19日,一則關于網易郵箱的用戶數據庫疑似遭泄露的消息在網上引起波瀾,涉及數據達數億條。
網絡信息安全問題一直以來備受關注,不時被曝的網絡信息安全事件如何讓人放心上網呢?雖然目前數據泄露事件結果尚不明朗,但已引發不少用戶對個人隱私安全的擔憂。網易郵箱用戶數據是否真的遭泄露?泄漏的信息數是否如網傳的達到“億級”?該拿什么保障用戶的互聯網信息安全?對此記者進行了采訪調查。
網易郵箱用戶數據是否真的遭泄露?
網友疑問近期,眾多網友遭遇網易郵箱賬號或其他相關賬號異常登錄或被盜,紛紛表示“中招很可怕”。網友“李偉民leon”說自己的網易郵箱賬號近期的登錄地記錄顯示為安徽、美國、菲律賓等多地,不少網民也有類似經歷,郵箱賬號幾乎“跑遍”全球各地。
網易回應從17日開始,有微博用戶發文稱,網易郵箱被暴力破解,網易隨后在官方微博上作出回應,稱此系“撞庫”所致,即黑客通過收集互聯網中已泄露的用戶和密碼信息,嘗試批量登錄其他網站,從而獲取用戶的相關信息,如手機號碼、身份證號碼、銀行卡號等。
19日下午,網站安全漏洞發現者烏云平臺用戶“路人甲”發布了《網易163/126郵箱過億數據泄密》,報告稱,泄露信息包括用戶名、密碼、密碼保護信息、登陸IP以及用戶生日等多個原始信息,影響數量總共近5億條。
烏云平臺還針對此前網易郵箱的公開聲明提出質疑,稱泄露信息還包括“用戶密碼提示問題及答案,而這個數據應該是"撞庫"無法獲取的”。
網易免費郵箱官方微博于19日發出再次回應,稱網易郵箱不存在自身數據泄露問題。
網易是否泄漏用戶信息?網易相關負責人接受記者采訪時稱,不存在自身數據泄露問題,烏云平臺報告的賬號中有極小比例正確的賬號與安全度低的網站撞庫。
記者注意到,盡管網易郵箱發表公開聲明,但微博、貼吧上仍有不少網民曝出賬號被盜、登錄記錄被改等事實,不少網民仍對自身信息泄露表示擔憂。
權威機構國家互聯網應急中心20日通報證實。確有網易郵箱數據遭泄露,泄露的數據中包括一個郵箱賬號、郵箱密碼的MD5、密保問題以及密保答案的MD5。
中國電子信息產業發展研究院副院長樊會文分析認為,由于現在很多互聯網服務商采用云計算模式,大量數據和信息存儲在“租用”或公用的服務器中,數據泄密涉及的鏈條長,查找較為困難。也存在黑客非法進入系統竊取數據的可能性,目前具體原因還不能肯定,需要首先查證數據泄露的渠道。
泄漏信息數是否達到“億級”?
網友疑問有網友擔心,“過億條的數據泄露,估計大多數人都無法幸免了,上網還有隱私可言嗎?”由于許多網友在不同平臺上設置賬號時共用一個賬號或直接綁定,郵箱數據被竊取的同時,還可能帶來手機被鎖、網上銀行資金被盜等一系列安全問題。
網易回應泄漏數據數量是否達到“億級”?網易有關負責人稱,網易郵箱已對烏云平臺“白帽子”遞交過來的疑似有問題的數據包進行了校驗。但烏云平臺并沒有提交此前聲稱的“過億”數據包,烏云平臺最終寄出的是100多個賬號,有60多個賬號是不存在的,還有50多個賬號是不能繼續登錄的,并非如烏云平臺之前所稱“數億”數據被泄露。
這位負責人說,造成信息泄露的原因可能是某些組織或個人在一些利益的誘導下,用“撞庫”或“拖庫”的方式攻擊數據庫,簡單來說就是采取密碼逐個套試的方式嘗試破譯賬號密碼,而用戶在注冊郵箱時所填寫的問題提示和密保答案會以加密的形式傳進數據庫,受攻擊被盜取的現象很難發生。
權威機構國家互聯網信息應急中心20日通報稱,泄露數據為100條,經證實,其中賬號與密碼匹配正確的20條。
對此,國內互聯網咨詢平臺艾媒咨詢集團CEO張毅認為,問題的關鍵不在于泄密數量多少,而在于泄密事件本身,網易需以客觀負責的態度對出現問題的數據進行分析比對給網民以交待。
網絡信息安全如何維護?
網友疑問岌岌可危的網絡信息安全,令網友擔憂。網友“曼筱幽”稱自己的蘋果手機ID被盜,導致手機通訊錄全部丟失,嚴重影響了自己的正常生活,以及對網絡安全的信任。那么,如何嚴加防護網絡安全,創造安全、放心的網絡環境?
專家建議張毅認為,對于海量網絡數據保護,不僅僅是企業自身本著為用戶負責的態度加強安全防范體系建設,相關法律法規也應建立起更為嚴格的保護制度,對于竊取和傳播網絡加密數據的犯罪分子應該給予嚴懲。
“需在立法層面建立更加細化、嚴格的行業管理標準。”張毅說,地方和相關部門應根據網絡安全法制定符合各地實際的網絡安全等級法規,將網絡信息安全管理的相關條例精細化并予以落實。
此外,網絡安全監測預警信息的發布也是必要的。互聯網安全專業人士認為,有關部門需加強網絡安全信息收集、分析和通報工作,網絡監管部門不能等到網絡上一大片“疑似被泄”的信息發布之后才被動調查;同時也應加強監管部門與互聯網平臺數據管理之間的聯系,從“被動告知”的局面向“主動監管”的方向轉變。
企業本身也需對安全責任制度的“標配”有所設定。很多互聯網企業的用戶呈現“井噴”的發展態勢,然而企業卻在相應的管理人員配備方面沒有跟上發展節奏,導致信息監管出現漏洞等“非主觀”因素的失誤。
此外,用戶也應提高安全警惕,比如登錄密碼與交易支付賬號密碼不要相同,密碼設置應復雜一些,各種移動終端偶爾會有釣魚網站,收到一些莫名其妙短信和鏈接時,注意不要輕易點開,而對于一些非知名APP也要謹慎下載。