【IT商业新闻网综合报道】(记者 艾米)CSDN、天涯社区等知名大论坛的用户密码大批外泄事件导致互联网界"草木皆兵"。 "泄密门"从一个网站的危机演变成互联网世界的一场风波,变成了2011年底网民最关心的话题之一,"你的密码改了吗"成为岁末网民间最流行的问候语。
分析称,黑客盗取CSDN、天涯、新浪等众多知名互联网的用户信息,是为了获得渔利。京探网CTO黄荣明透露,盗取用户信息的根本目的是为了倒卖信息赚钱,目前一条倒卖用户信息的完整灰色产业链已经形成。
并且,国外也有这样的案例,早在2011年4月,有人在PSX-Scene出售220万个来自索尼PSN平台的用户资料。除用户姓名、居住地址、邮编、国籍、电话号码、电子邮箱地址、密码、生日外,遭到泄露的资料还包括信用卡号码、CVV2码和失效日期。索尼也承认PSN平台遭到"黑客入侵"。
一方面是服务端难以弥补的漏洞,另一方面,引发账户入侵的则是激烈的市场竞争下,互联网应用开发者、各类企业对于用户的争夺战。据了解,目前,国内有众多专门从事入侵账户的黑客,专门兜售窃取的用户资料,其身后有两种买家:一种是模仿抄袭某网站时,请黑客入侵同类网站的数据库,将该库信息进行简单修改后,再导入自己的网站,开发成本骤降;另外一种,则是由于营销需求索取特定的某种个人资料,如邮箱、手机号码等,主要是电商在用。
安天实验室首席技术架构师肖新光认为,眼下网络泄密的根本原因,从根本上看是过去10年,互联网开发抢速度的后遗症。根据安天实验室普查的情况,国内网站账户信息使用明文存放、标准MD5存放的比率是比较高的,而这些方法都是不科学的。但不少商业网站出于方便操作、节省成本,普遍采用"明文保存"的储存方法。
肖新光建议,网站可以通过制定整体权限和数据访问的策略;及时安装应用和补丁;提升应用的编码质量,提升对SQL注入的防范;还可将应用服务和数据库服务器分开,将数据库服务器配置为只有需要访问库的应用和管理才能访问。"加强网站安全有很多的策略和方法,但很多需要较大的成本,这并不是大部分国内网站所 能承受的。"肖新光补充道。
推荐阅读
“总结体”、“方阵体”、“淘宝体”、“穿越”、“伤不起”“hold>>>详细阅读
地址:http://www.lgo100.com/a/guandian/yejie/20111230/170136.html
网友点评
精彩导读
科技快报
品牌展示