网络安全专家指出,明文密码是史上最大规模泄密事件的罪魁祸首
从上周开始,由国内最大的程序员社区CSDN上600万用户资料被公开拉开序幕,中国互联网史上最大的泄密事件不断发酵。市场传言,天涯社区、猫扑、开心网、多玩等多家知名互联网公司的客户注册信息库被泄密。网络安全厂商的监测数据显示,有上亿账户密码已被公开暴露。一时间,网民人人自危,修改网名和密码就成了当务之急。
网络安全专家指出,明文密码是这次规模巨大的泄密事件的“罪魁祸首”,除了互联网企业需要重视对用户数据进行加密存储之外,广大网民也应该增强安全意识,及时修改自己的密码,避免受到侵害。
上亿网络账户密码“裸奔”
12月21日,CSDN上600万用户资料被公开,在被公开的文件中,包含有用户的邮箱账号和密码。这一事件,拉开了中国互联网史上最大泄密事件的序幕。
继CSDN之后,网上又爆出天涯社区、开心网、7K 7K、猫扑等多个社区和游戏网站的用户数据相继外泄。来自奇虎360的最新监测发现,目前网上公开暴露的网络账户密码超过1亿个。“密码危机”呈愈演愈烈之势,各大互联网公司纷纷通过各种途径提醒网民修改网名和密码,避免受到侵害。
在这次“密码危机”中,多家网站此前采用的明文密码方式被认为可能是导致数据外泄的“罪魁祸首”。明文密码是一种比较低级的保密方式,数据库里的密码信息是直接放进去的,没有经过加密,数据库被盗取的话所有密码信息全部都会直接泄露。CSD N和天涯社区均承认,早期曾有明文保存用户密码的情况,并提醒用户尽快修改相关密码。360网络安全专家石晓虹指出,直接存储明文是最不安全的数据保存方式,一旦数据库泄露,用户信息就完全裸奔;金山网络也呼吁各网站尽快加强用户账号的管理功能,进行多方面的安全加固,以确保用户的信息安全。
安全厂商员工被指成泄密帮凶
有网友发现,最先泄露CSDN用户账号密码完整数据包的,是一个名叫hzqedison的新浪微博用户。12月23日凌晨,“hzqedison”承认,他在一个网络安全相关的QQ群内,看到了CSDN用户账号密码的迅雷下载文件。在这个下载文件中,hzqedison看到了自己的账号。hzqedison表示,由于自己的很多同事都是CSDN的注册会员,想把这份东西共享给他们(同事),方便他们查询和修改密码。于是他把Q Q群内要用迅雷专用工具下载的链接,转化成了迅雷快传的下载链接,并且发到了一个朋友圈内的Q Q群里。此后,这份文件就如同病毒一般快速在网络中传播开来。
12月26日,金山网络发表声明,承认相关资料传播人hzqedison确为其公司员工韩某,但同时表示,该员工并非窃取数据的黑客,也不是最早泄露用户数据的人,“韩某将部分网上流传密码库分发给同事自查,不慎被外人所获知”。“hzqedison”也承认,“作为安全厂商的员工,我深知自己做了一件错事”,并辩称“在网上将下载的用户资料做了分享”是“无意识”行为“本身事情我也是受害者”。
同时德和衡律师事务所合伙人姚克枫律师认为,如果金山员工上传、分享用户隐私数据包的行为,使之成为了泄露事件的源头,已经涉嫌触犯刑法,应该承担相应的法律责任。