密码泄露考问个人信息安全体系

 

　　2011年12月21日，国内最大的程序员社区CSDN上600万用户资料被公开，同时黑客公布的文件中包含有用户的邮箱账号和密码。随后，密码泄露事件开始大范围发酵。据传，天涯社区、开心网、世纪佳缘、百合网、美空网等网站的“密码集”也先后出现在网络上，涉及用户资料达5000万之上，受影响的网站预计达数十家。尽管数据并没有得到相关网站的官方证实，不过，来自奇虎360的最新监测发现，目前网上公开暴露的网络账户密码超过1亿个。

　　密码泄露大范围发酵

　　去年12月26日，记者登陆天涯社区，其在网站首页挂出公告称，“近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一”据此，能够确认天涯在密码泄露事件中未能幸免。与此同时，广东省公安厅出入境政务服务网被曝出存在漏洞，大量申请人姓名、护照号码、港澳通行证号码遭到泄露，广东省公安厅则回应称确实存在漏洞，但已修复。

　　目前，网易邮箱、人人网、开心网等常用邮箱和SNS网站都先后发出通知，建议用户修改密码。

　　除此之外，业内人士预计还有许多已被盗取但尚未被公开传播的网络用户信息。

　　谁是肇事者?

　　近日，有网友爆出，在CSDN用户数据库泄露事件中，最早在迅雷公开提供数据库下载的人为金山毒霸的员工。2011年12月22日，有网友接力传播QQ截图、图像显示，有QQ用户曾于21日下午2时许，在QQ群内发布CSDN数据包的迅雷快传链接;12月23日凌晨，一名ID为hzqedison的新浪微博用户承认，其本人是该文件的上传者，并表示道歉。2011年12月26日，金山网络发表声明，承认相关资料传播人确为其公司员工，但同时表示，该员工并非窃取数据的黑客，也不是最早泄露用户数据的人。

　　记者发现，早在去年12月4日，专业安全网站“乌云”上，就有ID为“臭小子”的用户发布了一份“中国各大站点数据库曝光 ”的漏洞概要，截图中包括CSDN相关数据库。

　　有网络安全专家认为，此次泄露源于黑客入侵了网站的web服务器，盗取了大量用户注册信息，其中包括注册邮箱、用户名、密码，并将这些数据在互联网中进行传播。

　　但如此庞大数量的用户信息在短时间内被密集泄露?互联网知名评论人谢文表示，短期内集中爆发的泄密事件怀疑背后有商业利益集团操控。此前，据CNNIC《第28次中国互联网络发展状况统计报告》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。据360分析评估，上述被盗号的1.21亿网民群体中，80%以上是因为黑客刷库后获取了网民的账号密码数据，危害远远超过盗号木马。在今年早些时候的信息安全论坛上，Chown Group(信息安全专业委员会)的李麒曾在接受媒体采访时更是指出，目前中国黑客的黑色产业链规模价值已经高达百亿元。

　　数据如何泄露?

　　“都是明文密码惹的祸。”对于此次互联网泄密风波，360网络安全专家石晓虹指出，最不安全的数据保存方式就是直接存储明文，一旦数据库泄露，黑客就可直接掌握所有密码。有些网站由于用户数据安全意识欠缺，曾经明文保存过用户密码，近期被黑客公开的密码数据库大多属于此类情况。据他判断，这些数据库实际上已经泄露了一定的时间，只是在今年底被黑客密集曝光罢了。

　　业者认为，数据库被盗完全是出在网站自身的环节上，只要整个网站中有任何一个漏洞，都能通过这个漏洞通向核心的数据库。

　　因为在被证实的这几家网站中，用户数据库被盗的原因都归结在了“明文密码”上，所谓明文密码简单地讲，就是“直接可以看懂的，比如123456，abcd等等。相对的就是暗码，比如abc代表123，如果告诉你abc而不告诉你解码规则，你就不能翻译出真正的密码123”，一位专业人士简单地对记者解释说。而明文密码就意味着只要能打开数据库文件的人，即使不是IT技术高手，也可以像查看记事本一样获取被盗用户的信息。由于密码系统升级是个繁琐的而困难的工程，在没有太大利益的情况下，不少网站倾向于不修改系统。网站的安全意识淡薄，对用户的核心数据保护不足，造成泄露，也就不足为奇了。

　　据相关数据显示，目前，中国互联网公司的信息安全支出，在整体IT支出中的比重不到1%，相较于国外8%—10%的投入。

　　所以这就是为什么有些网站对于数据库泄露并不担心，因为这些网站认为自己的数据库是经过加密的，即使黑客拿到了数据库，如果无法通过哈希算法解开数据库，也无济于事。

　　安全缺位损失谁负责?

　　记者了解到，很多网民为方便记忆，所有网站帐号用户名和密码都一模一样。一旦一家网站用户密码被泄露产生的连锁效应会导致用户网银，支付宝等帐号被黑客瞬间入侵造成巨大的损失。记者了解到，上述事件都是因为注册账号时用同一邮箱或是密码所致。目前可供用户使用的互联网服务很多，基本都通过用户邮箱注册。因此，某个网站的密码被盗，多个网站的账号均可能被盗。比如，用窃取的支付宝买东西，偷看用户的其他隐私等，甚至有些用户把自己的身份证号作为自己密码，一旦遭到窃取，后果不堪设想。

　　特别是，在上述网站用户信息被公开前数天，北京市刚出台了《北京市微博客发展管理若干规定》，要求微博实现实名制。所以，如果微博密码泄露如此，那么用户通过实名注册的全部真实信息将被公开，损失巨大。

　　而此时公布出来，很有可能是看中了这个“时间点”，而不仅仅是黑客为了赚钱。细心用户不难发现，事发后天涯和CSDN均表示，被泄露的数据库是截至2009年用于备份的用户信息，并非最新的用户数据。中国鹰派联盟网的创立者万涛表示，这些数据早就被知晓，现在只是有人借助于网络将其公开，不可能有谁拿这些明文密码的库再来赚钱。

　　记者看到，密码泄露事件在大范围发酵的同时，并没有网站或机构出来声称对用户负责或承担拥护损失，而记者也了解到，不少用户也并不清楚自己该如何进一步维护自己的权益，目前所做的只能是频繁更改密码而已。

　　怎样设置密码更安全?

　　360安全中心于2011年12月22日发布红色安全警报，并向广大网民发布三条安全建议。第一，对密码分级管理，重要帐号必须单独设置密码;第二，定期修改密码，可有效避免网站数据库泄露影响到自身帐号;第三，工作邮箱不用于注册网络帐号，以免密码泄露后危及企业信息安全。

　　“QQ电脑管家安全中心”的建议则更具体。一、 杜绝使用弱密码：避免纯数字，纯字符，简单的数字字符组合。二、 避免同一场合使用相同密码。三、设置规则记住多个不同密码：用户可将日常使用的网络服务分为两类，重要的和一般的，采取不同的密码规则进行设置。

　　对于基础密码的选择可用某句短语或是某首歌曲副歌的首字母;用键盘上比较靠近的按键组合;用名字的拼音，或者一些特殊的日子。更安全的方法则是：选一个容易记忆的基础密码之后，键入时将手指在键盘上有规律的移动下。比如密码是“love“，变化之后“kicw”。

　　《个人信息保护法》何时出台?

　　用户信息遭到大面积泄露，让公众再一次认识到保护个人信息的迫切性。此前有调查显示，94.5%的受访者表示希望《个人信息保护法》尽快出台。

　　而记者了解到，事实上，相关立法工作早已启动，但随后遭遇波折。据悉，早在2003年，国务院信息办就委托中国社科院法学所个人数据保护法研究课题组，承担《个人数据保护法》的研究课题，并草拟了一份专家建议稿。2005年，近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。但时至今日，这部法律仍未出台。

　　据消息人士表示，2008年国务院机构改革前，《个人信息保护法》与国务院信息办的职权相关，但在2008年以后，国务院信息办并入了工业和信息化部。对于后者而言，和其职权相关的另一项重要法律——《电信法》至今仍未出台，《个人信息保护法》的立法进程也就只能推后了。

　　对此，不少网友认为，面对个人信息遭泄露行为日渐猖獗的形势，相关部门应尽快摒弃部门利益的观念，站在保护公众利益的角度，加快《个人信息保护法》的出台。

扩展阅读

• 大数据编织“中国结” 2022-06-22 10:45:25
• 中国对多边贸易体系持开放态度 2020-06-03 13:20:48
• 工业和信息化部召开干部大会 传达学习全国“两会”精神 2020-06-02 12:34:25
• 两个零发生四个全覆盖 2019-10-29 12:49:42
• 上海扎实推进超大城市特设安全保障体系 2019-09-20 12:17:41
• 开放合作和全球统一标准是5G发展关键 2019-04-02 11:42:20