泄密门牵涉5000多万账户 金山称员工非黑客
昨天,360称,黑客窃取网站数据库(刷库)是最近数年非常流行的攻击方式,之前有多家知名网站被黑客刷库的传言,只是数据库从没有公开传播过。今年7月,360发布《2011上半年互联网安全报告》时就指出,黑客刷库的危害已经远远超过了盗号木马。CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达1.21亿人,占24.9%。根据360分析评估,上述被盗号的1.21亿网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据。
网民应分级设置密码
■专家支招
360的工程师介绍,提升网络安全,一方面需要网站及时修补漏洞,防止数据库泄露;另一方面,网站管理者需要重视用户数据的安全,进行高强度的加密保护,这样即便数据库泄露,用户的账号和密码也不易被黑客破解。
绝大多数网络账号都是绑定邮箱注册,部分网民又习惯用相同的注册邮箱和密码,注册不同的网络服务(如微博、网上支付、聊天软件、购物网站等),还有很多人用QQ邮箱和QQ密码注册各种论坛,这是非常危险的举动,因为只要这个论坛数据被黑客窃取,就意味着QQ账号也会被盗。
如果网民有意识地对密码进行分级管理,常用邮箱、聊天软件、网上支付等重要账号分别单独设置密码,并定期更换;次要的网络服务可以设置通用密码,即便网站数据泄露也不会造成损失,而且能通过邮箱找回密码。
否认公司产品经理为“黑客”
■金山声明
金山网络公司昨天零时许向本报发来声明称,公司层面调查认为,CSDN密码库泄露事件“重大嫌疑人”——金山网络韩姓产品经理“hzqedison”并不是CSDN密码库黑客。金山网络已将所掌握的情况主动向公安机关反馈,全力配合追查黑客。
CSDN密码库泄露事件正引人关注之时,22日有消息说,一个叫做“hzqedison”的微博用户或许分享过一个“CSDN-中文IT社区-600万。rar”的压缩文件,而这一压缩文件的内容实为“CSDN未经加密的600万用户资料”,其数据库下载链接在黑客论坛和QQ群中传开。
对此,金山发表声明称,hzqedison是在12月21日中午密码库事件爆发一个半小时后,从微博、迅雷等公开渠道间接获得“此前已广泛流传”的密码库,他“无意识”地在迅雷生成链接,“供身边少数同事自查”,在获知该链接被外人获知后,便迅速删除了该链接。据删除前统计,该链接仅被不超过5名同事下载。金山还透露,一位ID为“臭小子”的人,早在12月4日就已将密码库公开到漏洞网站乌云网上。
■律师观点
hzqedison可能触犯刑律
对于hzqedison的这种“无意识”,德和衡律师事务所合伙人姚克枫律师昨天接受本报记者采访时说,他的行为是一种传播行为,无论是否为“源头传播”,都涉嫌违法。如果他是源头,则责任更重。hzqedison是行业内人士,有保密与审慎义务,此事可能触犯刑律。无论如何,这种行为让人愤怒与不解,绝对应当谴责。