论文部分内容阅读
新闻背景
2011年以来,国内大部分知名网站因密码泄露事件而忙得焦头烂额,我们的信息正在变得越来越透明,方便的同时也隐患重重,海量的用户信息被泄露,谁来为我们的隐私泄露买单?
电子商务网站的信息安全更揪人心
文/挨踢客
最近,身边的人都特别忙,不是在忙年底的活,都在忙着改各种密码。CSDN泄露门就像一个原子弹,爆发之后却在不断地裂变。就像一个朋友开玩笑说,CSDN那些程序员发现自己被扒光之后,统统将手中捏着的数据库给放出来了。这当然只是一个玩笑,但却也是一个现实。
其实,大众网站的泄密还不算很严重,至少没有什么机密可言。但是,若电商网站的数据泄露,那可真成大灾难了。据wooyun近日发布的报告,京东商城存在一个漏洞,可能导致用户信息泄露,包括姓名、电话、住址、邮箱等。如果这些信息被刷下来,被一些别有用心的人利用,那京东商城的用户就只有坐等倒霉。而且,这样的事已经发生在另外一家B2C网站了。
据网友提供的线索,国内某知名电商1200万全字段的用户数据已经泄露,在P2P上传开了。通过网友提供的部分数据截图,验证了其中的用户邮箱,发现这些数据确实属于该网站。不过,到目前该网站尚未对外发布公告,也没有对用户做出安全提醒。时近年关,如果这些数据落入不法分子之手,通过数据中的姓名、电话、地址等方式诈骗,得手的几率会相对大很多。那么,最终倒霉的就是该网站的用户。所以,我也催促该网站尽快公告,以免让用户遭殃。
这样的事情不只发生在一家网站身上,很多电商的用户资料外泄已经不是秘密。但是,这些电商似乎并不在意,从来没见哪个电商主动公告,也没有见他们主动提醒用户。而从我对一些电商网站的了解,大多对安全没有什么大的投入,甚至很多人都忽视了安全。而用户却很信赖电商,把自己的所有资料都提交,包括作为敏感信息的地址和电话等。这些信息一旦外泄之后,就很容易被人利用。试问,如果骗子冒充该网站人员,所有信息都能够对号入座,用户会相信吗?如果换作是我的话,我肯定会相信,因为所有信息都相符。那样,我就会上当受骗了。
所以,相对于一些大众网站泄露的信息,电商网站的信息泄露才是最可怕的。电商网站收集了更全面更隐私的信息,这些信息泄露就会给整个社会带来大灾难。虽然这不是电商网站能够100%保证的,但只要泄露就有不可推卸的责任。因此,也希望电商网站能够妥善保管,能够加大投入对信息的安全保障,不要让用户提交信息之后裸泳在网络的海洋里。
网络安全意识淡薄,自我反省也很重要
文/美丽同伴
不久前,国内知名程序员网站CSDN的数据库遭到曝光和外泄,官方网站和微博已公开道歉,高达600多万个明文的注册邮箱账号和密码被公开,这成为了今年中国互联网一次重大网络安全事故。
CSDN官方在网站的公开道歉中指出,2009年4月之前,数据库都是以明文的形式进行保存,之后,对部分明文进行了加密处理,直到2010年8月才将所有的账号进行加密保存。作为国内知名的程序员网站,对用户的数据采取加密存储,这是每一个程序员都应该掌握的常识,这暂且不说,就算2009年前采用明文我们可以理解,但2009到2010年呢?既然有对部分账户进行加密存储,说明已经意识到这一个安全隐患,为什么不全部采用加密存储?不知道是CSDN管理层的疏忽还是相关工作人员忘记了处理这件事情。
事发之后,CSDN的应急处理和危机公关还算可以,首先关闭注册用户登录,重置所有相关用户密码,联系国内主要邮件服务商如QQ、163邮箱团队让他们通知相关用户修改密码,配合公安机关追查数据泄露源头和相关传播者,并在CSDN官方微博和官方网站针对此事做了公开道歉,CSDN总裁蒋涛也在其个人的微博中及时跟进此事,把最新的进展通过微博告诉大家,这一点,CSDN还是让我们感到欣慰的。
在官方网站的公开道歉书页面下部,发现有许多网友跟帖反应修改其他网站的密码改到手抽筋,其实这就是你的不对了,网络上的所有账号密码不能使用同一个,如果是这样,这安全隐患可就真的大了,要自己懂得分开记忆保存。
还有,好多人的密码设置过于简单,目前网上已经有人针对这批账号做出分析,有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。这密码真的过于简单,就算不被CSDN暴露,也会在其他网站被暴露、被利用。
标本兼治,关上“泄密门”
文/月光
今年注定是互联网安全领域重要的一年,网络安全这个原本技术领域的小众话题一下子跃入大众的视野, CSDN和天涯的泄密事件引发了大众对于泄露用户隐私事件的关注,而后各大网站的泄密数据库也纷纷在网络上传播,搞的业界鸡飞狗跳,用户忙着四处修改密码,网站忙着加强密保措施,而从这次泄密事件中也可以看出中国网络安全现状存忧。
当前,很多互联网企业,信息安全投入比例很低,对于网络安全没有足够的意识,只有少数大型网站以及网银支付网站采用较为安全的加密认证技术。
因为商业网站的安全意识淡薄,使得黑客窃取网站数据库(刷库)成为最近几年非常流行的攻击方式,黑客刷库的危害已经远远超过了盗号木马。此次的大规模泄密,就是因为黑客入侵了各个目标网站,刷库获取了网民的账号密码数据。
不过幸运的是,这次用户的个人隐私数据以及财务支付等信息并没有直接泄露。但是,由于许多网民为了方便,对于邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,一旦密码被泄露,很有可能导致网上支付等其他重要账号一并失窃,从而遭到更大程度的泄密以及财产损失。
为什么这么多大公司都采取明文保存密码?相关信息安全法律不健全是一个重要原因,对那些因为“泄密门”而遭受损失的网民来说,很难去追究互联网公司。个人权益无法得到保证,也没有明确的用户赔偿机制。所以,那些互联网企业也不愿意花费大量资金投入网络安全领域,从而给黑客留下了可乘之机。
不过,泄密事件既已发生,恐慌是徒劳的,用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。
一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。另一方面,网站要加大信息安全方面的投入,进行大规模的安全检查,再也不要发生“明文保存密码”这样的低级错误了。
在监管方面,国家在网络安全方面的立法相对还较为滞后,对于个人隐私保护和泄密的法律有待完善,监管部门的技术落伍,难以对黑客这种盗取网站数据的行为进行威慑,因此迫切需要加快信息安全等方面的立法工作,提高信息安全监管部门的技术能力,加大对于黑客攻击行为的打击力度。
编辑:成韵 chengyunpipi@126.com
沪上生活
这两天听到:木工月薪8000元,按摩师傅月薪7000元,住家保姆月薪5000元,一汽普通工人发相当于27个月月薪年薪。而大学毕业生出来月薪1500元,名校毕业五年案头工作者月薪3000元,博士找不到工作。海归有工作经验要求月薪5000元被拒。这真是知识改变命运啊!
郭德纲
依川傍岭小河沟,小庙在山头。问菩萨因何倒座,叹众生不肯回头。昨日花开今日谢,百年人有万年愁。入山不怕伤身虎,猛兽怎如人有谋。知事少时烦恼少,窥破机关早白头。听这边鸡吵鹅斗,看那厢窃玺偷钩。我不敢高台教化,也并非无病哀愁。有感砌文字,任君笑我无羞。既无回天手,也只得纸扇长衫卖风流。
正和岛标准
问:如何让猪上树?方案一:给猪美好的愿景,告诉他你就是猴子,简称画饼;方案二:把树砍倒,让猪趴在树上合影留念,简称山寨;方案三:告诉他如果上不去,晚上摆全猪宴,简称绩效。通常老板会选择第一种,员工选择第二种,而经理人会选择第三种。
作业本
旧的一年结束了,新的一年也不怎么让人盼望。从微博上看,每一天都像是最后一天。没有微博的过去,我活在自己的世界里,不关心地沟油,感觉火车非常安全,有灾难捐钱给红十字会,不知道牛奶会致癌,觉得这个国家还不错。然而,微博让我分裂了、急躁了、愤怒了、痛苦了……我多么羡慕你,以前不上微博的你……
团800
今天一位美国同学问我在中国是不是人人习武,我说当然啊,他不信,我就给他看了个视频,他佩服得五体投地,说中国人果然是自幼习武。在他满怀崇敬的走开以后,我关掉了这个叫做“全国中小学生第八套广播体操”的视频。
搞笑排行榜
早晨起来看微博,确实很容易让人产生一种皇帝批阅奏章,君临天下的幻觉。国家大事潮水般涌来,需要迅速作出各种判断,提出各种建议,各种转发,各种忧国忧民,各种踌躇满志,万物皆备于我。每个人心中都藏着一个披星戴月上朝堂的皇帝,微博把人的这种情结激活了……
编辑:董晓菊 dxj502@163.com
2011年以来,国内大部分知名网站因密码泄露事件而忙得焦头烂额,我们的信息正在变得越来越透明,方便的同时也隐患重重,海量的用户信息被泄露,谁来为我们的隐私泄露买单?
电子商务网站的信息安全更揪人心
文/挨踢客
最近,身边的人都特别忙,不是在忙年底的活,都在忙着改各种密码。CSDN泄露门就像一个原子弹,爆发之后却在不断地裂变。就像一个朋友开玩笑说,CSDN那些程序员发现自己被扒光之后,统统将手中捏着的数据库给放出来了。这当然只是一个玩笑,但却也是一个现实。
其实,大众网站的泄密还不算很严重,至少没有什么机密可言。但是,若电商网站的数据泄露,那可真成大灾难了。据wooyun近日发布的报告,京东商城存在一个漏洞,可能导致用户信息泄露,包括姓名、电话、住址、邮箱等。如果这些信息被刷下来,被一些别有用心的人利用,那京东商城的用户就只有坐等倒霉。而且,这样的事已经发生在另外一家B2C网站了。
据网友提供的线索,国内某知名电商1200万全字段的用户数据已经泄露,在P2P上传开了。通过网友提供的部分数据截图,验证了其中的用户邮箱,发现这些数据确实属于该网站。不过,到目前该网站尚未对外发布公告,也没有对用户做出安全提醒。时近年关,如果这些数据落入不法分子之手,通过数据中的姓名、电话、地址等方式诈骗,得手的几率会相对大很多。那么,最终倒霉的就是该网站的用户。所以,我也催促该网站尽快公告,以免让用户遭殃。
这样的事情不只发生在一家网站身上,很多电商的用户资料外泄已经不是秘密。但是,这些电商似乎并不在意,从来没见哪个电商主动公告,也没有见他们主动提醒用户。而从我对一些电商网站的了解,大多对安全没有什么大的投入,甚至很多人都忽视了安全。而用户却很信赖电商,把自己的所有资料都提交,包括作为敏感信息的地址和电话等。这些信息一旦外泄之后,就很容易被人利用。试问,如果骗子冒充该网站人员,所有信息都能够对号入座,用户会相信吗?如果换作是我的话,我肯定会相信,因为所有信息都相符。那样,我就会上当受骗了。
所以,相对于一些大众网站泄露的信息,电商网站的信息泄露才是最可怕的。电商网站收集了更全面更隐私的信息,这些信息泄露就会给整个社会带来大灾难。虽然这不是电商网站能够100%保证的,但只要泄露就有不可推卸的责任。因此,也希望电商网站能够妥善保管,能够加大投入对信息的安全保障,不要让用户提交信息之后裸泳在网络的海洋里。
网络安全意识淡薄,自我反省也很重要
文/美丽同伴
不久前,国内知名程序员网站CSDN的数据库遭到曝光和外泄,官方网站和微博已公开道歉,高达600多万个明文的注册邮箱账号和密码被公开,这成为了今年中国互联网一次重大网络安全事故。
CSDN官方在网站的公开道歉中指出,2009年4月之前,数据库都是以明文的形式进行保存,之后,对部分明文进行了加密处理,直到2010年8月才将所有的账号进行加密保存。作为国内知名的程序员网站,对用户的数据采取加密存储,这是每一个程序员都应该掌握的常识,这暂且不说,就算2009年前采用明文我们可以理解,但2009到2010年呢?既然有对部分账户进行加密存储,说明已经意识到这一个安全隐患,为什么不全部采用加密存储?不知道是CSDN管理层的疏忽还是相关工作人员忘记了处理这件事情。
事发之后,CSDN的应急处理和危机公关还算可以,首先关闭注册用户登录,重置所有相关用户密码,联系国内主要邮件服务商如QQ、163邮箱团队让他们通知相关用户修改密码,配合公安机关追查数据泄露源头和相关传播者,并在CSDN官方微博和官方网站针对此事做了公开道歉,CSDN总裁蒋涛也在其个人的微博中及时跟进此事,把最新的进展通过微博告诉大家,这一点,CSDN还是让我们感到欣慰的。
在官方网站的公开道歉书页面下部,发现有许多网友跟帖反应修改其他网站的密码改到手抽筋,其实这就是你的不对了,网络上的所有账号密码不能使用同一个,如果是这样,这安全隐患可就真的大了,要自己懂得分开记忆保存。
还有,好多人的密码设置过于简单,目前网上已经有人针对这批账号做出分析,有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。这密码真的过于简单,就算不被CSDN暴露,也会在其他网站被暴露、被利用。
标本兼治,关上“泄密门”
文/月光
今年注定是互联网安全领域重要的一年,网络安全这个原本技术领域的小众话题一下子跃入大众的视野, CSDN和天涯的泄密事件引发了大众对于泄露用户隐私事件的关注,而后各大网站的泄密数据库也纷纷在网络上传播,搞的业界鸡飞狗跳,用户忙着四处修改密码,网站忙着加强密保措施,而从这次泄密事件中也可以看出中国网络安全现状存忧。
当前,很多互联网企业,信息安全投入比例很低,对于网络安全没有足够的意识,只有少数大型网站以及网银支付网站采用较为安全的加密认证技术。
因为商业网站的安全意识淡薄,使得黑客窃取网站数据库(刷库)成为最近几年非常流行的攻击方式,黑客刷库的危害已经远远超过了盗号木马。此次的大规模泄密,就是因为黑客入侵了各个目标网站,刷库获取了网民的账号密码数据。
不过幸运的是,这次用户的个人隐私数据以及财务支付等信息并没有直接泄露。但是,由于许多网民为了方便,对于邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,一旦密码被泄露,很有可能导致网上支付等其他重要账号一并失窃,从而遭到更大程度的泄密以及财产损失。
为什么这么多大公司都采取明文保存密码?相关信息安全法律不健全是一个重要原因,对那些因为“泄密门”而遭受损失的网民来说,很难去追究互联网公司。个人权益无法得到保证,也没有明确的用户赔偿机制。所以,那些互联网企业也不愿意花费大量资金投入网络安全领域,从而给黑客留下了可乘之机。
不过,泄密事件既已发生,恐慌是徒劳的,用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。
一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。另一方面,网站要加大信息安全方面的投入,进行大规模的安全检查,再也不要发生“明文保存密码”这样的低级错误了。
在监管方面,国家在网络安全方面的立法相对还较为滞后,对于个人隐私保护和泄密的法律有待完善,监管部门的技术落伍,难以对黑客这种盗取网站数据的行为进行威慑,因此迫切需要加快信息安全等方面的立法工作,提高信息安全监管部门的技术能力,加大对于黑客攻击行为的打击力度。
编辑:成韵 chengyunpipi@126.com
沪上生活
这两天听到:木工月薪8000元,按摩师傅月薪7000元,住家保姆月薪5000元,一汽普通工人发相当于27个月月薪年薪。而大学毕业生出来月薪1500元,名校毕业五年案头工作者月薪3000元,博士找不到工作。海归有工作经验要求月薪5000元被拒。这真是知识改变命运啊!
郭德纲
依川傍岭小河沟,小庙在山头。问菩萨因何倒座,叹众生不肯回头。昨日花开今日谢,百年人有万年愁。入山不怕伤身虎,猛兽怎如人有谋。知事少时烦恼少,窥破机关早白头。听这边鸡吵鹅斗,看那厢窃玺偷钩。我不敢高台教化,也并非无病哀愁。有感砌文字,任君笑我无羞。既无回天手,也只得纸扇长衫卖风流。
正和岛标准
问:如何让猪上树?方案一:给猪美好的愿景,告诉他你就是猴子,简称画饼;方案二:把树砍倒,让猪趴在树上合影留念,简称山寨;方案三:告诉他如果上不去,晚上摆全猪宴,简称绩效。通常老板会选择第一种,员工选择第二种,而经理人会选择第三种。
作业本
旧的一年结束了,新的一年也不怎么让人盼望。从微博上看,每一天都像是最后一天。没有微博的过去,我活在自己的世界里,不关心地沟油,感觉火车非常安全,有灾难捐钱给红十字会,不知道牛奶会致癌,觉得这个国家还不错。然而,微博让我分裂了、急躁了、愤怒了、痛苦了……我多么羡慕你,以前不上微博的你……
团800
今天一位美国同学问我在中国是不是人人习武,我说当然啊,他不信,我就给他看了个视频,他佩服得五体投地,说中国人果然是自幼习武。在他满怀崇敬的走开以后,我关掉了这个叫做“全国中小学生第八套广播体操”的视频。
搞笑排行榜
早晨起来看微博,确实很容易让人产生一种皇帝批阅奏章,君临天下的幻觉。国家大事潮水般涌来,需要迅速作出各种判断,提出各种建议,各种转发,各种忧国忧民,各种踌躇满志,万物皆备于我。每个人心中都藏着一个披星戴月上朝堂的皇帝,微博把人的这种情结激活了……
编辑:董晓菊 dxj502@163.com