欢迎光临
我们一直在努力

网易中枪、雅虎跌价、阿里领先,解密马蓉事件背后的网络安全问题

摘要2016年8月,王宝强和马蓉的离婚事件闹得沸沸扬扬,王宝强经纪人宋喆与马蓉的开房照片也在网上流传开来。那么你知道这些照片和网易数据泄露之间的关系吗?是谁在窃取个人信息数据?除了网易还有哪些公司存在网络安全风险?
网易中枪、雅虎跌价、阿里领先,解密马蓉事件背后的网络安全问题

2016年8月14日,王宝强与马蓉宣布离婚,而紧接着第二天,网上就流出了马蓉与王宝强经纪人宋喆的开房艳照。事实上不只是艳照,宋喆的履历、住址、常去的酒店、开房记录、甚至曾经在豆瓣上用小号发的约炮活动等等,统统被网友扒了个干净。这难道就是黑客的力量?资深网络安全工作者程维(化名)认为,其实并不是。

现如今我们在注册很多网站,都需要进行邮箱验证,而电子邮箱出于安全性考虑又会绑定手机号码等内容,因此当邮箱账号密码泄露时,用户与这个电子邮箱关联的很多信息都将暴露在外。这次宋喆的个人信息之所以暴露的如此彻底,归根结底是由于他的常用邮箱是一个网易邮箱。

网易在2015年10月被曝光发生大规模数据泄露事件,主要内容就是网易邮箱的账号密码,泄露数据量超过5亿条。虽然网易早已修复了相关漏洞,但想想宋喆的经历,仍然在使用网易邮箱的用户有没有背后一凉?

不只是网易,90%的网站都曾经发生过数据泄露

用户每天登陆网站的账号密码、注册时使用的手机号和个人信息、APP和软件中关联的电话簿等等,这些用户数据都保存在网站的数据库当中。有的互联网公司会租用大型服务器,例如阿里云、华为云等,来作为自己的数据库,也有的公司会自己建立服务器。但无论哪种方式,都没有绝对安全的说法。

程维说:“几乎所有的网站都存在漏洞,区别只是这个漏洞有没有被发现。”360旗下补天漏洞响应平台在2015年初发布的中国区用户数据泄露统计表,不完全统计了2011至2014年发生用户数据泄露的网站和数据量。但就是这一份“不完全统计“中,发生数据泄露的网站接近200家,泄露的信息数据超过7亿条,覆盖了电商、保险、游戏、出行、住宿、交友、招聘、在线医疗咨询等等各个行业,内容包括姓名、证件号码、网站账号密码、IP地址、简历、航班及乘车信息、酒店开房信息、邮箱、快递编号、住址等各个方面。

而相比于企业的网站,一些政府部门的网站保护更薄弱,流出的信息却更危险。程维告诉笔者,除了国家重点部门的技术人员比较重视以外,像教育、医疗、社会保障这样的民生部门实际上都存在比较大的安全漏洞监管问题。这部分流出信息,大部分都被用于电信诈骗,社会影响很大。

窃取数据需要的技术不复杂,从业人群大部分是大学生

网站数据泄露只有较少一部分是由于定向攻击,大部分都是由于网站安全防护上存在漏洞。一旦有些漏洞在修复之前被黑客发现,他们就会利用漏洞对数据库中的信息进行拷贝,行业内管这种行为叫“拖库”。

程维表示,像他们这样有本职工作,在正规公司上班的人,是不会做这样的事情的。一方面是风险太大,一旦被公安机关调查出来就要面临牢狱之灾;另一方面,只是出卖数据并没有太高的收益,程维透露,现在普通的数据,像电话号码这种价格都很便宜,5块钱就能买到1000条以上。

恰恰是那些技术一般,没法进入正轨公司的人,才是数据泄露的罪魁祸首。事实上绝大多数“拖库“的事情,都是在校大学生甚至未成年人做的。大学生的法律意识比较薄弱,经济状况不好,也就有不少人在数据库上面动了“歪心思”。

而很多公司,甚至政府机构并不重视网络信息安全的工作,漏洞发现不及时、处理速度慢,因而给了黑客可乘之机。存在这种情况的网站,很容易发生数据泄露。对多少有些这方面技术的大学生而言,数据偷起来很容易,没什么技术含量。

不重视网络安全的主要原因,追究数据泄露事件的取证难度大

目前,国家已经制定了相关的法律法规来规范网络信息安全问责制度,但这些法律条款实际执行起来有难度,最大的障碍在于取证。

一方面,网站数据丢了,并不会去追回和调查。首先,网站一般并不知道是否被偷过数据。因为仅仅是拷贝数据是不太可能在网站服务器内留下痕迹的,而对于一些监管松懈的网站来说,并不能第一时间发现漏洞,时间一长,更难追查。其二,哪怕公司得知了数据泄露,也不会公开这一消息。毕竟承担泄露数据的舆论压力,与可以挽回的损失相比要重太多。

另一方面,受害者很难追究网站发生数据泄露的责任。虽然在2015年11月1日,刑法第286条刚刚增加新的条款,对于泄露用户数据造成恶劣影响,且没有及时补救的企业,将被追求刑事责任。但是这条法律却难以真正执行。主要原因是受害者很难拿出直接证据,来证明数据就是该公司泄露的。没有了证据,追究责任就无从谈起。除非是外界舆论压力太大,纸包不住火了,公司才有可能出面承担责任。

然而数据泄露对公司造成危害是必然的

目前对于企业而言,国家的企业信用评价体系建立的不完善,类似现象没有办法实现“现世报”。然而一旦曝光,对企业造成各方面的伤害是必然的。一方面对于普通用户,容易对涉事公司产生不信任感,用户获取和新业务的开展就会碰壁。世纪佳缘就是一个例子,自从它去年4月被曝光存在大规模数据泄露现象后,网上很难看到一句用户好评。

另一方面,企业如果被曝光有大规模数据泄露,基于安全信用考核标准的牌照,例如金融支付牌照的申请就难以被通过。

而数据泄露事件被曝光,现在能直观反映出对公司影响的数据就是股价。2016年9月23日,雅虎对外公布有超过5亿条数据泄露,当日雅虎股价直接下跌3.06%。业内人士认为,仅由于这次事件会选择抛弃雅虎的用户就超过5%,换算之后的人数大约在500至1000万人。

中小企业在网络安全保护上落后,想要改善还需要提高重视程度

程维透露,虽然大公司每次曝光出数据泄露事件,泄露的数据量都很大,影响很严重,但其实他们安全工作做得还是更好一些。主要原因在于,安全工作很大程度决定于人才。个人技术水平和团队积极性,在很大程度上决定了一个公司网络安全防护程度。中小型企业和一部分传统企业往往刚刚踏足互联网相关产业,大部分精力和资金的投入都还在产品的研发和运营上,尚未对网络安全提起重视,更谈不上组建优秀的网络安全团队。

想要保护用户的网络信息安全,归根结底还是需要公司本身重视。

重视网络信息安全,就要重视技术人才。以阿里巴巴为例,阿里在2002年开始引进网络安全人才,到目前已经有超过1000人的安全团队。程维透露,阿里安全部门和运维人员的待遇应该是行业内最高的,所以很少有人会跳槽,也不断有新的牛人进去。另外,成立规模合理的安全团队,多关注国内漏洞响应平台,也可以在一定程度上降低数据泄露发生的概率。程维告诉笔者,目前国内有数家漏洞相应平台,而他们背后还有一大批“白帽子”,这些人并不利用网站漏洞盈利,而是在发现漏洞后将信息挂在响应平台上,供涉事网站浏览和修补使用。一些中小企业和传统企业如果没有完善的网络安全防护机制,不妨多关注这方面的信息,也可以起到一定的作用。

作者精品文章推荐:

虚张声势还是孤注一掷,解读百度成立百度风投背后的故事

iPhone7发布,苹果在其AR棋局之上又落一子?

乐视你说收购就收购?亚马逊云服务营收一年就有100亿!

一天能卖100万台手机却负债197亿!贾跃亭的乐视生态圈还要搭多久?

一年投25家AI初创公司还不够,创新工场又要成立人工智能工程院?

赞(0)
未经允许不得转载:薪媒体_O2O新商业媒体资讯平台 » 网易中枪、雅虎跌价、阿里领先,解密马蓉事件背后的网络安全问题

评论 抢沙发

评论前必须登录!