中國互聯網的十二月大災變
開發者門戶CSDN泄漏600萬用戶數據,其中包含極為敏感的用戶名、密碼。垂直游戲網站多玩網泄漏800萬用戶數據,大部分加密也有小部分明文保存,措手不及的用戶們瑟瑟顫抖。
緊接著51CTO、CNZZ、eNet、UUU9、YY語音、百合網、開心網、人人網、美空網、珍愛網等眾多網站也都陷入用戶數據泄漏丑聞,包括CSDN、人人網、新浪微博、QQ郵箱、知乎多個網站已經在消息披露后提升了安全等級,提醒可能被波及的用戶更改密碼。
僅現在已經確認被波及的用戶規模已經超過千萬,本來大家都在在暖氣房為年終報表、業績數據里奔忙,現在不得不面對可能存在的未知威脅,并且你對威脅什么時候到來完全一無所知。
連環泄漏像是有心人刻意為之
在兩天內,先是CSDN緊接著是多玩網,超過十家網站紛紛爆出用戶資料泄漏丑聞,這顯然是一起經過嚴密策劃的事件。
策劃者很好把握住了用戶的心理,沒有選擇一次性全部放出而是分批放出,顯然是想要拉長系列事件的關注度。暫且不論那些未被證實的泄密網站有多少屬實,僅就現在披露的數據已經引起了非常大規模的影響。
這些大型網站通常已經有三年以上的歷史,期間有機會接觸用戶信息的程序員不計其數,是否有泄密可能根本無據可查,更談不上什么責任認定跟追究了。即便是報警也只能算是策略性行為,起不到太實質性的作用,在事件策劃者自揭謎底之前,沒有任何一個網站敢說自己是清白的。
事件策劃者既然敢曝露如此多的用戶數據,必然做了足夠多的自我保護措施,確保沒有人能夠找到他們的真實身份。至于策劃這一事件究竟是為了什么,顯然目前還沒有清晰的答案,也許是為了攻擊競爭對手,也許是為了轉移大家的注意力,也許只是惡意黑客的玩笑而已。
對互聯網的影響遠比想象中更深刻
“我無法想象這些大網站無法保障我的信息安全,我的郵箱、支付寶、QQ都使用了相同的密碼,這意味著黑客可以肆意去攻陷我的在線帳戶”,這段話正是大多數普通用戶心理的真實寫照,在他們看來網站保障用戶信息安全是理所當然的義務,普通用戶可能會對在線服務失去信心。
問題的核心是沒有人知道自己是否受到影響,普通人并不會像程序員建立數據庫導入SQL文件然后查詢,也不知道自己日常使用的網站資料安全是否完備。通常被曝光的數量往往遠大于真實存在的數量,沒有人知道自己的帳號、密碼、電子郵件、信用卡密碼會不會被放在信封。
這些帳號信息可能會對用戶的關聯帳戶產生巨大危害,并且這樣的危害基本是無法阻止的,因為大多數人對郵件使用了相同密碼,你如果能夠通過登陸及郵件更改密碼,那么恭喜你,因為那些惡意攻擊者也可以。
更大的危害是,泄漏的用戶數據可能被有心的黑客用作建設密碼破解數據庫(彩虹表),幫助惡意黑客們更有效攻陷在線帳戶。甚至他們會基于此建立更有效的方式,利用社會工程學來突破傳統保護系統的封鎖。
怎樣的密碼才是更安全的?
網友對開發者門戶CSDN泄漏的數據進行了分析,發現排名前三的用戶密碼是 “123456789”、“12345678”、“11111111 ”,這三個弱密碼在泄漏密碼中的占比高達10%。考慮到用戶密碼的的巨大差異性,這已經是一個非常高的比例。
弱密碼是指簡單容易被破解的密碼,而且這還是在業內的開發者門戶網站,在普通網站使用弱密碼的用戶比例可能更高。
當然,作為用戶有義務設置更高強度的密碼,但是這些密碼居然成功通過了CSDN網站的驗證,大多數網站都具有弱密碼檢測功能,提示使用弱密碼的用戶 更換更高強度的密碼。這意味著大多數國內網站的弱密碼檢測功能都是存在嘗試缺陷的,甚至僅僅是判斷字符數而不包含必備的常規判斷。
那什么樣的密碼更安全?
數字、大小寫字母、符號相互組合,字符數越多越安全,但前提是不要給日常使用帶來太多障礙。考慮到大多數網站已經配置記憶登陸功能,這并不是一個特別大的障礙。如果可能的話,重要帳戶使用單獨的密碼,盡量定期更改敏感密碼
給互聯網創業公司的安全警鐘
CSDN資料泄漏事件中,受到威脅的主要是早期注冊并且沒有更改過密碼的用戶,多玩網方面給出的回復大致相同。
這樣的情況在大多數創業公司存在,這次事件波及到的很多網站也是近幾年才成長起來的創業公司。在初期由于人手、資源有限,大量的精力都被投入到運營與功能開發中,缺乏對用戶資料的有效防護,容易忽略對用戶資料安全的重視。
然后他們做大之后會發現存在的安全隱患,然后騰出人手來修復存在的安全問題。但這次資料泄漏事件給創業公司敲響了警鐘:用戶的資料安全始終應該被放在足夠重要的位置,否則可能會成為壓倒駱駝的最后一根稻草。