2011年的岁末,一场不断升级的密码泄露事件,让2011年的互联网“永不寂寞”。从12月21日到12月29日,短短几天,绝大部分知名网站全部沦陷,无一幸免。CSDN、多玩、178游戏、17173、天涯、当当、京东、卓越……
这是黑客引起的、网站领导的网民更改密码“运动”,让全体网民又有了一次自嘲式的狂欢。
用户信息在互联网上快速传递,好事者更是更改了他人的用户密码,让一些人永远无法再取回自己的账号,有的老网民甚至被抹去了互联网的最初记忆。
这一次,互联网企业的安全短板暴露无遗。互联网公司中有3人来专职负责网站安全的规模都是一种奢侈,5人以上算是豪华配制,10人的安全团队只有3家。
一份来自知名券商的报告显示,目前,国内互联网公司的安全支出仅占IT支出的1%,而目前,欧美国家的安全支出占到整个IT支出的8%~10%。
面对大规模的用户信息泄露,企业责无旁贷。但“脆弱”的它们根本无法抵抗“黑客”来袭,甚至是无意识的“缴械投降”。
问责,问责。在这样的风口浪尖,它们几乎都选择沉默,无一企业坦承自己的安全支出明细。内部,各大互联网公司开始了“自查、自究”风暴,希望能够在2012年来临时,获得那张通往安全的船票。
集体沦陷
本次黑客公布了约有1亿个用户账号及密码相关信息
2011年12月21日,金山毒霸产品经理韩正奇在一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。同时,他把QQ群内要用迅雷专用工具下载的链接,转换成迅雷快传的下载链接,发到一个朋友圈内的QQ群。
仅仅几分钟,韩正奇传的文件就在专业安全网站“乌云”(wooyun.org)上出现了截图。迅雷不及掩耳,一份包含了600万用户信息的CSDN用户库在互联网上迅速流传。
无论是黑客之间出于“互相炫耀”的心理,还是传说某个商业组织的背后推动,许多原本被装在“安全盒子”里、处于隐秘地方的用户数据库一一被暴晒在阳光下。
2011年12月23日,多玩、梦幻西游通过木马泄露。此后,7K7K、178游戏、人人、猫扑、世纪佳缘等等,全国各大知名网站几乎全部沦陷。
2011年12月25日,天涯被爆其4000万用户数据泄露,这占到其总体6000万用户的60%。
同月26日,当当、京东、凡客等一线电商被推上了风口浪尖。它们爆出用户信息泄露,这其中包括真实姓名、电话号码和收货地址。
同月29日,中国工商银行、交通银行、民生银行被爆出客户信息泄露。就连,通往全球的广东省出入境也有444万用户信息疑被泄露。
“每个互联网公司的用户和密码都有泄露,只是规模大小。”采访中,一位在安全行业多年的工程师告诉记者,大网站、大公司在安全这件事上也不可信。
在密码门事件期间,中国黑客教父goodwell接受媒体采访时称,本次黑客公布了约有1亿个用户账号及密码相关信息,预计“地下黑客”已经掌握了更多的互联网用户账号信息。
在使用“密码泄露查询工具”后,不少网民在微博上坦露心声,自己不止一家网站的用户名与密码泄露。出于方便易记,许多网民将用户名与密码统一起来,或者互相关联。有的使用邮箱进行互相关联。
一位不愿意透露名字的CSDN用户更是苦不堪言,她的CSDN账户信息被泄露,通过一连串关联,搜狐、Gmai、网易、雅虎等邮箱全部无法登录。这些邮箱是她登录论坛、SNS、支付宝,以及各种购物网站的方式,“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联,她无法通过密码取回的方式来取回这些邮箱。于是,“一门攻破,全城皆失”。
危险,并不止于此。智能手机闯入生活,手机开始逐步成为大众互联网生活的主要载体。 “手机上的信息泄露将会更严重,除了泄露用户名和密码,还可以泄露位置。”云计算安全厂商星云融创CEO马杰告诉记者。
目前,PC上的操作系统比较集中(win90%、MAC接近10%、linux是0.1%)。由于操作系统的“独霸天下”,杀毒软件也会比较完善。但是,手机操作系统种类较多,各种APP应用纷繁杂陈。由于安全软件的不完善,许多黑客就盯上了这一有利时机。
“目前,手机上的安全问题并没有全面爆发,但是一旦上网资费大幅下降,手机用户可以‘随时在线’,那么手机黑客产业链也会迅速成熟。”马杰告诉记者,现在智能手机的CPU统一到ARM架构上,芯片有高通、联发科等厂商,操作系统是iOS、Andriod、Windows,它们都在快速融合,这给黑客节省了“逐个攻破”的成本。
“手机扣费、扣流量都是SP时代玩的花样,智能手机还会带来更多的‘黑客’玩法,如查询用户常去的区域、GPS跟踪、手机购物等等。”星云融创营销总监孙大伟告诉记者。
“我们会生活在一个透明、没有隐私的世界里。”就像电影《楚门的世界》里那样,我们都生活在他人的“监视”之下,只要别人有这样的想法。