(shù)據(jù)被暴露�,則郵箱��、聊天記錄����、微博等個人私密性很強(qiáng)的信息極易被泄露?!霸谶@份名單中有的郵箱是與在線支付系統(tǒng)相關(guān)聯(lián)的,” 李鐵軍建議為避免財產(chǎn)損失,網(wǎng)民盡快修改安全性更高的上網(wǎng)密碼��。
4����、質(zhì)疑 網(wǎng)絡(luò)信息隱私保護(hù)無法可依
網(wǎng)站后臺運(yùn)作賬戶安全誰監(jiān)管��?
層出不窮的用戶個人信息被泄事件��,敲響了網(wǎng)絡(luò)信息隱私保護(hù)的警鐘�。有評論人士認(rèn)為��,2000 多萬用戶的程序社區(qū)網(wǎng)站也被黑�, 那么還有沒有值得信任的網(wǎng)站? 倘若改了密碼過兩天又被暴露出來該怎么辦?
用戶在注冊一些網(wǎng)站的時候��, 其實(shí)是單方面提交了個人身份信息�, 但是網(wǎng)站有沒有相應(yīng)的保障十分值得商討�。而網(wǎng)站會不會在沒有法律依據(jù)的情況下��,因?yàn)槔骝?qū)動而將用戶個人信息擅自交給“第三方”? 而“第三方”又會將用戶的個人信息如何處理呢�? 倘若一旦泄密責(zé)任該由誰來承擔(dān),又能承擔(dān)多大的責(zé)任����?這些都是法律風(fēng)險所在。
有法律人士指出, 關(guān)鍵還在沒有配套法律�,目前的司法實(shí)踐中,如果用戶僅以密碼被泄露����、侵害隱私權(quán)索賠的話�,因?yàn)?a href="http://www.luxwatt.cn/flcs/list_574.html" target="_blank" class="keywordlink">舉證不易難以得到賠償�。而企業(yè)掌握了大量客戶個人資料,說給誰就給誰�,說泄露就泄露,用戶沒有一點(diǎn)話語權(quán)�,就承擔(dān)了很大的風(fēng)險����。
專家教你防范
密碼設(shè)置“復(fù)雜化”
涉及金錢賬號的密碼, 要有字母����、數(shù)字和符號混合
據(jù)統(tǒng)計, 國內(nèi)幾乎有50%的用戶都是用純數(shù)字做密碼的����, 而其中只有10%到15%的用戶設(shè)置了10 位以上的密碼����。
瑞星安全專家王占濤對羊城晚報記者表示��,涉及金錢和隱私的賬號����,應(yīng)使用復(fù)雜的密碼��, 要有字母、數(shù)字和符號混合�。這樣的密碼應(yīng)只在一個賬戶中使用��?�!?a href="http://www.luxwatt.cn/flcs/list_271.html" target="_blank" class="keywordlink">銀行密碼因?yàn)橹恢С謹(jǐn)?shù)字��,不能使用電話號碼����、生日����、門牌號這樣外人可知的數(shù)字��,否則很容易被破解?�!?/p>
金山安全專家李鐵軍建議:
1. 將自己日常使用的網(wǎng)絡(luò)服務(wù)分為兩類:重要的(網(wǎng)上支付和聊天賬號等)和一般的����。
2. 使用至少2 個郵箱來綁定或申請網(wǎng)絡(luò)服務(wù)��,并確保郵箱密碼不重復(fù)使用����。
3.重要服務(wù)用重要郵箱來申請��,一般服務(wù)用次要郵箱來申請����。二者絕不混用�。
4.重要服務(wù)使用的密碼,且不能和郵箱相同����, 盡可能不重復(fù)使用重要服務(wù)的密碼�,并定期更換�,最好一兩個月修改一次�。來源羊城晚報)
