多家網站陷入泄密門 黑客自曝入侵過程

????“泄密門”從一個網站的危機演變成互聯(lián)網世界的一場風波，變成了2011年底網民最關心的話題之一。

????截至目前，淪陷于這場風波的網站包括CSDN、天涯社區(qū)、多玩、京東、當當、支付寶，甚至廣東出入境官網等，盡管各家網站紛紛出面澄清，但網民人人自危，擔心個人信息、社交生活、財務資料暴露于日光之下“你的密碼改了嗎”成為歲末網民間最流行的問候語。

????安天實驗室首席技術架構師肖新光表示，過去10年中國互聯(lián)網以速度生存，應用開發(fā)脫離了安全發(fā)展，未來這些欠賬將要陸續(xù)補上。如何砍斷“用戶資料銷售”產業(yè)鏈，也是一個大問題。

????黑客的“信息分層制”

????很少人記得，早在去年4月索尼已宣布，其游戲網絡PlayStation(PSN)被入侵，有7700萬個用戶的信息可能被盜取，涉及姓名、賬單地址及以及其他相關信息。安天首席技術架構師肖新光告訴南都記者，這波泄露庫的潮流是從國外開始的?！坝捎?day漏洞的存在，和目前應用的龐大的復雜性等等，可以說在當前的情況下，很難有網站應用能決定保證自己是安全的?！?/p>

????可以看到，一方面是服務端難以彌補的漏洞，另一方面，引發(fā)賬戶入侵的則是激烈的市場競爭下，互聯(lián)網應用開發(fā)者、各類企業(yè)對于用戶的爭奪戰(zhàn)。目前，國內有眾多專門從事入侵賬戶的黑客，而其身后是。一位曾經購買過用戶資料的開發(fā)者小林告訴南都記者，最常見的情況有兩種：一種是模仿抄襲某網站時，請黑客入侵同類網站的數(shù)據(jù)庫，將該庫信息進行簡單修改后，再導入自己的網站，開發(fā)成本驟降；另外一種，則是由于營銷需求索取特定的某種個人資料，如郵箱、手機號碼等，主要是電商在用。“這些業(yè)務都有固定的QQ群或論壇，可以在里面提出自己的用戶需求，再討價還價。”小林告訴記者。

????南都記者昨日嘗試進入多個相關的QQ群，都被通知“對方拒絕加入成員”，顯示圈內風聲漸緊。其后，記者輾轉聯(lián)系上一位黑客，向其了解了入侵網站數(shù)據(jù)庫的過程。楊先生表示，一般來說黑客首先是進行“拖庫”，獲得網站的賬戶信息，然后再進行“洗庫”和“撞庫”，進行信息分層，尋找高價值的目標?！笆紫缺贿x取的，是帶有虛擬貨幣的QQ號碼、游戲賬戶、支付寶賬戶等；然后，將用戶的基本信息進行保存，比如密碼習慣等，看是否適用于其他網站；之后，才是現(xiàn)成的電子信箱、家庭住址、手機號碼等信息，倒賣給垃圾郵件、垃圾短信發(fā)送公司?！睏钕壬硎荆骸澳壳盎ヂ?lián)網企業(yè)都講‘開放’，提倡同一賬號登陸多個網站，等于‘一號多用’，賬戶信息更不安全?！?/p>

????搶速度后遺癥

????安天實驗室首席技術架構師肖新光表示，眼下網絡泄密的根本原因，從根本上看是過去10年，互聯(lián)網開發(fā)搶速度的后遺癥?！盎ヂ?lián)網一定程度上是以速度生存的，而安全上考慮更多無疑會影響開發(fā)的效率和進度，也可能會影響用戶的操作體驗。因此，國內應用開發(fā)脫離安全發(fā)展，對安全欠賬較多。但未來的10年，安全性將是互聯(lián)網企業(yè)的生存支點之一，這些欠賬是需要陸續(xù)補上的?！?/p>

????根據(jù)安天實驗室普查的情況，國內網站賬戶信息使用明文存放、標準MD5存放的比率是比較高的，而這些方法都是不科學的。黑客楊先生就表示，采用明文保存密碼是用戶信息泄露的關鍵，但即使是采用標準MD5進行加密存儲，也可以通過彩虹表碰撞，進行破解。

????肖新光建議，網站可以通過制定整體權限和數(shù)據(jù)訪問的策略；及時安裝應用和補?。惶嵘龖玫木幋a質量，提升對SQL注入的防范；還可將應用服務和數(shù)據(jù)庫服務器分開，將數(shù)據(jù)庫服務器配置為只有需要訪問庫的應用和管理才能訪問。“加強網站安全有很多的策略和方法，但很多需要較大的成本，這并不是大部分國內網站所能承受的?！毙ば鹿庋a充道。

????此次泄密風波中，被廣泛提及的“明文保存”，正是早年不少商業(yè)網站出于方便操作、節(jié)省成本而采用的儲存方法。

????此前，工業(yè)和信息化部已經就此次事件發(fā)布通告，對竊取和泄露用戶信息表示強烈譴責。工信部表示，立即啟動應急預案，組織相關通信管理局、國家計算機網絡應急技術處理協(xié)調中心(CNCERT)、網絡安全專家和部分互聯(lián)網企業(yè)，了解核實事件情況，評估事件影響和危害，研究提出應對措施。肖新光提醒，目前網絡上出現(xiàn)的泄密信息有效性仍需考證，要以管理部門的統(tǒng)計為準?！暗锩娲_實有消息是不可靠的，有些所謂的數(shù)據(jù)庫是一些用于騙P2P分數(shù)、甚至推廣自身軟件的假庫。”（記者 謝睿）