近日,陳永東接受了《中國青年報》記者的采訪,討論了最近國內互聯網大量用戶賬號密碼泄漏問題。以下為該報記者來揚采訪了陳永東等人之后撰寫的文章:
2012年尚未到來,密碼危機卻提前上演。近日,國內多家網站遭遇史上最大“泄密”事件:先是中國最大的開發者技術社區CSDN的600萬用戶數據庫被泄露,繼而包括天涯社區在內的多家國內知名網站被傳密碼外泄——范圍涉及社交、游戲、婚戀、電子商務等領域,網絡新秀微博也未能幸免。
別查了,還是趕緊改密碼吧
盡管一些網站否認了這一說法,但CSDN和天涯都已在各自的首頁上刊登了致歉信和建議用戶修改密碼的提醒。
12月21日晚,CSDN發布公告,就部分用戶數據泄露事件向用戶表示歉意,提醒用戶修改相關密碼,“如果您在其他網站也使用同一密碼,請一定同時修改相關網站的密碼”。兩天后,CSDN給出了關于賬號信息修改的詳細說明。
天涯社區也從12月26日起在首頁置頂了相關告示,坦承其也是遭受黑客攻擊并導致部分用戶數據庫外泄的受害網站之一。在致歉并提醒用戶重置密碼的同時,天涯社區還表示,“已向公安機關報案,公安機關也正在調查相關線索”。
一時間,借助第三方查詢工具查看自己的賬號是否被外泄成了不少用戶的直接反應——這在一定程度上推動了一些外泄密碼查詢網站在短時間內流量暴漲,有的提供查詢的網站甚至需要反復提交多次請求后,才能返回結果;也有查詢網站以調侃的語氣勸告用戶:別查了,還是趕緊改密碼吧。
在一些用戶忙著修改密碼的同時,有網友從被泄露的密碼中找樂子。一條名為“CSDN杯我最喜歡的密碼大決選”的微博列出了此次遭遇泄露的密碼中的冠亞軍:亞軍:hanshansi.location()!∈[gusucity]——姑蘇城外寒山寺;冠軍:hold?fish:palm——魚和熊掌不可兼得。
另一個類似評選的“總冠軍”頗具特色:ppnn13%dkstFeb.1st——翻譯之后就是:“娉娉裊裊十三余,豆蔻梢頭二月初”,出自唐代詩人杜牧的《贈別》一詩。
在IT從業者阿杰看來,設計再復雜、再有內涵的密碼,如果網站沒有相應的保密措施,在黑客眼里盡可一覽無余,也就談不上保密了。
“發生密碼泄露事件后,可能用戶自己還覺得很安全;但在別人眼里,你的一些個人信息已經在‘裸奔’了。”中國傳媒大學政法學院教授王四新說。
密碼危機 誰是受害者
在王四新看來,在最近發生的密碼危機中,個人信息被泄露的用戶是最直接的受害者;而“網站的生存是要靠用戶的。如果用戶的個人信息得不到有效的保護,可能會導致用戶流失,他們可能不再相信、不再登錄你的網站。”王四新說,“因此,一些互聯網服務提供商也是密碼危機的受害者。”
“互聯網是一個橋接各種社會資源的平臺,用戶在網上建構自己的身份,結交私密的朋友,購買自己喜歡的商品和服務。”王四新分析說,隨著互聯網技術發展和應用的普及,以互聯網為終端的各種產業紛紛興旺發達。但互聯網相關產業的繁榮是建立在安全和信任的基礎上的,“泄密可能會導致網絡銀行賬戶內的財產受損,個人信箱或頁面上的私密信息被外人查看。如果用戶有這種擔心,就會對互聯網上的信息存儲、交友、交易等活動產生不信任感。進而影響到互聯網產業的發展。”王四新說。
上海戲劇學院信息中心技術主管陳永東副教授撰文分析了在此次密碼危機中可能受影響的三大群體:用戶是最主要的擔驚受怕者,辛苦支撐著網站的站長們會面對巨大的壓力,此外,制造危機的黑客會因為“不符合黑客精神”而受到質疑。“不將你已破解的賬號分享于你的朋友”是一條黑客守則,“此次大面積密碼泄露至少說明泄露者沒有遵守這一守則。”陳永東在文章中寫道。
陳永東認為,用戶個人信息泄露的損失應該直接追究的是網站的責任。原則上網站利益也受到了損失,應歸咎于攻擊網站并竊取信息甚至獲得非法利益的人(如黑客)。他說,“但是,網站也存在管理不嚴密的情況,國內對于不同級別的網站通常有不同級別的安全防范措施要求,如果達不到這些要求,這些網站的主辦方也負有相應的責任。”
目前,CSDN和天涯社區都已開始針對用戶個人信息泄露及可能產生的連鎖反應,而采取相應的補救措施。
12月26日上午,有用戶在微博上向CSDN創始人蔣濤反映:“近幾天垃圾郵件明顯成倍增加。”
12月27日,CSDN邀請了多位安全界的專家研討對密碼危機的應對。當天中午,蔣濤發表微博稱,對系統安全和數據安全的忽視是這次密碼危機的主要原因。當天23時37分,他又發微博提醒用戶,釣魚網站、垃圾郵件“都活躍起來了”。
28日9時許,蔣濤再發微博,列舉了CSDN在第一時間做的6項補救措施:聯系下載源禁止下載,公開道歉,重置密碼通知相關用戶,聯系郵件服務商發送郵件通知,向公安機關報警并協助調查,聯系安全公司對CSDN全站系統進行審計、查補漏洞。
“關于事件的進展和用戶補償,限于還在調查中不便透露,以后我們會公開。”蔣濤說。
專家呼吁完善個人信息保護立法
針對此次密碼危機可能給用戶帶來的風險,一些安全軟件企業也開展了應對。
卡巴斯基安全專家分析此次密碼泄露事件的原因時稱,一方面,由于某些網站采用了明文密碼保存方式,被黑客輕易破解,導致用戶資料泄露;另一方面與網友平時的密碼使用習慣有關。網友經常是一組賬號密碼通用在各大網站注冊,一個賬號泄露則與之相關聯的多個網站賬號密碼也同時泄密,從而導致此次密碼泄露事件的進一步擴大。
在給用戶的提醒公告中,CSDN和天涯社區都建議用戶同時修改也在其他網站上使用的同一密碼。
卡巴斯基安全專家在給網友的建議中指出,從技術上提升密碼管理級別,并盡量養成良好的密碼使用習慣。對網絡應用比較多的網友,最好使用含有密碼管理器功能的安全軟件,對自己的賬號密碼實行“分級管理”,在不同的網站使用不同的賬號及郵箱,確保對密碼的安全使用。
在陳永東看來,除了用戶增強密碼保護意識,網站加強安全防范,黑客要守住底線“黑亦有道”之外,完善對個人信息保護的相關立法也是今后避免類似密碼危機的解決之道。
“目前有關互聯網個人信息保護的相關法規確實并不健全,相關的責任界定也不是很清楚。”他說。
王四新告訴記者,目前,對于個人信息的立法保護,我國只有2009年通過的《刑法修正案(七)》將非法提供和非法獲取公民個人信息納入刑事制裁范疇,“但僅有刑法來規制是不夠的”。2009年2月28日,第十一屆全國人民代表大會常務委員會第七次會議通過《刑法修正案(七)》。該修正案新增了兩項關于侵害個人信息犯罪的罪名:出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。但在司法實踐中,相關條款的適用非常罕見。
在王四新看來,近年來我國發生的個人信息泄露的案例并不少見,這與社會缺乏對個人隱私權文化的認可有關。“在美國、歐洲等很多國家,對隱私、個人數據的保護都有專門的立法。”王四新說,“我國需要完善對個人信息保護的立法,增強公眾保護隱私和個人信息的意識。”
中國社會科學院法學研究所研究員周漢華在接受媒體采訪時也表示,如果靠民事執法來保護個人信息安全,成本非常高,且取證困難,如果用刑事執法,雖然《刑法修正案(七)》將非法提供和非法獲取公民個人信息納入刑事制裁范疇,“但刑事制裁還是一個事后手段,并且各地的進展不平衡。”他還表示,我國目前對于個人信息保護的立法進程,在某種程度上處于停擺的狀態。周漢華和他的課題組在6年前便起草了《中華人民共和國個人信息保護法(專家建議稿)》,但相關立法進展并無下文。
京公網安備 11010502049343號