座机:020-87634691 28996560

广州网站建设公司

更多>>
更多>>
更多>>

互联网数据泄密事件 网民可上网自查

2011-12-31 资讯分类:行业动态

 

  岁末这场中国互联网史上最大的“窃密风云”,雪球效应仍在进一步继续。

  截至昨天,被爆出密码泄露的网站已经从人人网(微博)、天涯等SNS社区延伸至电商网站,京东(微博)商城、当当(微博)网等几千万用户也被传集体中招。“今后人肉搜索恐怕会方便很多,因为根据电商的数据库通过邮件直接就可以找到你家住址和手机号码了。 ”有业内人士表示担忧。记者今天上午从工信部获悉,目前相关部委已启动应急预案,联合多方介入调查此事,同时要求所有网站立即开始自查。

  京东、当当用户遭“曝库”

  据业内人士“月光博客”透露,由于京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。此外,当当网1200万全字段用户资料也被曝已经泄露,目前这些数据已经在黑市上流通。有网友也对这些资料进行调查核实,确认这些资料确实是当当网的用户。

  “相当于实名制网站的电商平台泄露的数据是最恐怖的,邮件地址、真实姓名、地址、手机号码,这些隐私数据的泄露无疑将冲击现有的信用体系,最令人郁闷的是,用户没有应对措施,去电商网站购买商品,不可能留下假的名称、假地址、假手机号码。 ”月光博客称。

  对于1200万用户遭泄密一说,当当网回应称已迅速进行排查。 “网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。 ”其官方发言人表示,当当网已经向当地公安机关报案。

  京东商城信息部副总裁李大学则回应称,截至目前,京东商城没有对外证实过任何漏洞的存在,目前正在核查漏洞。

  据乌云漏洞报告平台显示,支付宝(微博)用户名也出现大量泄露,里面只有支付宝用户的账号,没有密码。 “这些邮件账号可能会被垃圾邮件发送者所利用,用于网络营销。 ”乌云方面称。对此,支付宝官方微博回应:“单纯支付宝账号不是私密信息,在很多地方都可以被搜集到。只有账号没有密码,对用户资金安全没有任何威胁。支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。 ”其负责人称。

  可上网自测是否“中枪”

  由于最早的泄密源头来自国内的开发者技术社区CSDN用户数据库遭黑客攻击,600余万个注册邮箱账号和与之对应的明文密码外流,多个安全机构认为,后续陷入泄密危机的网站不少都是“躺着中枪”。因为不少网民喜欢用同一个账户密码、注册邮箱在不同的网站注册,黑客只要拿最初的CSDN用户信息不断去试,就总能有歪打正着的。 “黑客入侵网站服务器、窃取用户数据库后,通常会利用其获取的大量账号密码在网上支付等平台上试探盗号,也就是俗称的‘先刷库、后洗号’”。 360安全中心石晓虹(微博)博士称。

  近期有不少市民向记者反映,其MSN账号被第三方恶意登录,头像甚至被修改成裸女等恶俗图片。目前,微软(微博)方面尚未就此事发布大规模安全提醒。安全专家则称,若用户MSN密码和其他网站密码相同,建议尽快修改。 “毕竟MSN上有大量基于真实朋友的关系链,还能直接登录hotmail邮箱,被盗后的危害性将数倍放大。 ”

  目前,所有网民已可以通过金山开设的快速查询平台 (cs-test.ijinshan.com/security),以及“2011年末账号密码泄露一键查询”(www.login4.net/all)进行自测,查看自己的密码有无泄露。

  “值得警惕的是,密码泄露的利用价值跟数据库大小无关,如果银行网站的数据库泄露,即使只有几千个用户,那也比几百万、上千万的社区用户数据库有价值,因为黑客可以直接利用其窃取用户资金。 ”瑞星(微博)方面称。

  “有网站忙于推卸责任”

  值得注意的是,作为此次密码泄露的最初源头,虽然CSDN已对外正式道歉,但其创始人蒋涛日前通过微博隐晦地表示,在此次风波中,有某家网站忙于推卸责任,反而给其他人泼脏水。

  “某上市公司忙着造假库往外扔,栽赃其他公司,想摆脱被曝明文库的证据;有网站通知所有用户改密码,乘机激活用户;还有网站把这些公开库的数据直接导入自己用户库,也发通知给用户改密码。 ”蒋涛描述了泄密事件发生后的众生相。网友整理发现,在上述微博发出时,被曝泄密的上市公司只有人人网和新浪微博两家。蒋涛进一步透露称:“某人网说他的500万用户数据泄露是CSDN库碰撞引起,他从来没有存明文。但对比我们的曝库642万数据,和他重合度只有27958。 ”

  针对近期频发的泄密事件,工信部已发布通告,要求各互联网站要开展全面的安全自查。事件发生后,工信部已启动应急预案,组织相关通信管理局、国家计算机网络应急技术处理协调中心(CNCERT)、网络安全专家和部分互联网企业,了解核实事件情况,评估事件影响和危害,研究提出应对措施。

  记者上午从工信部相关人士处获悉,目前其已要求发生用户信息泄露的网站做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。

  交行、民生、工行否认用户信息泄露

    在银行方面的辟谣下,昨天发生的“银行泄密门”最终以“疑似惊慌”收场,但个人信息安全问题再度引发关注。

  昨天,挨踢客网站发表文章并在微博上称,有网友爆料,国内多家银行的用户数据已经泄露,其中涉及交通银行7000万用户,民生银行3500万用户,该网站还贴出网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含用户姓名、卡号、密码等敏感信息。当天下午,三家银行都进行辟谣。

  当记者分别致电交通银行、民生银行相关负责人时,他们都表示该信息为虚假信息。工行相关部门负责人也表示,这一传言不符合实际,工行的客户信息和密码是安全的,工行对于客户密码等重要信息采取了非常严格的措施来确保安全,在系统中对于客户密码的存储与传输均采用加密方式,在与第三方公司的电子商务合作中,涉及的密码信息均要求在该行系统页面上进行操作。这位负责人还表示,网络传言中所谓泄露银行用户数据中所涉及的三张工行卡均为已注销的无效卡,且从相关文本数据结构含义上分析,其中包含了订单号等内容,可以判断信息不是来自银行数据库。

  当天下午三点,民生银行在该行官网上发布重要声明,“12月29日,有微博说有我行客户信息遭泄露。经查,此信息严重失实! ”

  交行方面表示,交行对于信息安全工作历来高度重视,该行采用了先进的密码硬加密技术和周密的安全防范措施,确保为所有客户提供安全高效的金融服务。所谓“硬加密”,就是不光靠密码解密,还必须有一个外在于密码系统的物理密钥,比如发送到手机的动态口令或者U盘密钥,其安全性通常高于单靠密码的 “软加密”方式。

  随后12月29日下午挨踢客又发表声明称该事件对银行造成了一定影响,并且表示深深歉意。

  曾参与开发银行卡相关系统的篱笆网创始人徐湘涛说:“通常银行卡的密码是不可逆加密的,系统里根本就不可能存在明文密码,也不存在所谓给安全部门留明文密码的后门。从截图中的密码来看,不可能是银行卡密码。卡号和姓名之类信息泄露的可能性是有的,但里面所谓银行卡密码毫无疑问是假的。 ”但国内银行的安全问题依然值得关注,“银行在很多环节采用普通电话、邮件文本附件传送交易指令和数据,这很容易在某一环节就被截取信息。 ”徐湘涛说。有业内人士猜测,如果截图和文件是真实的,最大可能性是第三方支付平台的数据库被盗取,密码则是第三方支付平台的支付密码。

   如何保护银行卡信息

  定期修改密码。持卡人拿到新的银行卡后,要立即修改密码,并应定期修改密码。设置一些相对复杂的密码,不要设置简单密码,并应定期修改密码;不要用自己的生日、家庭电话号码等作为密码,同时在任何情形下都不要轻易向他人透露银行卡密码等账户信息。

  保护个人信息。持卡人应注意保护自己的个人信息资料,防止个人资料被滥用。如不要把个人资料随便留给不熟悉的公司或个人,不要随便在互联网页留下真实个人身份资料 (包括家庭、工作信息)。

  如何提高账号安全性

  用户不应该盲目信任“大公司、大网站”,在网上注册的时候应尽可能少的透露自己的个人资料,如非必要,不要泄露电话、家庭住址、银行卡号、QQ密码、MSN密码等私人信息。

  一定要 “1个网站1个密码”,不要在多个网站使用同一密码,避免黑客通过攻击安全性低的网站,拿到其数据库后去猜解别的网站密码。

  设置网站密码时,应至少在8位以上,数字、字母和特殊符号(@%&)混合,这样可以加强密码强度。

  每三个月就至少更换一次重要网站的密码,这样即使黑客拖库成功,也可以降低其利用密码作恶的成功率。

浏览量:3963