由CSDN网站用户数据库600余万个邮箱账号和密码信息被泄露引发的中国网络泄密潮连日来愈演愈烈,不但人人网、天涯、开心网、多玩、世纪佳缘、珍爱网等网站的用户数据资料相继“沦陷”,资料信息被放到网上公开下载,连交通银行、民生银行也被爆料有数千万用户资料外泄。
密码泄露在普通网民中引发出相当的恐慌情绪,很多人都“改密码改到手软”。但在商业网站方面,面对这起“中国互联网史上最大信息泄露事件”,却呈现出另外一种气氛。真诚反思整改者不多,而意图浑水摸鱼以邻为壑者却不少。
据《21世纪经济报道》,泄密事件爆发后,不少网站开始“按捺不住”,借机浑水摸鱼,打起了那些“裸奔”的用户信息的主意。“有些网站把这些公开库的数据直接导入自己的用户库,也发通知给用户更改密码,来获取用户。有些网站趁机通知用户更改密码,乘机激活用户”,更有甚者,一些网络水军公司居然拿被窃用户的账号去发水帖,刷僵尸粉。而一些彼此竞争的大互联网公司,也趁机抓机会彼此抹黑,互相指责。
网民和互联网公司为何对密码泄露有如此不同的反应?原因之一大概是双方存在着巨大的信息不对称,网民初闻泄密事件感到震惊,但很多网络公司内部其实早就见怪不怪,比如有专家就揭露:最近公开的数据库其实只是部分早就泄露的、在黑客交易市场中流传很久的老旧数据库,而实际黑客组织掌握的已泄露数据库远不止于此。网络公司早知其数据库被盗,而直至被黑客公开出来才开始道歉和采取措施,可见相关网企是将用户信息安全权益位置放得多么低。
如果这次泄密事件也能“变坏事为好事”的话,那就是它把中国网企漠视用户信息安全的短板给彻底暴露出来。
道高一尺魔高一丈,再严密的系统也难免有漏洞,在黑客技术日趋高超的现实下,网站也是泄密事件的受害者,但受害者的身份并不能完全成为卸责的理由,尤其是在这次泄密事件中,很多网站的被窃,其实很大程度上是源于“人祸”,而非“天灾”,为了实现商业利益,而牺牲了用户的信息安全利益。
比如说“明文密码”问题。对用户密码进行加密存储,应该是商业网站的运营常识,然而,由于便于操作、节省人力、财力等种种原因,像这次泄密的CSDN、天涯等网站,却长期使用明文密码,以至轻易遭窃。
再比如用户的简单密码问题。在泄密事件之前,有多少网站会在用户注册时禁用简单密码?有多少连注册验证码都没有?有多少不设置密保提问?网站刻意简化注册过程,在表面上是为了实现更好的用户体验,但实质却是在实现自身商业利益的同时损害用户的长远利益,其心可诛。
泄密事件暴露了中国网民安全意识普遍较低的现状,正因为安全意识低,才更需要中国互联网企业设置更严格的措施引导网民加强网络安全,而不是相反。
这次以CSDN论坛账号密码泄露为主的泄密事件,其实是给中国互联网敲想了一记很廉价的警钟。如果再有下一次大规模泄密事件,后果恐怕就再无此简单(据黑客圈宣称说现在“安全U盾”早已被破解)。近几年,中国互联网正在逐渐转型之中,电子商务、网络支付、移动支付在未来的互联网经济中越来越重要,几千上万亿规模的市场将不是梦想,如果那时候再出现大规模的泄密事件,恐怕带来的将不仅仅是心理上的恐慌,而是经济上的重创。从这一角度讲,保护用户就是保护网企自己,此次泄密事件理应成为一个重建中国互联网商业伦理的契机,未来,保护用户的网络安全权益应该成为互联网业的基本商业伦理。
泄密事件后,工信部表示了强烈谴责并要求各互联网站把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实,但仅仅提出谴责和要求恐怕还不够,工信部应及时出台更具体切实的举措及行业条例乃至推进相关立法,以更加有力的促使网企重视用户的信息安全权益。