“泄密门”大事记
12月21日
知名程序员网站CSDN对外承认,因受黑客攻击,约600万用户的数据信息被泄露,“泄密门”进入公众视野。随后,多玩、人人、猫扑、新浪微博、7K7K小游戏等十几家网站先后卷入其中,当晚互联网安全公司360、金山都发布数据称,监测发现网上公开暴露的网络账户密码超过1亿个。
12月22日
人人网、新浪微博公开否认用户信息泄露,但建议与CSDN使用相同账号和密码的用户尽快修改密码。随后起点、腾讯、开心等多家网站也发布公告,建议用户修改密码。
12月25日
天涯社区对外发布公告,同样称因黑客攻击,网站用户数据被盗。虽然网上贴出的数据库文件中包含有超过4000万的用户账号信息,但天涯表示实际被盗数目没有4000万。
12月26日凌晨
一份包含有476万用户账号信息的数据库文件被贴在网上,标注为新浪微博的用户数据。新浪方面马上发布澄清声明,表示“新浪微博用户账号信息采用加密存储,并未被盗”,网上所谓数据库中的绝大部分信息是根据已有泄密信息“混搭”出来的。
延伸调查
千万级用户数据库能卖几百万元
与网站对于用户信息安全保护的冷漠态度相比,活跃于互联网各个角落的黑客对用户数据库却很有“热情”。
一位黑客“圈里人”告诉记者,目前黑客行业最赚钱的营生主要有三种,分别是安放木马、设置钓鱼网站和盗取数据库信息,相比于前两项生意,市场上对于数据库信息的需求更多。
黑客从网站盗取用户信息库后,会把这些用户信息倒卖、分销给黑公关或钓鱼集团。前者利用这些用户信息打击竞争对手或发放垃圾广告;后者则利用这些信息传送木马、病毒或发布诈骗信息,甚至直接在网上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和网上支付密码相同,支付账户中的余额就可能被黑客全部盗取。
“最多的时候,千万级的用户数据库能卖几百万元。”这位黑客表示,从盗取到分销再到获利,“圈里”都有专人服务和特定的规则,早已成为“一条龙”产业。
同时,他还爆料,地方上一些小的团购网站手里也收集了大量用户资料,随着这些团购网站纷纷倒闭,这些用户数据也成了“孤儿数据”,被放在网上公开叫卖,更为要命的是这些数据往往还都直接关联着用户的网银账户和交易信息。
专家观点
立法治理用户数据监管缺位
面对还在持续发酵的“泄密门”,网友们正忙于修改自己的账号密码,而陷入其中的CSDN、天涯等网站却在道了一声歉后就此缄默。不少网友表示,数据是从网站泄露,网站应承担责任,并进行一定的赔偿,但又苦于拿不出相关证据和法律条文作支撑。
“目前法律对于普通用户的信息安全保护还是一片空白。”社科院信息化研究所秘书长、互联网专家姜奇平表示,除了国家相关机构有保密法外,对于企业的用户数据保护并没有相应的法律规定,甚至都没有一套成型的行业准则,各家网站都是各自为政。在没有一个权威第三方的监管之下,用户数据安全目前处在一个“没人管”的困局,因而这次“泄密门”中的受害用户维权困难很大。
姜奇平认为,“泄密门”事件凸显出个人信息时代法规的缺失。2005年时,立法部门就曾推动过个人信息保护法的立法进程,但一直未能正式出台。此次“泄密门”给业界、网民和监管部门都提了个醒,让大家认识到个人信息安全保护的重要性。他建议政府尽快立法,从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护,将个人、网站和监管机构所应承担的责任、义务厘清。
除此以外,姜奇平还建议以经济手段来打击黑客,彻底掐断地下的用户信息买卖黑市渠道。 本报记者 孙超逸
