谁能想到,网上论坛、邮箱的密码这些并不敏感的数据,也成了一个信息泄漏的大隐患?年末,一场由CSDN掀起的用户密码泄露事件愈演愈烈,天涯、世纪佳缘、珍爱网、美空网、百合网等众多知名网站也相继爆出存在同样问题。更惊心的数字是,奇虎360的最新监测称,网上公开暴露的网络账户密码超过1亿个。
在这场“密码丑闻”中,只听到网站的各种声明,网民的声音完全被淹没,维权更是无望,更滑稽的是,很多网站竟然借此机会获取用户,出招吸引那些密码被泄后“裸奔”的网民。人们不禁要问,互联网用户的信息安全该怎样被保证?我的密码究竟要谁来做主?
“密码门”引发用户恐慌
27日,中国计算机学会青年计算机科技论坛广州分会召开了“互联网用户资料泄露事件紧急会议”,16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件。”工信部28日发布通告表示,近期发生的一些网站用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全,工信部对窃取和泄露用户信息的行为表示强烈谴责,同时要求各互联网站要开展全面的安全自查。
“密码门”事件中,唯一值得安慰的是,目前已知泄露的账号密码均为媒体、社区类,并未包括利用价值较高的支付密码、网银密码或者SNS(微博)密码等。不过,还是有很多网民陷入了恐慌。
记者采访了一位活跃在CSDN上软件工程师殷先生,他告诉记者,事件发生后,他就查看了被泄露的账户,其中就有他的账户。这位精通网络业务的“老江湖”也没能逃过账户泄密后的一连串“灾难”,他在CSDN账户的信息被泄露,在搜狐、Gmail、雅虎等的邮箱也全部“沦陷”,全部无法登录,而这些几乎“绑定” 了他所有的互联网生活,接下来,他还要花不少时间来重新注册邮箱、网站。一般的互联网用户对泄密事件的应对更为无力,他们唯一能做的是,赶紧更改密码。市民陈小姐昨天在家里几乎花了一上午的时间,把自己的邮箱、论坛、支付宝、微博等密码全部换了,为了方便记忆,她还把各个密码记在小本子上。
残酷的是,瑞星安全专家指出,由于密码泄露在服务器上,用户在自己电脑上进行的防护几乎失去了意义,只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。也就是说,用户在整个事件中处于最弱势、最无能为力的环节。泄密事件中,只有少部分信息泄露的网站给用户的注册邮箱发送了更改密码的通知邮件,大多网站只是通过公告、站内信的方式来通知用户更改密码,天涯、人人、飞信等网站在登录页面通知,果壳、知乎等网站通过邮件通知。实际上,对于用户信息大规模泄露的CSDN、天涯来说,邮件通知并不合适,因为,用户名与密码已经泄露,会使得许多邮箱无故被盗,往邮箱里发邮件,真正的收件人是黑客。
信息安全亟待完善
“泄密门”的爆发,使得原来潜伏在水面之下的互联网信息安全问题成为公众关注的焦点。
事件发生后,工信部立即启动应急预案,组织相关通信管理局、国家计算机网络应急技术处理协调中心(CNCERT)、网络安全专家和部分互联网企业,了解核实事件情况,评估事件影响和危害,研究提出应对措施。工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。
互联网治理与法律研究中心主任李欲晓表示,大规模的数据泄露会造成网民的恐惧,因为他们对数据泄露后带来的后果是不确定的。而现在,多种网络应用服务交叉融合,密码使用重复性较高,这在网络发展过程中属正常现象,但现在对安全登录、安全防护的重视程度并不够,伴随着电子商务服务被网民广泛使用,这种安全风险会越来越大。
有业内人士指出,发生泄密的网站在保护用户信息时,没有尽到应尽的责任,后来的补救工作也做得不到位。瑞星等安全厂商呼吁所有的互联网服务厂商应提高自己的安全能力,承担起应有的保护用户隐私的责任;对于已经出现问题的厂商,应及时、透明地公布应对措施,帮助用户提升自己账号级别。
网民的安全意识也再一次被敲响警钟。调查发现,很多用户设置的密码简单重复,在公布的CSDN密码中,有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23.5万人使用它作为密码。这样的密码相当于“大门”敞开毫无防备,黑客窃取此类信息不费吹灰之力。
对于普通网民,安全专家建议在网上注册的时候应尽可能少的透露自己的个人资料,如非必要,不要泄漏电话、家庭住址、银行卡号、QQ密码等私人信息。同时,不要在多个网站使用同一密码,避免黑客通过攻击安全性低的网站,拿到其数据库后去猜解别的网站密码。设置网站密码时,应至少在8位以上,数字、字母和特殊符号(@%&)混合,这样可以加强密码强度,并且要每隔一段时间定时更换所有密码。