截至12月29日,国家互联网应急中心通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。在这场中国互联网有史以来波及面最广、规模最大的泄密事件中,网民的隐私被暴晒,企业的信息安全机制被拷问。网络一时兴起修改密码之风,厂商紧急应对,网友们不禁要问,网络安全的2012来了?一起来听听他们的声音。
事件回顾
  • 2.78亿数据泄露 CNCERT发布信息泄露事件的通报

    近期,网站密码泄露事件愈演愈烈,从网站论坛类帐户安全开始涉及到个人资金安全,闹得人心惶惶。据悉,截至12月29日,国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。

  • 从600万到过亿数据 年终“泄露门”事件盘点

    网站密码泄露事件已引起官方关注。据悉,工业和信息化部下属通信管理局于12月30日下午召集了相关互联网企业、安全企业进行调查、研讨。据参会人士透露,包括CSDN、天涯、人人网、新浪、搜狐、网易、腾讯、京东、当当等互联网企业,金山、奇虎360、天融信、绿盟、安天实验室等安全企业均受邀参加了此次研讨会。

  • 1
  • 2
  • 3
专家评论
  • ● 在CSDN这次的事件中,对网站维护者而言,只有合理的对网络进行加固,以及定期邀请信誉高的技术团队对网站进行渗透测试,才可以有效保障用户数据的安全。 对用户使用密码而言,不要轻易相信你的密码是被安全存储的,并且选择一个自己记得舒服的最长密码。

    ● 从企业安全防护的角度来说,大多数人依靠每月或每周打打安全补丁,或大规模架设安全设备,以及登录安全工具网站下载安全工具,但往往却忽略了个人的安全意识。安全设备和工具的使用不复杂,复杂的是如何辨别社会工程学中人与人之间的信任。对此,也希望广大企业中的安全管理人员可以通过CSDN这个事件多多提高自身的安全意识,因为个人安全意识是抵御黑客攻击的最后一道防线。

    更多    

  • ● 一般情况下,网站数据库泄露是服务器被黑客入侵造成的,例如网站程序或服务器系统存在漏洞,就可能被黑客在服务器植入脚本后门,从而窃取用户数据库文件(安全术语为"拖库")。

    ● "拖库"是近几年来地下黑客产业非常流行的攻击方式,此前已有大批知名网站被"拖库"的传言,但一直没有被公开证实。

    ● 对于网站管理者,应及时修复网站和服务器系统漏洞,最大程度做好安全防护;同时,对用户数据库应采取加密保护措施。即便数据库泄露,也能保证用户帐号密码不被黑客破解。对于用户,360安全中心发布三条安全建议:分级管理密码,重要帐号(如常用邮箱、网上支付、聊天帐号等)单独设置密码。

    更多    

  • ● 近期出现大规模信息泄露事件,很大程度上说明目前我们国内的互联网公司还存在大量的安全问题。目前网上泄露的用户数据量已经超过5000万,但实际上黑客所掌握的数据量可能不止这些。据我所知,目前流传的部分数据库可能是早些时候已经泄露,只是大规模的公布还是第一次。黑客利用网站服务器的安全漏洞,侵入相关网站,盗取用户数据库等信息。

    ● 获取这些信息主要有几个方面用途:1. 直接通过获取的信息攻击用户,如盗取用户虚拟资产、恶意操作等;2.通过账户的相关性,攻击同一用户的其他系统;3. 将这些数据出售给竞争对手;4. 向特定用户发送垃圾广告获取利益。而本次泄露的原因可能是由于黑客的炫耀导致。

    更多    

  • ● 根据瑞星互联网攻防实验室对整个事件的追踪分析,可以肯定的是,此次出现泄漏事故的厂商,问题都出在服务器端,可能存在漏洞的地方是服务器操作系统、数据库、磁盘备份及论坛程序等,对这些环节的软硬件进行加固处理可以很好的防止再次出现泄漏事故。

    ● 瑞星安全专家也指出,由于密码泄漏在服务器上,用户在自己电脑上进行的防护几乎失去了意义,只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。

    ● 针对目前的形势,瑞星宣布:在未来的1个月内,如有大中型互联网公司怀疑自己的网站有安全问题,瑞星愿意为其提供免费技术援助。


    更多    


  • ● 无论是自己设计编写还是使用商业账户管理系统,密码保存不得使用明码,普通的可逆加密也不可靠,最好使用完全不可逆的算法并只保存结果。不可逆算法也可以杜绝内鬼作乱。MD5本来是一个不错的散列算法,但由于MD5库已经非常流行,对大多数常用密码实现解码已经非常容易。建议使用其他可选的算法,或者使用多次MD5或SHA1。

    ● 对于用密码验证的服务器,应该尽量专机专用,卸载所有不需的应用,封掉除验证和维护以外的所有网络端口,将验证服务器放到内网并增加双防火墙。将黑客入侵的可能性降到最低。

    ● 建议自己的员工,在公司的各种账户密码使用上,不得与私人账户密码相同。

    更多    

  • 徐少培
    天融信攻防实验室资深安全专家
  • 石晓虹
    360安全专家
  • 吴卓群
    安恒信息专家
  • 王占涛
    瑞星安全专家
  • 何公道
    江民科技副总裁、安全实验室总监
  • ● 企业还需要建立全面的信息安全内控体系,信息安全内控体系包括管理制度和技术措施两个方面。要建立专门的信息安全管理制度,层层把关,层层负责,杜绝和减少信息安全漏洞的出现,禁止威胁信息安全的行为发生。技术措施要采用内外兼防的手段,通过购买成熟的信息安全产品和服务,既要能够防止来自互联网的入侵,也要能够防止内部人员从服务系统内部的入侵泄密行为发生,缺一不可。

    ● 事实上,此外CSDN和天涯泄密事件发生后,陆陆续续暴露了更多真真假假的泄密信息,这些信息有些是从互联网攻击获得的,但也有部分是内部员工或者商业竞争对手从内部网络中获取并泄密出去的,后者造成的威胁损失更大。

    更多    

  • ● 纵观这两次泄密事件,发生的根本原因在于企业的意识不够强,信息安全保护不到位所致。据券商TMT研究部门的调研数据,目前,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%。

    ● 而这次事件受害用户维权困难也反映了目前法律在个人信息安全保护这一方面的缺失,唯有通过法律的明确规定,企业清楚意识到其义务所在,才能更有力保障个人信息。做好信息安全,需要企业、个人、法律三方共同促进。

    ● 要最大限度避免此类泄密事件的发生,企业要清楚泄密事件对企业所造成的影响,形成强烈的保护意识,并投入相应的人力物力进行安全防护。做安全有如买保险,不发生事情,不觉得它管用。做好信息安全,需要内外兼修。

    更多    

  • ● 许多互联网企业在高度关注用户应用和体验时,忽视了信息安全因素,此次泄密事件就是个例子,足以引起互联网企业的高度重视,特别是一些已经采取实名制的网站,更应慎重思考如何保护用户的敏感信息,保护用户的隐私。

    ● 对于企业来说,应全面检查自身信息安全防护措施是否完备,不仅限于数据库自身的防护,而应全面考虑应用、主机、网络等各个层次上的防护,并高度关注安全管理:如数据库管理员、系统管理员权限控制、最小授权等。从本次事件来看,并非所有的暴库都是黑客所为,应尽快建立覆盖应用系统生命周期如软件开发、测试、上线、运维、废弃、安全管理等各方面的安全体系。

    更多    

  • ● 近年来,全球范围因网站服务器遭黑客攻击导致的隐私泄漏事件屡见不鲜,如在2008年,北美曾爆出某大型超市的网络数据库被入侵导致400万账号泄漏,2011年11月,韩国某网游的官网服务器也被黑客入侵,直接威胁千万玩家的密码安全。

    ● 据网秦"云安全"监测平台的数据显示,目前仅国内单日截获针对网络服务器的攻击次数便超过3万,伴随攻击事件的一再出现,账号密码安全形势严峻。目前黑客主要会采用利用服务终端漏洞植入木马,或借助其可能存在的系统"后门"实施远程攻击等行为来绕开服务器的安全屏障,而一旦潜入服务器,便会调用联网上传大批量调取数据库信息,在网络管理员未能及时察觉的情况下,可短期获取大量的用户账户和密码信息。

    更多    

  • ● 在当今的互联网时代,从获取各种资讯,到评论和发表意见,再到网络购物,似乎所有的事情都可以在各种网络应用上进行。几乎所有的这些应用都用到了最为传统的身份认证方式——"用户名+密码"组合。

    ● 为了记忆方便,绝大多数人会采用统一账户来管理,一个ID走天下,与之相应的是,密码也使用容易记忆的数字与字母组合。殊不知,在黑客工具面前,这些密码根本就不堪一击。

    ● 在很多企业中,也大量存在着弱密码,为黑客发动攻击提供了可乘之机。定期使用专业的安全工具进行密码检查应该纳入企业的常规安全制度之中。

    更多    

  • 王志海
    明朝万达总裁
  • 黄凯
    溢信科技产品总监
  • 胡甜
    东软网络安全营销中心资深信息安全顾问
  • 邹仕洪
    网秦手机安全专家
  • 吴凡
    启明星辰产品管理中心副总工
ZDNet评论
  • 蒋湘辉:你用的高科技产品越多,你的隐私就越少

    多年前一部叫《国家公敌》的电影里有这样一句台词,“你用的高科技产品越多,你的隐私就越少。”现在回想起来依然印象深刻。   iPhone、iPad用起来都很爽,但谁也不能保证

  • 陈毅东:数据安全 拷问还在继续

    “你的密码修改了吗?”随着密码泄露事件的升级,这句话已经成为了许多互联网用户挂在嘴边的打招呼用语。此次事件的后续影响还在不断发酵中,在未来可能还将引发连锁反应。昨天还

  • 高飞:安全问题是一个千年虫

    时间拨回到2000年之前,全世界的IT人士都在应付一件事——千年虫。所谓千年虫,是怕原来只支持两位数计年(如99年)的设备,到了四位计年(1999年)的21世纪,发生大崩溃。于是,

  • 刘杰:当密码满天飞的时候,你还有秘密吗?

    “泄密门”之后,密码仿佛不再是一个“秘密”,网上甚至出现了最常用密码、最有创意的密码、各种青年的常用密码……从什么时候开始,密码成了一件不需要遮掩的事情?这个事件是否

  • 戴墨镜的乌龟:密码批量泄露背后 你们想干什么

    如果说只泄露了某一个网站的用户数据,可以说是管理疏漏,可以说是某次事故。而最近批量泄露的大量用户数据,包括了IT专业网站、天涯社区、7K7K、嘟嘟等,而京东商城也传出BUG,

  • 丁慧茹:网络安全的2012来了?

    一份某网站的用户数据泄露,到某银行数据泄露……这几天真的要怀疑网络世界的2012是否真的要来了。对于我这样的懒人来说,很多密码都是一样的。因此当涉及到了微博、支付宝这些时

  • 老凉:江湖凶险 密码妥善保管

    【谁的数据谁的安全谁在行凶】1、没有保护措施的网站是受害者,但是不值得同情,失去网民心;2、倒卖数据的人及产业链是坏人,严厉打击一批!3、网友是受害者,快修改密码,但别

  • 赵效民:你改了几次密码?

    最后上一些常去的论坛或是SNS网站,都被提示最好改密码,之前泄密的网站我的确也注册过,但也真不记得是不是“通用密码”了,那就改吧,改了第一个,等到第二个网站又让改,靠,

  • GrantChen:网络实名制何去何从

    昨天,在央视新闻看到消息,韩国将从明年起在网络上限制使用个人身份证号码,以防个人信息泄露。源于该制度实行后,各大网站成了黑客的主要攻击对象。今年7月韩国发生前所未有的

安全工具

瑞星网站密码安全检测系统

瑞星紧急发布国内首个网站密码保护方案——"瑞星网站密码安全检测系统",第一时间为所有网站提供全面、专业、免费的网站安全隐患检测服务。

360网站安全检测

全程免费检测,只需简单注册,即可免费享受360网站安全检测平台的一站式服务。

安全宝密码泄漏查询

一些互联网网站遭入侵,造成大量网民用户名密码可能被泄露。此工具可查询你的信息在不在泄漏的数据库中。如果查出密码已被泄露后,请尽快进行修改。

 

51WebSec漏洞扫描

帮助您检测网站是否存在可能被人利用的漏洞,免费、方便、快捷的网站安全解决方案。

天融信发布安全建设指南

大量网站安全问题的曝光,究其根本是由于网站处于互联网这样一个相对开放的环境中,网站整体防护中的任何一点漏洞或不足都可能在网络上被迅速放大和利用。

金山密码安全鉴定器

金山紧急推出了密码是否泄露的快速查询服务,并在金山毒霸"百宝箱"中新增了鉴定用户密码安全性的功能"密码专家"。

微博讨论