2022/5/18
国内最大的程序员社区CSDN网站因遭遇黑客攻击,600万用户的登录名及密码日前被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。
针对这一网络信息安全事件,专家表示目前国内互联网行业的信息安全不容乐观,随着网络日益渗透到社会生活的各个方面,增强网络信息安全意识、提升信息安全防范措施变得尤为迫切。
近5000万个互联网用户密码遭泄露
CSDN网站近日发布声明,称公司超过600万个注册邮箱账号和对应明文密码被黑客盗取并泄露,部分用户账号面临风险,网站将因此临时关闭用户登录。
CSDN方面表示,经过初步分析,遭黑客泄露的数据是2009年CSDN作为备份所用,目前还不知泄露原因,公司已向公安机关报案。CSDN消息宣布后立马在网络上引起轩然大波。然而紧随其后,又有包括人人网等在内的多家网站的“密码集”被先后公布在网络上,波及国内更多的互联网用户,使此次用户密码泄露事件进一步升温。
互联网安全企业奇虎360公司副总裁石晓虹在接受记者采访时表示,通过技术验证,初步评估目前网上公开暴露的网络账户密码有5000多万个。除此之外,预计还有许多已被盗取但尚未被公开传播的网络用户信息。
据奇虎360介绍,黑客窃取网站数据库(刷库)是最近几年非常流行的攻击方式,黑客刷库的危害已经远远超过了盗号木马。在目前被盗号的网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据。
“互联网用户信息被盗可以说已经司空见惯,甚至许多人信息被盗还浑然不觉。”国家信息安全工程技术研究中心主任文仲慧向记者表示,随着网络应用环境的日趋复杂,企业核心数据被盗、用户数据丢失等事件频发,如何维护网站数据安全已成为信息时代难以回避的挑战。
国内网站安全形势不容乐观
在专家看来,互联网用户帐号、密码信息被盗取现象,近年来在全球范围内也屡有发生。今年4月份,日本索尼公司约1亿名PlayStation Network网络帐户曾遭到黑客攻击,该公司被迫关闭PlayStation Network近1个月时间,曾引起全球热议。
而在国内,类似行为已存在多年,甚至已形成“灰色产业链”。黑客利用网站服务器的安全漏洞,侵入相关网站,盗取用户数据库等信息,然后私下进行传播、倒卖。只是此次CSDN网站用户数据被盗取并被公开下载后,才在近日引发各界对这一“灰色”领域的广泛关注。
“对于信息安全,大家以往可能只是关注电脑、手机等终端上的威胁;其实随着互联网的发展,互联网站本身的信息安全同样重要,网站拥有大量服务器和软件,也存在安全问题。”石晓虹称。
他告诉记者,360公司之前曾做过监测,国内网站中60%-70%的网站都可能有安全漏洞,网站的安全意识和安全措施并不健全。在用户数据存储方面,目前一些大型网站采用加密存储技术,数据即使被盗取也难以破解;而一些中小型网站则相对缺少防范意识,网站一旦被黑客攻破并窃取数据,就有可能引起严重的安全问题。目前,国内中小网站的信息安全问题并不容乐观。
中国互联网络信息中心此前发布的报告显示,今年上半年,遭遇过病毒或木马攻击的网民为2.17亿人,占网民的44.7%。有过账号或密码被盗经历的网民达1.21亿人。
上海理工大学管理学院副院长杨坚争教授认为,此次大规模的互联网用户信息泄露事件,表明许多网站的安全意识淡薄,对用户的核心数据保护不足;同时,国内的《电子签名法》迄今未能真正在商务领域加以应用;另外,当前社会对互联网公共安全的治理力度也有待增强。
网络安全防护亟待上台阶
“密码泄露”事件发生以来,许多网站目前已提醒用户及时更改密码,连日来众多网民也开始争相修改网站密码,但不容忽视的是仍有大量的用户隐私数据处于高危状态。
石晓虹表示,此次密码泄露反映出来的问题,不是某个单一环节能够解决,需要从多个层面来进行完善。对终端用户来说,要对自己的网站密码进行分级管理,特别是一些重要账号要单独设置密码,而且要达到一定安全强度;另外要定期更换密码。而对收集、存储了海量用户信息的各家网站来说,先是要尽快检查、修复网站的信息安全漏洞,同时要重视用户数据的安全,提高对用户核心数据的安全存储和保护。
“在网络安全方面,国内立法相对还较为滞后,对黑客这种盗取网站数据的行为,目前在法律上的取证较难,犯罪成本相对较低,因此迫切需要加快信息安全立法,”石晓虹称。
上海律师协会信息网络与高新技术业务委员会主任商建刚认为,互联网时代,每个网民不应主动去搜集和偷窥他人的隐私。目前刑法修正案中对于盗取用户信息其实已有明确规定,偷窃、倒卖数据库属于违法行为,近年来国内已出现过多起因偷盗网游公司账号而受到法律惩处的案例。
杨坚争同时向记者指出,此次发生用户密码泄露的大多是一些社交类网站,但国内大量的电子商务类网站更要引以为戒,需要进行大规模的安全检查,以避免盗取密码现象蔓延到商务网站上去。
“近日国务院常务会议刚刚研究部署加快发展我国下一代互联网产业,其中提到要加快安全保障标准制定,国内互联网行业要尽快落实相关精神,努力提高安全级别,真正避免类似侵害网民利益的网络安全事件再次发生,”杨坚争强调。