中国互联网史上最大泄密事件仍在继续升级。
12月29日,网上盛传多家银行的用户数据泄露。29日晚,工商银行、交通银行、民生银行迅速出面否认。京东(微博)商城、支付宝(微博)、当当(微博)网等电子商务网站也相继辟谣。此前工信部也表示已经组织专家应对。
但中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚认为,一场更大规模的安全事件有可能在2012年爆发,目标极可能直指中国几亿的移动终端用户。
“一点也不意外,这些数据库资料泄露很正常,在黑客圈内一直都流传着,只是没外露。”昔日“黑客教父”、中国鹰派联盟网的创立者万涛如是对《国际金融报》记者表示。
天涯社区市场部公关经理初蒙也对《国际金融报》记者表示,目前天涯社区被窃的3000多万用户资料,都是2009年之前的数据库,采用的是明文密码。
目前,泄密范围已经从最开始的中国软件开发联盟网站,扩散到新浪微博、腾讯QQ、开心网、人人网、天涯等大批社交网站。
网络犯罪所求何利
尽管目前泄漏的仅是社区论坛的账户密码,且这些账户不太具有利用价值,但瑞星(微博)安全专家对记者表示,社交、电商网站密码泄漏,带来的损失将大大增加。
万涛认为,黑客没有展示的舞台,这会导致很多人在新鲜感褪去后便去挖掘“黑金产业”,他们之间交易数据库信息作用很大,至少可用于“钓鱼”(网络诱骗的一种)。
“此次大规模信息泄露事件不像是有组织的行为。”龚蔚也对《国际金融报》记者表示,但其中有些价值不能简单地用金钱来比对,他们可以通过为一些利益集团服务而获取利益,一些犯罪分子背后已经形成一条“产业链”。
据龚蔚介绍,泄密只是这条产业链中的一部分,后续如果对数据库中的资源层层利用则会产生巨大的价值。比如他们在盗取账户后,可对虚拟币“洗劫”,随后还可以整理用户的个人信息卖给有需要的人,一直“洗”到没有价值可利用。
龚蔚表示:“如果黑客能控制100万的用户电脑终端,哪怕是打开IE后跳转到一个默认的导航页面,都能带来每年2000万元的广告及流量收入,这还仅仅是最底层的产业链。”
此外,龚蔚还指出,事实上,可能有将近4亿到6亿的互联网用户账号信息在黑客地下领域流传,而一场更大规模的安全事件有可能在2012年爆发,目标极可能直指中国几亿的移动终端用户。
谁为网络安全埋单
中国互联网规模迅速成长的同时,也造就了一个巨大的“价值漏洞”。
据统计,截至2011年底,中国网民数量已超5亿。但目前各大网站仍在以扩充注册用户数为第一要务,简化注册过程。而大多数网站几乎“不设防”,相比较安全支出占互联网整体支出不足1%的中国,欧美所占比例则为8%—10%。
金融BI(商务智能)软件工程师付建熙对《国际金融报》记者表示,国内客户端网页亟需废除旧算法,改善服务器,至少应全部采用MD5信息摘要加密,一种单向加密算法,把明文转换为密文。
瑞星安全专家指出,由于密码泄漏在服务器上,用户在自己电脑上进行的防护几乎失去了意义,只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。在整件事件中,用户处于最弱势、最无能为力的环节,互联网服务厂商应提高自己的安全能力,承担起应有的保护用户隐私的责任。
另据悉,针对信息安全监管,我国仅有一部2004年颁布的《电子签名法》。北京邮电大学(微博)网络法律研究中心主任刘德良也对《国际金融报》记者表示,尽管《合同法》和《治安管理条例》能够对互联网犯罪有处罚作用,但在实际操作中,震慑力远远不够。(来源:国际金融报)