年前国内大规模用户资料泄密事件始末调查

雨篇：安全追问

频发的泄密危机正拷问着中国的互联网安全。2011年12月27日，中国计算机学会青年计算机科技论坛广州分会召开了“互联网用户资料泄露事件紧急会议”。16名与会专家一致认为，这次事件是迄今为止“中国互联网史上最大信息泄露事件”。

专家们呼吁，希望工信部门和公安部门牵头，成立专门的调查组，对本次事件进行调查，并公布调查结果。他们建议，针对用户资料和个人隐私，政府应尽快建立法律法规进行规范，以维护个人权益。

据《每日经济新闻》了解，早在2007年，公安部、国家保密局、国家密码管理、国务院信息工作办公室四部门就联合制定了 《信息安全等级保护管理办法》，但是，该标准只是在一些大型网站执行，中小网站并没有强制执行。

业内专家认为，频频爆发的数据库信息的外泄正一点一滴地瓦解现有互联网认证机制。目前的互联网认证是基于电子邮件的认证，电子邮件在各个企业和互联网公司都被用作标识用户身份，而经过近几年黑客多次的“洗礼”，目前国内互联网企业中含有较大用户基数的站点可能都已沦陷。

更令外界担忧的是，即使知道自己用户数据库被窃取，大多数企业基于自身利益还是会保持沉默，就在此前，有媒体报道称，从论坛、BBS到SNS、电商，各网站对安全的IT支出都很少。

据一家券商TMT研究部门的调研数据，目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%，对安全性要求比较高的金融行业为10%。而欧美互联网公司的安全支出占比普遍为8%~10%。

对于“囊中羞涩”的互联网安全投入，腾讯公司联席CTO熊明华对《每日经济新闻》记者表示，腾讯目前拥有两支独立的安全团队，一支负责腾讯内网的安全体系维护，另外一支则负责外网。

据记者了解，几年前，腾讯曾遭遇盗号团队的攻击，窃取用户密码用以牟利。而后腾讯与有关部门集中打击了犯罪分子，十多人因此获刑。

据滕明华透露，此后腾讯花了3年时间对密保系统部门从底层开始了彻底的重构。

WooYun认为，中国的互联网正经历高速发展阶段，安全与用户体验本身存在矛盾性，对于用户而言，复杂的密码固然比较安全，但却严重影响用户体验。

CSDN蒋涛指出，目前黑客最流行的盗号手段是盗号贼利用窃取的其他网站的密码数据库在各大网站尝试登录。

360网络安全专家石晓虹表示，不同黑客组织通过交易、共享等方式聚合不同网站的密码库，形成非常庞大的规模，然后将此黑客的密码库批发给专门从事“洗号”环节的不法分子。

据石晓虹透露，“洗号”分子一般会筛选有价值的注册邮箱，比如知名企业的工作邮箱，然后窃取邮箱中的重要商业资料，甚至进一步通过社会工程手段进行诈骗。

此外，黑客分子还利用密码库在网上支付平台自动批量发起交易，如果恰好用户泄露的注册邮箱和密码与网上支付账户的交易密码相同，支付账户中的余额就会被转移。

危害还不仅限于此。石晓虹指出，黑客经常利用密码库尝试登录QQ、MSN等聊天软件账号，向好友发送借钱诈骗消息，或者在微博等社交网站上尝试登录，由此产生出付费加粉丝、发布广告信息或钓鱼诈骗链接等多种获利途径。

此前，韩国也发生了前所未有的信息泄露事件，三大门户网站之一Nate和社交网站 “赛我网”遭黑客攻击，3500万用户信息外泄。

IT专家洪波认为，从2007年就开始实行网络实名制的韩国，在“密码危机”面前选择了回到原点——取消实名制。这或许给时下正在极力推行网络实名制的我国政府一个启示：目前实名制的好处不明显，风险却十分巨大，在目前互联网技术架构下安全难以保障的情况下，政府需要重新审视实名制。