本篇文章2017字,读完约5分钟
[it时报周刊]数亿用户信息被泄露,这凸显出中国互联网公司的安全机制就像一堵纸墙。
1月11日,在“泄密门”事件发生20天后,作为第一个被公开报道的受害者,中国软件(600536)发展联盟(以下简称csdn)在北京宣布,将与阿里巴巴云联手,迈出建立网络安全体系的第一步——从隔离核心数据入手,为开发者打造一个安全可信的平台。与此同时,csdn公开承认,包括其自身在内的许多国内网站的安全意识薄弱,是导致用户信息大量泄漏的关键。
csdn的所作所为被业界视为恢复其不利影响的重要行动。
2011年12月21日,行业报道称,中国最大的程序员网站csdn被黑客“成功击败”,超过640万注册用户的信息在互联网上公开。在接下来的一周,中国十多个知名网站,如天涯社区、Renren.com、Kaixin.com和Duowan.com,有近5000万用户的信息被黑客发布在互联网上。
由于被泄露的网站覆盖了社会、电子商务甚至个别政府部门的官方网站,“泄密门”成为一个“大事件”,一夜之间在互联网上引起了广泛的恐慌。
截至2011年12月29日,根据国家互联网应急中心(cncert)的统计,cncert通过公共渠道获得了26个疑似泄露的数据库,涉及2.78亿个账户和密码。其中,有12个数据库包含与网站和论坛有关的信息,涉及1.36亿条数据;有14个数据库无法判断网站和论坛的相关性,涉及1.42亿条数据。
一些分析人士指出,在中国互联网发展的十多年中,迅速扩张的互联网企业不知不觉中为自己埋下了安全隐患的种子。缺乏对安全交付的关注表明,这些企业没有将用户数据置于正常位置,这无疑是对用户信息安全的公然漠视。这种情况为黑客提供了一个良好的获利环境,并一再鼓励黑客行动。然而,网络企业所欠的账今后必须一笔接一笔地支付。
扩大种植癌症
泄露之后,csdn创始人兼总裁江涛公开承认,他从未想到数据泄露会如此严重。在csdn服务器不到100台,注册信息只包括邮箱和密码的情况下,江涛曾经认为注册信息没有太多隐私,不会引起黑客的兴趣。
然而,江涛和其他“被招募”的网站忽略了一个重要问题——黑客将利用窃取的信息与用户数据更敏感的网站(如支付宝)进行密码比较。如果密码相同,这意味着黑客可以很容易地侵入这些网站,获取用户的敏感信息。
对于这种可能的后遗症,深圳大成天下公司网络安全技术专家吴鲁佳认为,互联网用户的短隐私不再依赖于单个企业,而是依赖于拥有大量用户信息的所有企业中最短的一个。换句话说,网络信息的安全关系到每一个企业和个人。
据江涛介绍,目前,80%以上的互联网公司存在安全漏洞,70%以上的加密算法密码库可以通过高频碰撞破解,60%以上拥有安全策略的公司也存在漏洞。
根据杭州安恒信息科技有限公司向csdn提供的审计报告,csdn网站开源系统等第三方系统存在漏洞,应用中存在跨站点脚本漏洞等四大问题,使其网站存在安全隐患,暴露出大量信息。
" csdn不是唯一的网站,"高级安全顾问张百川表示,许多网站只在设计之初考虑业务,而没有考虑安全性。在试运行期间,只要功能得到满足,就会被接受。在网站规划、设计、实施、运营和废弃的五个阶段中没有安全保护方面的考虑。这种“凑合”系统的低安全性是显而易见的。
根据中国互联网络信息中心第28次中国互联网发展统计报告,2011年上半年,有1.21亿网民窃取了他们的账户或密码,占24.9%。卡巴斯基亚太区产品经理高一玮对《it时报》表示,尽管近年来互联网的安全防护技术有了很大提高,但许多企业没有及时调整或升级后台系统。
业内一些安全专家向记者透露,国内大多数电子商务网站仍停留在传统的防护技术层面,如防护墙,对账户、密码等机密数据没有明确的访问规定,甚至采用明文存储或不安全的加密存储手段。
然而,一家经纪公司的tmt研究部门公布的研究结果可以更好地解释这个问题。经纪公司的研究数据显示,中国互联网公司的信息安全支出不到it总支出的1%,对安全性要求高的金融业仅占10%,而欧美互联网公司的安全支出一般占8%-10%。
在安全支出严重低于欧美同行的情况下,中国整个互联网的安全形势当然是极其悲观的。业内人士普遍认为,“泄密”的最根本原因是一些互联网公司没有建立健全的安全保护机制。同时,他们也认为,由于网络环境的激烈竞争,互联网的发展一直被扩张效率所主导,这导致了安全风险或隐患的存在成为必然。
中国资深网络安全专家肖也持类似观点。他指出,如果一家网络游戏企业投资100万元来加快游戏开发或增加新功能,好处会提前看到,但如果把钱花在安全保护上,不仅会在短期内失去好处,还会影响开发效率,甚至可能被对手甩在后面。
据行业安全专家称,大多数网络企业缺乏安全维护团队和投资。更令人担忧的是,国内电子商务网站中与网民隐私和财产密切相关的安全部门很少,只成立了1-2个人。这种情况的风险不言而喻。上一页12下一页
