涉及网易、人人、天涯等大型网站,招商、交通等银行金融机构,平安、光大等证劵机构,甚至中国海关、广州市政府等官方组织,累计泄露的用户密码达到2.3亿之多。
在这场中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件中,最让人忧虑的并不是网民的隐私被暴晒,也不是黑客的猖狂,而是我们的网络安全正在面临新的威胁,这种威胁躲在“云”中,甚至身披安全警察的制服……
超过两亿条用户密码泄露
据一位黑客界人士透露,最早曝出“多家网站用户密码信息遭泄露”的是一家名为“乌云”的安全组织,时间在12月4日。随后的日子里,一些包含有密码信息的压缩包在黑客圈子地下流传——在黑客界,这种“交流”并不罕见。
灾难真正开始是在12月21日。这天上午,包含有600万个CSDN用户密码的压缩包被放至公开下载渠道。更恐怖的是,蜂拥而至的网友发现了一个更大的“宝藏”,在下载CSDN密码包的时候,从“相关下载”按图索骥可以下载到更多的密码包。于是这些压缩包像病毒一样被网友疯传。
据金山网络安全工程师对密码包的统计结果,成为众矢之的的CSDN泄露的600万密码只是沧海一粟,此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号,但预计受影响的用户将在千万级别。
目前CSDN、天涯已对此公开承认事实并道歉,其他被涉及的网站一直未明确表态。近10家大型网站卷入
让我们梳理这次事件爆发的过程:黑客利用网络平台的安全漏洞入侵服务器,将包含网友用户名、密码的数据库下载到黑客自己的电脑(被称为“拖库”),黑客圈子地下传播,公开渠道下载散播。
这显然与大家普遍认知的网络安全威胁有明显区别。一直以来,个人网络安全防范紧盯的是“端”(用户本地端)的问题,不管是传统的杀毒技术,还是近年来流行的“云安全”技术,其本质均是防止“端”被病毒、木马等入侵,从而确保用户安全。但此次事件中,威胁并不在“端”,而在“云”中,对于用户来说,以往的任何安全举措在面对这种“云威胁”时都成为浮云,只好“躺着也中枪”了。
值得提及的是,“云威胁”比传统威胁危害严重得多。据安全界人士介绍,多数用户为了便捷,在多个网站使用同样的邮箱、密码注册,这意味着“一道城门被攻破,全城失守”。如果网友用公司邮箱注册,则更可进一步暴露商业机密。而在支付、网银等平台的账号信息也可能被轻易攻破。
据一位业内人士根据目前流传的密码包统计,与CSDN一道被“爆库”的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站,还包括至少16家大型商业银行、21家证劵机构,以及至少19家政府机构网站。
隐私泄露事件已发生多次
这一泄密事件或将给国内网络界带来强烈震荡,但多位业界人士对记者断言“这绝不会是最后一次”。下如此论断的依据还得在历史中寻找——在此之前,已有多次“云威胁”案例,但均未引起足够重视。
据记者了解,就在泄密事件发生前的不到一个星期,包括360手机助手、豌豆颊等在内的多个Android客户端曝出“公共WiFi泄密”问题。安装360手机助手的Android用户,在公共WiFi环境中将“门户大开”,任何处于同一WiFi网络的用户,均可随意访问其手机中的隐私文件,包括个人照片、文档甚至联系人、短信等。尽管目前360已通过升级版本解决此威胁,但如果不知情的用户并未升级,将一直处于“裸奔”状态。
网络安全界人士向记者表示,这一事件受影响的Android用户可能在千万级别,可能是中国移动互联网历史上最严重的隐私泄密案,但并未引起足够重视。
如果说这两次泄密事件都源于相关网络平台的技术漏洞,可以归为“安全事件”,那么道德和操守问题则会酝酿出更严重的“云威胁”。据受访的黑客界人士透露,一些小网站出售自己的注册用户信息的情况并不鲜见,不法者利用这些信息可以确保入侵成功率的大幅提升。
而在2010年12月底被曝光的“360窃取用户隐私”事件中,网民的账号密码、浏览记录,甚至企业的财务数据,均被360的“云”偷偷上传,更被谷歌的搜索蜘蛛抓取,完全暴露在公众面前。遗憾的是,这一事件依然未引起警戒。
安全威胁从PC移向云端
“云威胁”来袭,一个新的网络安全时代正在降临。一位业界人士告诉记者,“云威胁”事件的层出不穷可能让“黑客”的门槛进一步降低,这可能加剧网络安全态势的恶化。
在此次泄密事件中,任何一个稍微懂得电脑操作的网友均可下载到密码包,在5分钟内完成一次“黑客入侵”。而在“360窃取用户隐私”事件中,网友甚至不需要下载,直接从谷歌快照中即可获取他人用户名和密码信息。而在“公共WiFi泄密”事件中,这一特征同样表现得很明显。而推动人们做一回“黑客”的可能是好奇,也可能是贪婪,或者别有用心。
一位业界人士的点评一语中的,当网络安全与道德缺失、人性阴暗面裹挟时,才是真正难以防范的危机。网络安全进入“云威胁”时代-IDC帮帮忙