中国IDC圈12月31日报道:2011年的岁末,一场不断升级的密码泄露事件,让2011年的互联网“永不寂寞”。从12月21日到12月29日,短短几天,绝大部分知名网站全部沦陷,无一幸免。CSDN、多玩、178游戏、17173、天涯、当当、京东、卓越……
这是黑客引起的、网站领导的网民更改密码“运动”,让全体网民又有了一次自嘲式的狂欢。
用户信息在互联网上快速传递,好事者更是更改了他人的用户密码,让一些人永远无法再取回自己的账号,有的老网民甚至被抹去了互联网的最初记忆。
这一次,互联网企业的安全短板暴露无遗。互联网公司中有3人来专职负责网站安全的规模都是一种奢侈,5人以上算是豪华配制,10人的安全团队只有3家。
一份来自知名券商的报告显示,目前,国内互联网公司的安全支出仅占IT支出的1%,而目前,欧美国家的安全支出占到整个IT支出的8%~10%.
面对大规模的用户信息泄露,企业责无旁贷。但“脆弱”的它们根本无法抵抗“黑客”来袭,甚至是无意识的“缴械投降”。
问责,问责。在这样的风口浪尖,它们几乎都选择沉默,无一企业坦承自己的安全支出明细。内部,各大互联网公司开始了“自查、自究”风暴,希望能够在2012年来临时,获得那张通往安全的船票。
集体沦陷
本次黑客公布了约有1亿个用户账号及密码相关信息
2011年12月21日,金山毒霸产品经理韩正奇在一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。同时,他把QQ群内要用迅雷专用工具下载的链接,转换成迅雷快传的下载链接,发到一个朋友圈内的QQ群。
仅仅几分钟,韩正奇传的文件就在专业安全网站“乌云”(wooyun.org)上出现了截图。迅雷不及掩耳,一份包含了600万用户信息的CSDN用户库在互联网上迅速流传。
无论是黑客之间出于“互相炫耀”的心理,还是传说某个商业组织的背后推动,许多原本被装在“安全盒子”里、处于隐秘地方的用户数据库一一被暴晒在阳光下。
2011年12月23日,多玩、梦幻西游通过木马泄露。此后,7K7K、178游戏、人人、猫扑、世纪佳缘等等,全国各大知名网站几乎全部沦陷。
2011年12月25日,天涯被爆其4000万用户数据泄露,这占到其总体6000万用户的60%.
同月26日,当当、京东、凡客等一线电商被推上了风口浪尖。它们爆出用户信息泄露,这其中包括真实姓名、电话号码和收货地址。
同月29日,中国工商银行、交通银行、民生银行被爆出客户信息泄露。就连,通往全球的广东省出入境也有444万用户信息疑被泄露。
“每个互联网公司的用户和密码都有泄露,只是规模大小。”采访中,一位在安全行业多年的工程师告诉记者,大网站、大公司在安全这件事上也不可信。
在密码门事件期间,中国黑客教父goodwell接受媒体采访时称,本次黑客公布了约有1亿个用户账号及密码相关信息,预计“地下黑客”已经掌握了更多的互联网用户账号信息。
在使用“密码泄露查询工具”后,不少网民在微博上坦露心声,自己不止一家网站的用户名与密码泄露。出于方便易记,许多网民将用户名与密码统一起来,或者互相关联。有的使用邮箱进行互相关联。
一位不愿意透露名字的CSDN用户更是苦不堪言,她的CSDN账户信息被泄露,通过一连串关联,搜狐、Gmai、网易、雅虎等邮箱全部无法登录。这些邮箱是她登录论坛、SNS、支付宝,以及各种购物网站的方式,“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联,她无法通过密码取回的方式来取回这些邮箱。于是,“一门攻破,全城皆失”。
危险,并不止于此。智能手机闯入生活,手机开始逐步成为大众互联网生活的主要载体。 “手机上的信息泄露将会更严重,除了泄露用户名和密码,还可以泄露位置。”云计算安全厂商星云融创CEO马杰告诉记者。
目前,PC上的操作系统比较集中(win90%、MAC接近10%、linux是0.1%)。由于操作系统的“独霸天下”,杀毒软件也会比较完善。但是,手机操作系统种类较多,各种APP应用纷繁杂陈。由于安全软件的不完善,许多黑客就盯上了这一有利时机。
“目前,手机上的安全问题并没有全面爆发,但是一旦上网资费大幅下降,手机用户可以‘随时在线’,那么手机黑客产业链也会迅速成熟。”马杰告诉记者,现在智能手机的CPU统一到ARM架构上,芯片有高通、联发科等厂商,操作系统是iOS、Andriod、Windows,它们都在快速融合,这给黑客节省了“逐个攻破”的成本。
“手机扣费、扣流量都是SP时代玩的花样,智能手机还会带来更多的‘黑客’玩法,如查询用户常去的区域、GPS跟踪、手机购物等等。”星云融创营销总监孙大伟告诉记者。
“我们会生活在一个透明、没有隐私的世界里。”就像电影《楚门的世界》里那样,我们都生活在他人的“监视”之下,只要别人有这样的想法。
企业问责
提供互联网服务的公司无论免费,还是付费,在法律上都有责任保护用户信息
此次暴露出来的CSDN、天涯等网站的用户信息都采用“明文密码”的方式编写。黑客可以轻而易举地攻击网站,拿到用户数据,而“明文密码”根本用不着破解,用户名和密码可以直接读取出来。
“明文方式是极不负责任的做法,企业应该对用户负全责……”知名IT律师赵占领认为,如果企业对密码进行加密,并设有防火墙,在黑客进行攻击时给予了“抵抗”。如果做到了这些,才算尽到了基本的责任。
不仅如此,“这些企业没有采取有效的补救措施。”赵占领说,修改密码、取回账户的措施还是用户自己来做的。
本报记者采访了10多位密码被泄露的用户,有的“改密码改到手软”;有的冻结了网银,以及一切有过网上交易的银行卡、信用卡;有的“处变不惊”,逢人便说:“改密码有何用,改了还会泄露”;有的更是掷出豪言,“哥我不改了,裸奔就裸奔吧”。
据记者了解,泄露的网站主要通过站内信、公告、邮箱等方式来通知用户。但公告通知的范围有限,活跃用户会看到公告,但是不活跃的用户,甚至连自己的用户名与密码都忘记了。
对于已经是“公开库”的CSDN与天涯来说,由于用户名与密码已经泄露,会使得许多邮箱无故被盗,往邮箱里发邮件,真正的收件人是黑客,或者好事者。
CSDN总裁蒋涛坦承,泄露之后,补救工作不容易。信息泄露后,他立刻找到网易、QQ、263、新浪等邮件服务商进行邮箱通知,争取让真正的用户能够收到修改密码的通知。
马杰告诉记者,机器无法识别登录的用户是被盗用户,还是黑客。虽然可以通过访问行为的对比,来判断这个用户是不是之前那个用户,以此来追踪可疑的行为,但操作起来费时费力、可行性不大。
“在法律上,网站的密码是被黑客窃取,虽然企业不必担负刑事责任,但也需要担负民事责任,或者受到行政处罚。”赵占领指出,用户只需要证明自己的用户名与密码被盗,并且还是网站的过错,就能够进行民事诉讼,即便密码泄露没有造成经济损失。
但有的用户觉得自己使用的是“免费”产品,从道德上,没有理由将这些网站对簿公堂。有的网站甚至在“注册协议”中更是借用“免费”的旗号,将一些基本的法律义务推脱干净。
“免费也是一种‘服务合同’关系,QQ、MSN是‘授权使用’的关系,在法律上都存在合约。”赵占领指出,提供互联网服务的公司无论免费,还是付费,在法律上都有责任保护用户信息。
但现实是,绝大多数网民都自认倒霉,无意维权。“用户往往损失了几十元,但如果要维权,则需要花费几百元,甚至上千元的成本。”赵占领说,这其中还不包括时间成本。
目前,欧美、日本对个人隐私的立法比较完备。无论是“被动”,还是“主动”,一旦网站泄漏了用户信息,网站将面临重额的经济处罚。
2011年4月,索尼PS3有7700万用户信息遭窃,后来索尼正式道歉并对用户做出补偿。有预计称,索尼将赔偿245亿美元。
2004年,日本雅虎约有460万用户的个人信息外漏,日本雅虎向每位用户“赔偿”6美元的购物券,这才息事宁人。
“安全厂商应该加强对员工的管理。”马杰告诉记者,一般,安全公司与员工签订合约时都有个协议,保证在任职期间,不从事任何有违反公众安全的事情,不从事黑客的行为。
安全支出不足1%
“国内公司在安全上的投入的确比较少。”一位在国内知名互联网公司负责安全的技术总监坦承。
从论坛、BBS到SNS、电商,各个网站对安全的IT支出都很少。在给本报的书面回复中,天涯相关负责人透露,天涯的安全支出是100万。京东、当当、多玩、CSDN等公司都对自己的安全支出讳莫如深。
据一家券商TMT研究部门的调研数据,目前中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%~10%.而国内,对安全性要求比较高的金融行业,其安全支出在整个IT支出中占到10%.
互联网行业的安全投入“囊中羞涩”,甚至无法跟上业务的发展步伐。据一位行业人士透露,目前大型B2C购物网站每年的安全投入不过几百万,有的甚至只有几十万。但实际上,这些公司每年的安全运维投入需要达到千万元级别,小一点的网站也需要几百万。
一位互联网安全工程师告诉记者:“大多数互联网网站通过外部的扫描工具就可以发现有明显的漏洞。”他戏谑道,百度这样的网站都被“黑”过,其他网站自然是惨不忍睹。
来自360的报告也印证了这一点。360网站安全检测平台的分析显示,“国内83%以上的网站存在各种安全漏洞,大部分网站基础防护能力薄弱;国内中小型网站普遍没有专职的安全工程师维护,光靠服务器配置防火墙和入侵检测设备,无法有效防御黑客的入侵。”
“目前,只有腾讯、阿里、百度有10位专职安全工程师,安全防护能力较强。其他的互联网上市公司也只有3位~5位专职工程师,有的甚至没有。”前文所述的互联网工程师告诉记者,在互联网企业有5位安全工程师,都算是豪华阵容,相当奢侈。
具体来看,“目前,国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100的网站有自己专业的初级安全、运维人员,前1000的网站有安全产品或服务的采购,大部分网站都没有专业的安全团队。”这位互联网安全工程师说道。
“不少网站有着侥幸心理。”一位安全企业技术总监告诉记者,IT技术人才基本集中在IT圈,IT圈觉得自己不去攻击别的行业就不错了,根本没想过自己会被攻击。
出于这样自信的“潜意识”,在规模快速扩张的直接驱动下,网站往往将IT支出放在系统扩容上,在电商类网站尤其如此。在IT支出的硬件、软件、服务/人员三项中,目前,绝大部分支出还集中于硬件,其他两项支出比较少,有的甚至比例更低。
从另一方面来看,建立自己的安全运维团队,需要很大的投入,这也让互联网公司望而却步。马杰告诉记者,企业级的安全防护设备价格高,一台设备一般需要几十万,甚至几百万。并且,这些网站需要闲置出90%的资源,才能保证峰值时能够访问正常。为此投入的金钱就像个“无底洞”。此外,维护的费用支出也相当高,这其中主要人力成本,一般一位工程师年薪需要十几万元到二十万元不等,一个网站至少需要3位专业安全工程师。
“互联网公司对自身的安全内部结构认识有缺陷。”马杰认为,安全最基本的原则应该是假设网站被黑,黑客侵入进来,那么如何控制受损的范围。网站也应知道,哪一个区域不能放明文,而应该放到与网站服务器之外,进行物理隔离。但实际上,不少网站做安全并没有从“这个假设”出发。
“现在,很多网站的运维工程师也做着一部分初级安全维护的事情,但远远不够。”马杰认为,安全与运维并不相同。安全是动态的,面对的不是正常的访问、攻击、资料的窃取等活动。而运维的目的是保证服务器能够被正常访问。许多互联网公司将运维人员当作安全人员来使用,孰不知,安全需要专业团队。
IT支出“薄如蝉翼”,使得网站的安全性大打折扣,这才让用户信息的大规模泄漏成为可能。
“这一次互联网公司可以侥幸逃过,未来则不一定。”赵占领告诉记者,目前,工业和信息化部正在起草个人信息保护条例,未来从法律、法规上来保护用户的权利。事发之后,政府还可以进行行政处罚。
2011年12月28日,工业和信息化部发布通告称,用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时,要求各互联网站要开展全面的安全自查。