新闻源 财富源

2018年11月18日 星期天

财经 > 产经 > 科技 > 正文

字号:  

安全公司预警等级调至最高 用户安全“命悬一线”

  中国互联网爆发史上最大规模用户资料泄露事件,奇虎360、金山毒霸两大互联网安全公司,同时将预警等级调至最高——

  继CSDN、嘟嘟牛、178游戏网等多家网站超过5000万用户账号密码泄露之后,26日,又爆出天涯社区4000万用户账号密码遭泄露。这个岁末,网友最忙的一件事就是——改密码。

  当近亿账号密码被赤裸裸地曝光在网上,而且,据称目前公布的,只是黑客手中的部分用户密码,如何保护自己的信息安全成为2011年岁末中国互联网上最热的话题。就诸多网民关心的问题,本报专访奇虎360企业传播部高级媒介经理潘霞(简称奇虎360),及金山毒霸反病毒工程师李铁军(简称金山毒霸)。

  山西晚报:天涯网的大规模密码泄露时间和前面的CSDN以及嘟嘟牛、178游戏网等多家互联网站密码泄露事件有关么?他们是同一批黑客所为么?

  奇虎360:应该是同一批黑客发布的密码库。事件发展过程如下,12月4日,一个署名为“臭小子”的黑客在乌云漏洞平台宣称,自己掌握了中国各大站点的用户数据库。数据库里面有139、百合网、开心网等多家大站管理账号密码、数据邮箱密码,2月21日开始,CSDN等多家网站数据库相继在网上公开。事后人们发现,CSDN数据库的大小和 “臭小子”贴图中的280507KB大小完全一致。此外,目前曝光的几家网站数据库都在“臭小子”公布的站点列表中。

  山西晚报:既然这是黑客的系列行为,那么他们手里掌握的网站数据库还有多少?下面是不是还会有更多的网站密码会被曝光?这次的影响面会有多大?

  奇虎360:黑客拖库 (窃取网站数据库)的行为在过去数年内一直存在,这次只是公开化的多家网站集中体现。未来是否会有新的网站密码库曝光,取决于黑客自身的想法,外界无法判断。

  这次曝光的密码库数据总共超过1亿条。以往这些数据只是被少数黑客组织掌握,现在全部公布在网上,每个人都可以下载和尝试登录别人的账号,使其危害被急剧放大。360对此次事件的预警级别为最高等级的“红色安全警报”。

  金山毒霸:现有用户中的90%可能查到其明文密码,也就存在泄露可能。因此可以确定,现在曝光的只是冰山一角而已。而且有迹象显示,黑客还会逐步公布自己手中的密码库数据。金山毒霸也将此次事件的预警级别定位最高级的“红色安全预警”。

  山西晚报:很多网友担心,现在不少网站推出实名制,要求用身份证登记,这样安全么。

  金山毒霸:这次密码泄露事件给实名制登记的网站敲响警钟。一旦他们出现类似问题,则用户真实姓名、身份证确实有可能面临大量泄露的风险。所以用户在登录需要实名登记的网站时,一定要谨慎。

  山西晚报:传说黑客手里有一个“加密词典”,有了它,90%的密码都能破译,您能详细介绍一下吗?

  奇虎360:网站数据库保存用户密码是为了在用户登录账号时进行身份验证:最不安全的保存方式是直接存储明文(用户密码什么样,网站数据库就存成什么样)。这种情况一旦数据库泄露,黑客就可直接掌握所有密码;有些网站会把用户密码按照MD5不可逆算法处理为hash字符串,一般为16位hash或32位hash。但由于黑客已经收集了大量明文密码,并以此构建了庞大的在线密码字典,有了它可以快速地破解各类密码。而对于强度相对较高的密码数据加密方式,包括随机的大小写字母、数字、字符,位数可以根据要求而不一样。这种情况下,即便网站用户数据库泄露,黑客破解密码原貌的难度也会加大。

  山西晚报:密码泄露事件暴露出网站安全漏洞,那么现在国内大部分网站的安全管理如何?

  金山毒霸:如果没有人做专门的安全运营管理,网站不被黑客入侵是不可能的。而且网站安全需要有专门团队,进行持续的投入与升级,不断巡查系统,看是否有黑客入侵的痕迹。现在国内门户网站多有专门团队,但大部分省级网站,以及一些政府网站,只做内容,对安全管理就很疏漏,最容易泄露安全信息。网友上这些需要实名登记的中小网站时,一定要小心。

  山西晚报:目前泄露出来的都是社交类网站和游戏类网站,其实网友更关心的是电子商务类网站,自己的密码在那里是否安全,是否可能遭受经济损失?

  金山毒霸:目前还不能确定黑客手里是否窃取了网站数据库信息。但有两点是必须提醒的,一个是在不同网站使用的是共同密码;还有一个是使用关联邮箱注册。也就是说,只要有一套账号密码被曝光,就意味着很可能被顺藤摸瓜登录该网友注册过的其他网站,如SNS社交网站、QQ甚至是网上银行。一旦用户的网上银行账户被盗,损失将是巨大的。

  提醒

  密码设定指南

  奇虎360提醒网友

  第一、分级管理密码,重要账号(如常用邮箱、网上支付、聊天账号等)单独设置密码。360安全卫士-功能大全-“密码安全鉴定器”可检测密码强度,建议尽量使用80分以上的高强度密码 (黑客使用彩虹表破解的难度会相应的增加);

  第二、定期修改密码,可有效避免网站数据库泄露影响到自身账号;

  第三、工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。

  揣测

  “臭小子”只是想找份工作?

  12月4日,那个署名为“臭小子”的黑客在乌云漏洞平台称自己掌握了中国各大站点的用户数据库时,是否想到日后自己会引起如此大的风暴。

  记者从其发布平台看到,他在“漏洞状态”一栏写道:未联系到厂商或者厂商积极忽略。在“修复方案”一栏写道:不开玩笑你懂的。

  就此,记者采访到知名黑客令狐不冲(化名),他说,很多黑客白天是程序员,晚上是黑客,破译密码也是一种兴趣爱好,就像打游戏冲关一样。很多黑客此时并无太大恶意,甚至会把漏洞发给对方网站。也有的黑客会把这个当做工作,从该平台发布信息状态来看,“臭小子”很有可能只是想找一份工作,挣点钱而已。而各厂商“积极忽略”的态度,惹恼了他,才有了把数据库放到网上的举动。而乌云漏洞平台是平时黑客交往的集散地,说明其当初并没想要大规模扩散。

  记者在后面的评论里看到,网友“zeracker”说,有了这些没必要放出来。并将《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》贴到了网上。

  而网友“xsser”则说,为什么没有必要放出来?不放出来怎么知道安全的重要性?不放出来企业还以为设置个强密码就安全了,把脑袋放沙子里就安全了么?鸵鸟行为!更多的网友则感慨:这孩子要蹲号子了。

  爆发

  用户账号密码泄露多家社交网站遭殃

  12月21日晚,知名程序员网站、中国开发者在线技术社区CS-DN发表重要声明,就“600万用户账户密码泄露”一声公开道歉,承认部分用户账号面临风险,称将临时关闭用户登录。

  接着相继有网站的用户资料也遭到泄露,如多玩游戏、7k7k游戏、178.com等300多万用户资料在网络上流传。随后,据称,人人网、开心网、天涯社区等社交网站的数据库打包资料开始在网络提供下载。但天涯社区当天予以否认。

  12月25日,网曝天涯社区4000万账户密码泄露,随后得到证实。

  12月26日凌晨,网传476万新浪微博用户信息被盗,除账户信息外,还包括用户的登录邮箱及密码。

  进展

  网站相继发布声明

  随着事态的不断扩大,不少网站表示此次是“躺着也中枪”。

  人人网:人人网自建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露。对于近日发生的CSDN网站大量账号密码被盗事件,目前网上可供下载的人人网用户数据经过测试并非人人网账户信息。人人网同时提醒所有与CSDN相同账号密码的互联网用户及时修改密码。

  新浪网:新浪微博回应称,新浪微博用户账号信息采用的加密存储,并强调新浪微博未被盗,也未被攻击。

  • 来源:山西晚报 作者:费煜 张瑾
  • 编辑:武晨晰

  • 股票名称 最新价 涨跌幅