惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
Cisco Blogs
Cyberwarzone
Cyberwarzone
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
SecWiki News
SecWiki News
Martin Fowler
Martin Fowler
T
Tor Project blog
N
Netflix TechBlog - Medium
C
Cybersecurity and Infrastructure Security Agency CISA
V
Vulnerabilities – Threatpost
V
Visual Studio Blog
GbyAI
GbyAI
PCI Perspectives
PCI Perspectives
D
DataBreaches.Net
Jina AI
Jina AI
H
Heimdal Security Blog
云风的 BLOG
云风的 BLOG
P
Privacy International News Feed
A
About on SuperTechFans
J
Java Code Geeks
美团技术团队
H
Hackread – Cybersecurity News, Data Breaches, AI and More
N
News | PayPal Newsroom
有赞技术团队
有赞技术团队
MyScale Blog
MyScale Blog
博客园 - 司徒正美
C
Check Point Blog
T
Threat Research - Cisco Blogs
Attack and Defense Labs
Attack and Defense Labs
宝玉的分享
宝玉的分享
AI
AI
Simon Willison's Weblog
Simon Willison's Weblog
C
Cyber Attacks, Cyber Crime and Cyber Security
I
Intezer
P
Proofpoint News Feed
Blog — PlanetScale
Blog — PlanetScale
Apple Machine Learning Research
Apple Machine Learning Research
Hugging Face - Blog
Hugging Face - Blog
The Last Watchdog
The Last Watchdog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Vercel News
Vercel News
I
InfoQ
阮一峰的网络日志
阮一峰的网络日志
Cisco Talos Blog
Cisco Talos Blog
W
WeLiveSecurity
Hacker News: Ask HN
Hacker News: Ask HN
Recent Commits to openclaw:main
Recent Commits to openclaw:main
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
D
Docker
博客园 - Franky
Security Archives - TechRepublic
Security Archives - TechRepublic

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
标本兼治方能关上“泄密门”
月光 · 2011-12-28 · via 月光博客

日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,知名中文社区天涯网的4000万用户的登录名及密码也被公开泄露,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。(12月25日《新华网》)

今年注定是互联网安全领域重要的一年,网络安全这个原本技术领域的小众话题一下子跃入大众的视野,天涯CSDN的泄密事件引发了大众对于泄露用户隐私事件的关注,而后各大网站的泄密数据库也纷纷在网络上传播,搞的业界鸡飞狗跳,用户忙着四处修改密码,网站忙着加强密保措施,而从这次泄密事件中也可以看出中国网络安全现状存忧。

个人密码安全策略

泄密规模巨大

此次事件是中国互联网至今为止最大规模的一次用户资料泄露事件,泄密用户数量高达五千万,除此之外,预计还有许多已被盗取但尚未被公开传播的泄密用户信息。

今年以来,在全球范围内发生过多起泄密事件,今年4月索尼游戏主机网络平台遭黑客入侵,全球7700万用户的个人资料被窃取,包含姓名、住址、生日、登录名和密码、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,索尼5月份表示,攻击导致其损失了1.7亿美元。

而已经实行网络实名制的韩国也发生过类似泄露事件,今年7月底,韩国多个知名门户网站遭黑客攻击,约3500万名用户的个人信息外泄,之后,韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。

泄密的主要原因

这次“泄密门”,是我国信息安全形势堪忧的一次集中写照。很多互联网企业,信息安全投入比例很低,对于网络安全没有足够的意识,只有少数大型网站以及网银支付网站采用较为安全的加密认证技术,而一些中小型网站以及部分大型网站都缺少防范意识。

对用户密码进行加密存储,应该是商业网站的运营常识,像天涯和CSDN这样业界出名的大网站,竟然长期以明文方式保存用户密码,可见这些商业网站的安全意识是多么的淡薄,如果当初这些网站采用加密的方式保存密码,那么黑客也不可能如此轻而易举地获取到如此庞大的用户信息。

因为商业网站的安全意识淡薄,使得黑客窃取网站数据库(刷库)成为最近几年非常流行的攻击方式,黑客刷库的危害已经远远超过了盗号木马。此次的大规模泄密,就是因为黑客入侵了各个目标网站,刷库获取了网民的账号密码数据。

不过幸运的是,这次用户的个人隐私数据以及财务支付等信息并没有直接泄露。但是,由于许多网民为了方便,对于邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,一旦密码被泄露,很有可能导致网上支付等其他重要账号一并失窃,从而遭到更大程度的泄密以及财产损失。

泄密的法律探讨

为什么这么多大公司都采取明文保存密码?相关信息安全法律不健全是一个重要原因,对那些因为“泄密门”而遭受损失的网民来说,很难去追究互联网公司,这种状况,与一些国外企业相比,具有相当大的差距。

例如早先的索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交的个人信息难以得到有效的保护,发生泄密事件后,个人权益无法得到保证,也没有明确的用户赔偿机制。所以,那些互联网企业也不愿意花费大量资金投入网络安全领域,从而给黑客留下了可乘之机。

泄密的影响和危害

这次事件中,天涯和CSDN等网站其实也是一个受害者,由于其疏于网站安全管理,缺乏安全意识,这次也尝到了恶果,其声誉遭到严重打击,网站的权威性会受到质疑,网站形象受到负面影响,在网民中的口碑下降。

各大网站通过这次泄密门,已经充分感受到了网络安全和数据安全的重要性,因此将会投入不少精力到网站安全上,不过由于安全领域的专业性,将网站安全外包给专业的安全公司可能会是一个成本较低的选择,这也会给专门做网络安全的公司带来不少机会。

用户通过这次泄密事件,会更加重视对自己个人信息保护,在互联网上注册信息时尽量不要留下过多个人真实信息,而对于目前正在推行的微博实名制,在目前愈演愈烈的泄密门影响下,众多网友都开始担心自己的真实身份资料可能会面临同样泄露的可能,而天涯这样的大型社区也出现泄密情况,这说明网友们的担忧并非空穴来风。即便微博实名制开始实施,也存在盗用他人的身份证号码进行注册的可能,可见目前中国实行实名制时机并不太成熟。

亡羊补牢、为时未晚

既然泄密事件已经发生,恐慌是没用的,用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。

一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

另一方面,网站要加大信息安全方面的投入,进行大规模的安全检查,切实保护好网友的个人信息,再也不要发生“明文保存密码”这样的低级错误。

在监管方面,国家在网络安全方面的立法相对还较为滞后,对于个人隐私保护和泄密的法律有待完善,监管部门的技术落伍,难以对黑客这种盗取网站数据的行为进行威慑,因此迫切需要加快信息安全等方面的立法工作,提高信息安全监管部门的技术能力,加大对于黑客攻击行为的打击力度。对于那些疏于安全保护的商业网站,如果今后再次发生用户信息泄密事件,应该通过完善相关法律,追究网站的渎职之责。

作者:月光博客 龙威廉,首发于 东方早报 2011-12-28

标本兼治方能关上“泄密门”