11年12月21日至今,CSDN数据泄漏引发的泄漏门事件都是网络安全界的一大热议话题。短短十天左右的时间整个互联网有过亿的用户数据遭到泄漏,遭到泄漏的网站有论坛、社交网站、网络游戏、门户网站、电子商务网站,最后甚至是网络银行都被怀疑有信息外漏。波及范围之广、影响人数之多都可谓是史无前例,这一事件被网友戏称“泄漏门”。
事件的爆发及经过
事件始于12月21日,CSDN网站中超过600万个注册邮箱账号和对应的明文密码数据库已经被曝光。作为国内最大的软件技术论坛,CSDN数据泄漏有点讽刺,但是这只是一个开头,此后多玩游戏网、梦幻西游、人人等网站用户信息遭泄漏,紧接着178、天涯都被曝大量用户信息泄漏,天涯泄漏的数据更是达到了4000万,12月25日遭泄漏的信息已经数以亿记,泄漏门事件也达到了一个高潮。之后信息泄漏波及到了电子商务网站,凡客、当当、卓越等电子商务网站都有不同的信息泄漏迹象。28日,工信部已经发布通知,针对一些网站用户信息泄密事件,要求各互联网站开展全面的安全自查,持续一星期的数据泄漏事件终于有所平息。
根据国家互联网应急中心(CNCERT)统计,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。 其中,具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
泄漏门曝出的网络黑色产业链
泄漏门事件之所以能发展的如此大,和其被黑的网络黑色产业链有很大的关系。有人指出,一些网站的账号和密码本身并没有什么价值,但是很多人有不同的账号使用同一个密码的习惯,所以使用手中的密码猜测用户邮箱、微博甚至支付宝和网银的密码进而进行倒卖微博粉丝、窃取网银等才是泄漏的数据价值所在。
很多网站对系统安全不够重视,缺乏数据保护意识,很多网站多年前的账户系统仍然能使用,有的网站甚至使用明文储存密码这造成窃取密码成本非常低廉。加上账号的巨大价值,泄漏门似乎成了偶然中的必然。
所谓的明文密码,就是指直接将用户输入的密码,不经过任何加密,直接存储到数据库中,这种保存方式的安全性可想而知,但目前大部分网站均采用加密保存。
泄漏门与微博实名制
泄漏门爆发正处于微博实名制相关政策公布之后不久。很多人包括一些黑客元老都认为这次大规模泄漏事件是具有反对微博实名制性质的事件。黑客万涛认为此次的用户信息泄露更像是对实名制的一种挑战。目前整个法律体系根本不适应互联网的发展,尤其是在目前的体系下,把实名制寄托给运营商有很大问题,“过分强调实名制是有风险的,目前对它的风险估计不足。”
泄漏门引发人们对信息安全的思考
泄漏门之后,调查显示超六成网民认为自己常用账号和密码泄漏。大量的修改密码攻略相继出现。也有人提出泄漏门之所以如此严重互联网法律不健全是关键原因之一,加强立法是防微杜渐的最有效方式。总结起来,泄漏门给人们生活的影响主要有:
网民密码安全意识普遍加强
泄漏门事件刚过,Donews对网民的调查显示大多数网民以后会更注意网购安全。大多数网民更加注意邮箱等账号的密码安全性。很多安全公司和技术人 员也提出各种各样的密码安全、上网策略,企业纷纷加大了对系统安全投入。值得一说的是金山等安全公司近期相继推出了密码安全等级评测,密码管理器等相关产 品,这些安全产品的出现无疑来源于泄漏门的巨大影响。
加强网络立法的呼声越来越高
除了改密码、装杀毒软件、增加安全投入外,但是毕竟用户自己能做的实在有限,避免如此之大的泄漏事件再次发生只能靠加强信息安全的立法。9月初,我 国关于网络犯罪的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》正式实施,这个司法解释是我国在网络立法上的一个里程碑,它将病毒制 作传播以及其他网络攻击的网络犯罪行为进行量化并指出具体的惩罚标准。泄漏门之后,网络安全立法再次被人拿出来谈论。很多人指出,泄漏门之所以能发展的如 此严重就是因为我过的网络法律不健全,《刑法》虽有针对网络犯罪的条例,但是《刑法》量刑门槛过高,一般需要是情节重大的案件才能判决,这就造成网络案件 判决非常困难。维护网络安全需要的是一套完整详细的法律体系。
总结
泄漏门事件使得中国互联网产业的2011年以安全问题结尾,以网络安全策略为2012年的开始。未来的一年不论是个人还是企业都将在泄漏门事件的影响下重新审视自己的信息安全。如果是这样一种结果,或许泄漏门事件也算是一个积极的结尾吧。
