中廣網(wǎng)北京3月21日消息 據(jù)經(jīng)濟之聲《天下公司》報道,近日,曾引發(fā)業(yè)界關注的CSDN網(wǎng)站用戶數(shù)據(jù)泄密案宣告破獲。北京警方對CSDN網(wǎng)站未落實國家信息安全等級保護制度造成用戶信息泄露事件做出行政警告處罰,這是國內(nèi)自落實信息安全等級保護制度以來開出的第一張“罰單”。
不少互聯(lián)網(wǎng)企業(yè)都存在安全隱患
據(jù)悉,經(jīng)過細致的調(diào)查走訪工作,專案組最終鎖定一條關鍵線索,曾于2010年9月發(fā)帖自曝掌握CSDN數(shù)據(jù)庫,要求與公司進行合作的一名用戶進入到專案組視野,并于今年2月4日在浙江溫州將嫌疑人曾某抓獲。經(jīng)初步審查,該男子對利用CSDN網(wǎng)站漏洞,非法侵入服務器獲取用戶數(shù)據(jù)的犯罪事實供認不諱。曾某還交代了曾經(jīng)入侵過某充值平臺及某股票系統(tǒng)的犯罪事實。
事件發(fā)生后,警方對CSDN網(wǎng)站開展了調(diào)查,發(fā)現(xiàn)其未落實國家信息安全等級保護制度,安全管理制度和技術保護措施落實不到位是造成用戶信息泄露的主要原因。警方向CSDN網(wǎng)運營公司提出了具體整改要求,并依據(jù)相關規(guī)定,對北京創(chuàng)新樂知信息技術有限公司作出行政警告處罰。
CSDN創(chuàng)立于1999年,是中國最大的中文IT知識服務集團。目前,網(wǎng)站擁有2000萬注冊用戶、50萬注冊企業(yè)及合作伙伴,日訪問量約2000萬次。去年12月,大面積的互聯(lián)網(wǎng)用戶恐慌正是由于CSDN的安全系統(tǒng)遭到黑客攻擊,CSDN數(shù)據(jù)庫中的600萬用戶的登錄名及密碼泄露。隨后,天涯社區(qū)、世紀佳緣、開心網(wǎng)等十余家國內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。
一時間,消息真假難辨,互聯(lián)網(wǎng)上人人自危。國家互聯(lián)網(wǎng)應急中心數(shù)據(jù)統(tǒng)計稱,被公開的疑似泄露數(shù)據(jù)庫26個,涉及賬號、密碼信息2.78億條。
杭州安恒信息技術公司給CSDN提供的審計報告顯示,由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應用程序漏洞、系統(tǒng)后臺認證等四大問題,使其網(wǎng)站存在安全風險,泄露了大量信息。
CSDN創(chuàng)始人蔣濤曾坦言,“CSDN對敏感信息不敏感,也缺乏安全意識。”在CSDN擁有不到100臺服務器,注冊信息只包括郵箱和密碼的情況下,他一度認為,這些注冊信息并不具備太強的隱私性,也不會引起黑客的興趣。
10年前的漏洞,至今未修補
不止CSDN一家有這樣的問題。由于對安全的不重視,不少急速發(fā)展的互聯(lián)網(wǎng)企業(yè)在不經(jīng)意間為自己埋下了安全隱患的種子。據(jù)蔣濤介紹,目前,整個互聯(lián)網(wǎng)的安全現(xiàn)狀極不樂觀:70%以上的加密算法密碼庫都可以通過高頻碰撞破解,80%以上的互聯(lián)網(wǎng)公司都存在漏洞,60%以上有安全策略的公司還存在著漏洞。安全工程師張震寶表示,有些網(wǎng)站甚至10年前的安全漏洞至今依然存在,沒有引起足夠重視。
張震寶:根據(jù)我們檢測發(fā)現(xiàn),現(xiàn)在中國的網(wǎng)站有52%是存在漏洞的,而且有些漏洞可能存在了十年,十年前已經(jīng)就被曝光出來的漏洞,現(xiàn)在依然沒去修復,不重視安全問題。另外,因為這種漏洞是隨時可能發(fā)生的,并不是說這次打了補丁就能一勞永逸,而是要不斷更新安全措施。只要你網(wǎng)站重視了自身的數(shù)據(jù)安全問題,才是對用戶最大的保障。
張震寶透露,就連CSDN當時最為人詬病的明文保存密碼的不安全模式,至今仍然在被一些網(wǎng)站使用。
張震寶:比方說前陣子有一家獵頭網(wǎng)站,用戶反饋說注冊之后,忘了密碼要找回,網(wǎng)站直接給他回了一封含他密碼的郵件,意味著網(wǎng)站肯定是明文保存了他的密碼。這種明文存儲密碼的情況,可能在很多網(wǎng)站上還是存在的。
網(wǎng)站安全檢測平臺對隨機抽取的93233個國內(nèi)網(wǎng)站分析發(fā)現(xiàn),存在高危漏洞的網(wǎng)站比例達36%,存在中危漏洞的網(wǎng)站則有16%,兩者合計比例高達52%,國內(nèi)網(wǎng)站安全防護能力仍有待完善。
今年1月,CSDN和阿里云結成戰(zhàn)略合作關系,共同打造安全可信的開發(fā)者服務平臺。當時蔣濤反思稱,“如何讓開發(fā)者信任CSDN,如何提高開發(fā)者的安全技能,如何為開發(fā)者創(chuàng)造價值,這是CSDN安全事件之后反思的主題。”
對于這一系列事件的教訓,雖然網(wǎng)絡安全工程師認為主要問題都是出在網(wǎng)絡平臺上,但還是建議網(wǎng)絡運營公司和普通用戶充分重視網(wǎng)絡信息安全。
張震寶:要有專業(yè)的安全團隊來維護網(wǎng)站的安全,要關注這種行業(yè)里面的動態(tài)信息,比如業(yè)界新出現(xiàn)了什么網(wǎng)站的漏洞等等。用戶最重要的是,密碼要分級管理,重要的帳號和密碼要單獨設置,別都用相同的密碼。另外,重要的帳號,密碼一定要定期更換。
互聯(lián)網(wǎng)的用戶信息安全問題得到應有的重視么?除了罰單,有沒有更好的規(guī)范辦法來防范和杜絕?經(jīng)濟之聲評論員李光昱表示,
李光昱:我覺得防范的辦法就是你不去登陸。我們注冊的時候都要點一個“我同意”,那有個協(xié)議,其實沒幾個人看,但我認真的看了,那個本來就是一個完全不平等的條約,即使你所有的信息在他那丟失,也不是他的責任。所以,我只好盡量少去網(wǎng)站注冊,或者不去拿真名注冊。
至于罰款,我覺得起訴他的話,因為我們沒有懲罰性的賠償,你起訴他,首先你要證明你到底有什么樣的損失,比如你就丟了一個用戶名和密碼,這種損失很難構成你的起訴標的。
推薦閱讀
一號店董事長于剛 于剛,中國最大的網(wǎng)上超市1號店的董事長。他曾是戴爾全球采購副總裁,掌管180億美元亞太區(qū)的采購,而在此之前,他已經(jīng)是亞馬遜全球供應鏈副總裁。這樣一位叱咤風云的職場高管卻在知天命之年毅然決然>>>詳細閱讀
地址:http://www.xglongwei.com/a/43/20120322/43116.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示