“為發燒而生”的小米發生用戶數據泄露,800萬用戶私密信息面臨威脅。盡管數據遭泄露已不是新鮮事,但此次涉及用戶短信、通訊錄等私密信息,部分涉事用戶頗為恐慌。公民個人信息泄露事件頻發,令人唏噓無奈。究竟該誰為用戶數據安全負責?
小米800萬用戶信息泄露 涉及短信、通訊錄等
13日晚間,有爆料稱小米論壇用戶數據庫疑似泄露,涉及用戶約800萬。經烏云漏洞報告平臺證實,小米數據庫已在網上公開傳播下載,與小米官方數據吻合。
在得知這一消息后,小米手機用戶孟卓立即下載上述數據庫進行比對。“不看不知道,一看嚇一跳!我以前刪除過的短信,竟然都在小米云里面。”
據安全專家分析,小米論壇官方數據庫泄露,涉及800萬使用小米手機、MIUI系統等小米產品的用戶。泄露數據帶有大量用戶資料,可被用來訪問小米云服務并獲取更多的私密信息。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除信息等。
360安全專家安揚說:“從網絡流傳的小米數據庫判斷,數據庫中的密碼數據使用了保護措施,黑客還原明文密碼的概率約為70%-80%,簡單密碼容易被破解。此外,疑似小米的泄露數據還帶有用戶資料,可能被不法分子利用進行詐騙。”
小米回應:部分數據確遭泄露 已棄用舊賬號體系
小米公司安全中心有關負責人回應新華社記者說,經查,確有部分2012年8月前注冊的論壇賬號信息被非法獲取,截至目前,尚未發現可見的流量異動以及投訴報告。
上述負責人表示,對于在2012年8月之前注冊小米論壇賬號,且之后未修改過密碼的用戶,小米公司將通過短信、郵件等方式提示其盡快修改密碼。
數據庫緣何泄露?小米公司安全中心解釋稱,在創業初期,小米論壇及依附論壇產生的賬號體系都使用了第三方開源程序,確實存在漏洞。基于安全考慮,2012年8月,小米棄用舊論壇賬號體系,將所有服務(包括小米云服務、米幣等)切換到全新的賬號安全體系,采用業界最新安全實踐方案,對所有存儲數據均進行了極嚴格的安全加密。
“小米將密切關注此次安全事件動態和用戶反饋,持續跟進并及時通報。”上述負責人說,小米公司將不遺余力地提升安全保障措施,包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務(米幣中心、小米云服務等)時,還會在手機端得到安全提示推送。
盡管此次事件中小米表態積極,部分用戶并不認可。“企業發生了數據泄露事件,其責任是無法逃避的。”孟卓說,早在此事被媒體曝光之前,就已經有用戶在懷疑小米數據信息泄露,但小米公司沒有就此提示用戶防范規避風險。
網企信息安全事件頻發 法律空白亟待填補
在此次小米公司數據庫泄露之前,互聯網用戶數據泄密的事件已經多次發生,比如攜程用戶數據泄露事件,導致用戶支付過程中的調試信息可被黑客讀取,大量用戶銀行卡信息泄露。此類事件的頻發,凸顯信息安全領域需要有更完善的法律支持和司法機關更有作為,比如當事企業的責任、司法機關的作為、事件的定性等。
中國計算機學會信息安全專業委員會主任嚴明說,對數據庫泄露事件,首先要明確運營商的責任。因為如果運營商要淡化處理,普通個人用戶隔著運營商這層關系,要提出證據難度太大了。所以,最為關鍵的是把當事企業的責任通過法規明確起來,使其努力追究攻擊者責任,維護網絡用戶的權利。
業內人士表示,在類似事件中,一些企業擔心自身名譽受損,對數據泄露抱著遮遮掩掩的態度,這種心態正是網絡攻擊者所期望的局面,也是攻擊者有恃無恐的原因之一。網企有意無意地和攻擊者站在了同一方,最受傷的是網民,隱私泄露、財產損失,是最為弱勢的一方。
嚴明說,當企業發現數據泄露后做了什么,是否第一時間發出警報并采取措施?這是很重要的問題,直接體現了當事公司是否盡到了相關責任。“企業報警沒有?能不能立案是公安的事,報沒報警是企業的事。報警本身就是對攻擊者的一種威懾。”
其次,對惡意攻擊者的責任追究也同樣重要。安全寶CEO馬杰說,在加大對企業壓力的同時,一定要打擊入侵者。否則,競爭對手都會雇黑客去攻擊對方數據庫。
安天實驗室首席架構師肖新光認為,我國司法機關在針對網絡信息安全方案的立法、執法都滯后于現實。公共安全領域,如果國家機器沒有承擔足夠責任,那么網絡企業承擔的壓力必然加大。
第三,專家建議此類信息安全事件不能適用“民不告、官不究”。嚴明認為,司法機關在處理這類問題時,最主要的問題是于法無據,取證、定損過程比較困難,難以查處。互聯網用戶數據泄密,由于涉及的人數眾多,已經成為涉及到公共安全性質的事件,不能按照“民不告、官不究”的民事糾紛來看待,執法部門應主動介入、積極調查并追責,而不是非要等到立案以后才處理。
京公網安備 11010502049343號