打開(kāi)一個(gè)導(dǎo)航頁(yè)廣告及流量收入就有2000萬(wàn)元
近日,天涯社區(qū)承認(rèn)約4000萬(wàn)用戶(hù)的郵箱、社區(qū)密碼等資料外泄
昨天,京東商城也出現(xiàn)漏洞,用戶(hù)資料難保
“這兩天改密碼改到手軟。”北京CBD工作的白領(lǐng)李浩告訴記者,通過(guò)查詢(xún),得知自己的天涯賬號(hào)已被泄露,而他的開(kāi)心網(wǎng)、人人網(wǎng)、微博等幾乎所有賬號(hào)都使用相同ID、密碼,不得不一一更改。
中國(guó)互聯(lián)網(wǎng)正在遭遇史上最大規(guī)模的用戶(hù)信息泄露事件——12月21日至26日短短幾天時(shí)間,多家大型網(wǎng)站的用戶(hù)數(shù)據(jù)庫(kù)被泄露,幾千萬(wàn)用戶(hù)賬號(hào)和密碼被公開(kāi)。
而業(yè)內(nèi)人士認(rèn)為,最近公開(kāi)的僅僅是部分在黑客交易市場(chǎng)中流傳很久的老舊數(shù)據(jù)庫(kù),不同黑客組織實(shí)際掌握的用戶(hù)數(shù)據(jù)庫(kù)規(guī)模應(yīng)該遠(yuǎn)大于1億條,而目前中國(guó)黑客的黑色產(chǎn)業(yè)鏈規(guī)模價(jià)值或達(dá)上百億元。
京東商城用戶(hù)資料大量泄露
漏洞報(bào)告平臺(tái)烏云27日發(fā)布消息稱(chēng),有漏洞導(dǎo)致京東商城用戶(hù)資料已大量泄露。
該漏洞詳情為:“京東商城在某些業(yè)務(wù)上存在用戶(hù)權(quán)限控制不當(dāng)?shù)穆┒矗瑢?dǎo)致用任意用戶(hù)登錄系統(tǒng)后,都可以正常訪(fǎng)問(wèn)到所有用戶(hù)的信息,包括姓名、地址、電話(huà)、Email等。”
昨天京東已經(jīng)確認(rèn),稱(chēng)危害等級(jí)為中,漏洞評(píng)級(jí)為10,并且將馬上處理。
新浪微博否認(rèn)用戶(hù)密碼外泄
CSDN、天涯社區(qū)等知名大論壇的用戶(hù)密碼大批外泄事件導(dǎo)致互聯(lián)網(wǎng)界“草木皆兵”。26日,據(jù)傳用戶(hù)密碼已外泄的新浪微博、人人網(wǎng)、開(kāi)心網(wǎng)等網(wǎng)站先后公開(kāi)聲明賬戶(hù)密碼安全;支付寶、騰訊QQ等互聯(lián)網(wǎng)服務(wù)亦公開(kāi)了用戶(hù)資料加密流程。
繼本月中旬CSDN網(wǎng)站600萬(wàn)用戶(hù)賬戶(hù)信息和密碼外泄后,天涯社區(qū)上周日承認(rèn)用戶(hù)資料外泄,據(jù)估算約有4000萬(wàn)用戶(hù)的郵箱、社區(qū)密碼等資料外泄。前者是中國(guó)最大的計(jì)算機(jī)技術(shù)社區(qū),后者是最大的論壇社區(qū),二者密碼泄露事件引起各界關(guān)注,眾多其他網(wǎng)站也發(fā)生密碼泄露的傳言開(kāi)始大規(guī)模流傳。
天涯社區(qū)提醒修改密碼
新浪微博26日下午正式回應(yīng)稱(chēng),新浪微博用戶(hù)賬號(hào)信息采用加密存儲(chǔ),并未被盜。在對(duì)流傳的數(shù)據(jù)資料包進(jìn)一步研究后,新浪微博表示“經(jīng)核實(shí),該份數(shù)據(jù)絕大部分不是新浪微博賬號(hào)。極小部分用戶(hù)因使用和其他網(wǎng)站相同賬號(hào)密碼,可能導(dǎo)致其微博賬號(hào)不安全。我們已對(duì)這部分用戶(hù)做了保護(hù),并提醒所有用戶(hù)盡快進(jìn)行賬號(hào)安全設(shè)置”。
記者使用與天涯社區(qū)相同的注冊(cè)郵箱登錄新浪微博時(shí),亦收到系統(tǒng)首頁(yè)提示稱(chēng),該郵箱與一些網(wǎng)站外泄資料中的郵箱相同,并要求修改密碼。
人人網(wǎng)、開(kāi)心網(wǎng)26日表示,網(wǎng)站密碼采用加密方式保存,從未發(fā)生過(guò)外泄情況。
某活躍于黑色產(chǎn)業(yè)鏈的知名黑客,一年能夠賺5000多萬(wàn);一些大網(wǎng)站的數(shù)據(jù)庫(kù)是明碼標(biāo)價(jià),一個(gè)庫(kù)端下來(lái),價(jià)值600多萬(wàn);黑色產(chǎn)業(yè)鏈的人開(kāi)始向一些網(wǎng)站收保護(hù)費(fèi),標(biāo)準(zhǔn)是一個(gè)月兩萬(wàn)。
CNNIC《第28次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,2011年上半年,有過(guò)賬號(hào)或密碼被盜經(jīng)歷的網(wǎng)民達(dá)到1.21億人,占24.9%。
數(shù)字 1.21億人
數(shù)字 80%
據(jù)360分析評(píng)估,上述被盜號(hào)的1.21億網(wǎng)民群體中,80%以上是因?yàn)楹诳退?kù)后獲取了網(wǎng)民的賬號(hào)密碼數(shù)據(jù),危害遠(yuǎn)遠(yuǎn)超過(guò)盜號(hào)木馬。
知名黑客一年能賺5000多萬(wàn)
隨著泄密事件愈演愈烈,隱藏在背后的黑客產(chǎn)業(yè)鏈也浮出水面。
天涯社區(qū)公關(guān)經(jīng)理初蒙26日告訴記者,天涯被盜取的用戶(hù)賬號(hào)規(guī)模低于網(wǎng)絡(luò)傳言的4000萬(wàn)。不過(guò),業(yè)內(nèi)人士預(yù)計(jì),泄露網(wǎng)站數(shù)據(jù)庫(kù)的行為可能會(huì)引發(fā)連鎖效應(yīng),更多網(wǎng)站的數(shù)據(jù)會(huì)被黑客放出。
在今年9月的一場(chǎng)信息安全論壇上,Chown Group(信息安全專(zhuān)業(yè)委員會(huì))發(fā)起者之一李麒曾表示,目前中國(guó)黑客的黑色產(chǎn)業(yè)鏈規(guī)模價(jià)值上百億元。他舉例稱(chēng),某活躍于黑色產(chǎn)業(yè)鏈的知名黑客,一年能夠賺5000多萬(wàn);一些大網(wǎng)站的數(shù)據(jù)庫(kù)是明碼標(biāo)價(jià),一個(gè)庫(kù)端下來(lái),價(jià)值600多萬(wàn);黑色產(chǎn)業(yè)鏈的人開(kāi)始向一些網(wǎng)站收保護(hù)費(fèi),標(biāo)準(zhǔn)是一個(gè)月兩萬(wàn)。
單純倒賣(mài)用戶(hù)數(shù)據(jù)庫(kù)并不賺錢(qián)
李麒稱(chēng),目前黑色產(chǎn)業(yè)鏈已經(jīng)有了嚴(yán)格的代理制度,金牌總代、區(qū)域總代、一級(jí)總代、二級(jí)總代,制造木馬,大木馬里再裝小木馬,針對(duì)不同的游戲都能做,此外,從制造木馬到買(mǎi)賣(mài)、銷(xiāo)售、分銷(xiāo)、洗信已經(jīng)有了一條龍服務(wù)。
一般而言,單純倒賣(mài)用戶(hù)數(shù)據(jù)庫(kù)并不賺錢(qián),有些數(shù)據(jù)庫(kù)經(jīng)過(guò)多次交易后,幾百個(gè)賬號(hào)的價(jià)格只有幾分錢(qián),因此不少黑客盜取用戶(hù)數(shù)據(jù)庫(kù)之后通過(guò)發(fā)布詐騙信息、轉(zhuǎn)賣(mài)給黑公關(guān)或競(jìng)爭(zhēng)對(duì)手等多種途徑完成利益最大化的變現(xiàn)。
例如,不少黑客利用密碼庫(kù)嘗試竊取QQ、MSN等聊天軟件賬號(hào)和微博、人人、郵箱等賬號(hào),向好友發(fā)送借錢(qián)詐騙消息,發(fā)布廣告信息或釣魚(yú)詐騙鏈接。
網(wǎng)游用戶(hù)是黑客攻擊重點(diǎn)對(duì)象
一些花銷(xiāo)頗多的網(wǎng)游用戶(hù)也是黑客攻擊的重點(diǎn)對(duì)象。一些游戲廠(chǎng)商的用戶(hù)數(shù)據(jù)庫(kù)被黑客竊取后,可能被黑客轉(zhuǎn)賣(mài)給其競(jìng)爭(zhēng)對(duì)手,成為競(jìng)爭(zhēng)廠(chǎng)商爭(zhēng)奪用戶(hù)資源的“營(yíng)銷(xiāo)對(duì)象”。金山網(wǎng)絡(luò)安全專(zhuān)家李鐵軍透露,這些數(shù)據(jù)在剛被盜取出來(lái)時(shí)售價(jià)非常昂貴,某些游戲廠(chǎng)商上百萬(wàn)的玩家用戶(hù)資料包可以賣(mài)到百萬(wàn)元的高價(jià)。
更嚴(yán)重的情況還有,當(dāng)黑客利用密碼庫(kù)在網(wǎng)上支付平臺(tái)自動(dòng)批量發(fā)起交易,如果恰好試探出用戶(hù)泄露的密碼和網(wǎng)上支付密碼相同,支付賬戶(hù)中的余額就可能被黑客全部盜取。
國(guó)內(nèi)知名黑客綠色兵團(tuán)創(chuàng)始人Goodwell昨日亦指出,如果能控制100萬(wàn)的用戶(hù)電腦終端,不管是惡意插件還是木馬或是小軟件,只要黑客能“挾持”用戶(hù)的一些操作,哪怕是打開(kāi)IE跳到一個(gè)默認(rèn)的導(dǎo)航頁(yè)面,也能為其帶來(lái)每年2000萬(wàn)元的廣告及流量收入。
“明文密碼”被看做罪魁禍?zhǔn)?/strong>
在一系列的用戶(hù)信息泄露事件中,采用的“明文密碼”被看做是“罪魁禍?zhǔn)住薄?/p>
“最不安全的保存方式是直接存儲(chǔ)明文,用戶(hù)密碼什么樣,網(wǎng)站數(shù)據(jù)庫(kù)就存成什么樣。這種情況一旦數(shù)據(jù)庫(kù)泄露,黑客就可直接掌握所有密碼。”360安全工程師石曉虹博士對(duì)記者說(shuō)。
“對(duì)黑客而言,明文密碼的盜取簡(jiǎn)直就是探囊取物,不是他們想不想要,而是要不要的問(wèn)題。”一位受害企業(yè)員工對(duì)記者說(shuō)。
CSDN在道歉信中透露,CSDN網(wǎng)站早期使用過(guò)明文密碼,使用明文是因?yàn)楹鸵粋(gè)第三方chat程序整合驗(yàn)證帶來(lái)的,后來(lái)的程序員始終未對(duì)此進(jìn)行處理。直到2009年4月當(dāng)時(shí)的程序員修改了密碼保存方式,改成了加密密碼。但是直至2010年8月底CSDN才清理掉所有明文密碼。采用明文密碼是一個(gè)相對(duì)低端的模式,很容易就被黑客破解。
天涯被盜的是2009年之前備份數(shù)據(jù)
而天涯社區(qū)表示,由于歷史原因,天涯社區(qū)早期使用過(guò)明文密碼,此次被盜的是2009年之前的備份數(shù)據(jù),2010年之后升級(jí)改造了天涯社區(qū)用戶(hù)賬號(hào)管理功能,使用了強(qiáng)加密算法,解決了用戶(hù)賬號(hào)的安全性問(wèn)題。
而那些未使用過(guò)明文密碼的網(wǎng)站如人人網(wǎng)、新浪微博等也很難獨(dú)善其身。因?yàn)楹芏嘤脩?hù)習(xí)慣用同一個(gè)用戶(hù)名和密碼來(lái)注冊(cè)多個(gè)網(wǎng)站,一旦有一個(gè)賬號(hào)密碼泄露,就很可能波及其他重要賬號(hào)的安全,例如網(wǎng)上支付、郵箱、聊天賬號(hào)等。因此,近日也有網(wǎng)上爆出人人網(wǎng)、開(kāi)心網(wǎng)、多玩、世紀(jì)佳緣、珍愛(ài)網(wǎng)、美空網(wǎng)、百合網(wǎng)、178、7K7K等知名網(wǎng)站的用戶(hù)數(shù)據(jù)資料也被公開(kāi)。目前,不少網(wǎng)站都向用戶(hù)發(fā)出修改密碼的提示。
“從積極的角度考慮,此次事件對(duì)于公眾提升安全意識(shí)起到了積極的作用,讓網(wǎng)民知道即便電腦不中毒,賬號(hào)同樣可能被盜。”石曉虹表示,無(wú)論未來(lái)黑客是否會(huì)繼續(xù)公開(kāi)更多網(wǎng)站的數(shù)據(jù)庫(kù),只要網(wǎng)民注意重要賬號(hào)單獨(dú)設(shè)置密碼、定期修改密碼,就能夠?qū)⒑诳透`取網(wǎng)站數(shù)據(jù)庫(kù)的安全威脅降到最低。據(jù)《第一財(cái)經(jīng)日?qǐng)?bào)》《新京報(bào)》
