12月27日,根据乌云漏洞平台提交的报告所示,互联网大规模用户资料泄露事件持续发酵,继CSDN、天涯社区、人人网之后,国内电商巨头京东商城也被曝出存在安全漏洞。据知,此为用户权限控制漏洞,可能会导致用户资料泄露,造成个人隐私信息失去安全保障。京东方面已经确认此漏洞,并已派员处理。连串的安全事件在年近岁晚的时候集中爆发,相信已经让广大网民心中的警钟敲响,但有信息安全业内人士反映,最近的“刷库”事件可能并非针对普通用户而为,因为这些数据少则一年,多则已是两三年前做的记录,时效性导致其价值几乎已经损失殆尽。此举或仅为针对最近在各地开展得如火如荼的实名制,“挟诸侯以令天子”。
在连番打击之下,似乎广大网民已经对国内互联网安全失去信心。道高一尺魔高一丈,处于守方状态的安全专家往往是缺乏有效手段进行提前预警,大多数仅能在事后设法补救,而具备攻方优势的幕后者,却能来去如风,游刃有余,实在让人无从防备。面对着网友一连串的疑问,或许可以试着从以下三个方面(3W)去剖析个中因由,抽丝剥茧当中理清思绪。
W=What
此轮泄露的数据库里面,所包含的隐私信息基本集中在明文密码和邮箱两个方面。而最新的京东商城漏洞,已经被核定为中度等级危害的漏洞,可能会泄露用户的注册信息,包括用户名、地址、联系方式,有别于CSDN、天涯社区。多起事件综合起来,受影响的账户数量可能过亿,但考虑到当中具有相当程度的重合度,数百上千万是少不了。
W=Who
“一点都不意外,这在我们圈里流传很久了。”中国资深黑客万涛表示,这些用户信息在业内已经是公开的,只是最近有好事者将其公布在网络上。据悉,这些已经被筛选多次的数据,里面包含的有价值的信息基本已经被掏空,也就是说,这已经是些没有多少商业价值的数据库。
另一位安全界元老级别人士龚蔚则说道,“我看不出这个事情最终受益者是谁,也看不出来有组织性。”似乎是有一个始作俑者将CSDN的数据库在P2P网络分享出来,或许此举的初衷仅仅是处于好奇,吸引大家的关注;这之后,拥有天涯社区数据的人就面临不得不将同为明文保存密码的数据库公布出来,“因为再不公布的话,那些用户就会更改密码。”
W=Why
“为什么众多大型网站会同时失守,应当有安全保障才对?”可能这是很多网友心中的疑问,这些动辄拥有数千万用户数量的大型网站,似乎瞬间就变得不堪一击,进出自如,这是一层萦绕在大众头顶上挥之不去的阴霾。
用户的注册信息都会按照指定的格式存放在网站的数据库当中,如果该数据库存在漏洞,可能是数据库本身的设计缺陷导致的漏洞,或者是使用者设置不当所致,都有让用户信息暴露的危险。目前的密码数据库都是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值,但哈希函数本身并非牢不可破,一旦被“碰撞”成功,用户信息则一览无遗。当然,虽然此风险存在,但现实当中几率很低。
问题的另外一个症结在于,用于安全防卫的支出严重不足,国内知名建站专家中国诺网nuo.cn指出,在欧美,安全支出占整体支出的比例大概在8%~10%,而在国内,该比例不足1%。可能只有浏览量位居前100位的网站配备了专业的安全运维人员,前1000位的网站会有采购相关的安全产品或服务,但绝大部分网站在此方面投入与其规模不相称。根据测算,建立自己的安全运维团队,资金投入相当巨大,以大型的B2C购物平台为例,可能每年为此需要付出千万元级别的巨资,此或是众多企业无法配备安防的无奈。。
还有不到一个星期,便将踏入新年,但此次泄密风波不会就此平息。一方面关注网络安全的行业人士会追根溯源的将事情的脉络摸查清楚,另一方面,那些“好事者”或会还有些重量级的“过期”数据库投放出来。
虽事已及此,但概览当前情况,网民的个人信息成了“好事者”把玩的筹码,或仅仅是好奇而为之,或是表达对实名制度的不满情绪,但这种“挟诸侯以令天子”的越策之举,定会适得其反,招致更大规模的反扑,如风起云涌一般。