來源:RTdot
開發者門戶CSDN洩漏600萬使用者資料,其中包含極為敏感的使用者名稱、密碼。垂直遊戲網站多玩網洩漏800萬使用者資料,大部分加密也有小部分明文儲存,措手不及的使用者們瑟瑟顫抖。
緊接著51CTO、CNZZ、eNet、UUU9、YY語音、百合網、開心網、人人網、美空網、珍愛網等眾多網站也都陷入使用者資料洩漏醜聞,包括CSDN、人人網、新浪微博、QQ郵箱、知乎多個網站已經在訊息披露後提升了安全等級,提醒可能被波及的使用者更改密碼。
僅現在已經確認被波及的使用者規模已經超過千萬,本來大家都在在暖氣房為年終報表、業績資料裡奔忙,現在不得不面對可能存在的未知威脅,並且你對威脅什麼時候到來完全一無所知。
連環洩漏像是有心人刻意為之
在兩天內,先是CSDN緊接著是多玩網,超過十家網站紛紛爆出使用者資料洩漏醜聞,這顯然是一起經過嚴密策劃的事件。
策劃者很好把握住了使用者的心理,沒有選擇一次性全部放出而是分批放出,顯然是想要拉長系列事件的關注度。暫且不論那些未被證實的洩密網站有多少屬實,僅就現在披露的資料已經引起了非常大規模的影響。
這些大型網站通常已經有三年以上的歷史,期間有機會接觸使用者資訊的程式設計師不計其數,是否有洩密可能根本無據可查,更談不上什麼責任認定跟追究了。即便是報警也只能算是策略性行為,起不到太實質性的作用,在事件策劃者自揭謎底之前,沒有任何一個網站敢說自己是清白的。
事件策劃者既然敢曝露如此多的使用者資料,必然做了足夠多的自我保護措施,確保沒有人能夠找到他們的真實身份。至於策劃這一事件究竟是為了什麼,顯然目前還沒有清晰的答案,也許是為了攻擊競爭對手,也許是為了轉移大家的注意力,也許只是惡意黑客的玩笑而已。
對網際網路的影響遠比想象中更深刻
“我無法想象這些大網站無法保障我的資訊保安,我的郵箱、支付寶、QQ都使用了相同的密碼,這意味著黑客可以肆意去攻陷我的線上帳戶”,這段話正是大多數普通使用者心理的真實寫照,在他們看來網站保障使用者資訊保安是理所當然的義務,普通使用者可能會對線上服務失去信心。
問題的核心是沒有人知道自己是否受到影響,普通人並不會像程式設計師建立資料庫匯入SQL檔案然後查詢,也不知道自己日常使用的網站資料安全是否完備。通常被曝光的數量往往遠大於真實存在的數量,沒有人知道自己的帳號、密碼、電子郵件、信用卡密碼會不會被放在信封。
這些帳號資訊可能會對使用者的關聯帳戶產生巨大危害,並且這樣的危害基本是無法阻止的,因為大多數人對郵件使用了相同密碼,你如果能夠通過登陸及郵件更改密碼,那麼恭喜你,因為那些惡意攻擊者也可以。
更大的危害是,洩漏的使用者資料可能被有心的黑客用作建設密碼破解資料庫(彩虹表),幫助惡意黑客們更有效攻陷線上帳戶。甚至他們會基於此建立更有效的方式,利用社會工程學來突破傳統保護系統的封鎖。
怎樣的密碼才是更安全的?
網友對開發者門戶CSDN洩漏的資料進行了分析,發現排名前三的使用者密碼是 “123456789”、“12345678”、“11111111 ”,這三個弱密碼在洩漏密碼中的佔比高達10%。考慮到使用者密碼的的巨大差異性,這已經是一個非常高的比例。
弱密碼是指簡單容易被破解的密碼,而且這還是在業內的開發者入口網站,在普通網站使用弱密碼的使用者比例可能更高。
當然,作為使用者有義務設定更高強度的密碼,但是這些密碼居然成功通過了CSDN網站的驗證,大多數網站都具有弱密碼檢測功能,提示使用弱密碼的使用者更換更高強度的密碼。這意味著大多數國內網站的弱密碼檢測功能都是存在嘗試缺陷的,甚至僅僅是判斷字元數而不包含必備的常規判斷。
那什麼樣的密碼更安全?
數字、大小寫字母、符號相互組合,字元數越多越安全,但前提是不要給日常使用帶來太多障礙。考慮到大多數網站已經配置記憶登陸功能,這並不是一個特別大的障礙。如果可能的話,重要帳戶使用單獨的密碼,儘量定期更改敏感密碼
給網際網路創業公司的安全警鐘
CSDN資料洩漏事件中,受到威脅的主要是早期註冊並且沒有更改過密碼的使用者,多玩網方面給出的回覆大致相同。
這樣的情況在大多數創業公司存在,這次事件波及到的很多網站也是近幾年才成長起來的創業公司。在初期由於人手、資源有限,大量的精力都被投入到運營與功能開發中,缺乏對使用者資料的有效防護,容易忽略對使用者資料安全的重視。
然後他們做大之後會發現存在的安全隱患,然後騰出人手來修復存在的安全問題。但這次資料洩漏事件給創業公司敲響了警鐘:使用者的資料安全始終應該被放在足夠重要的位置,否則可能會成為壓倒駱駝的最後一根稻草。