2011年12月,中国IT界可以说是惊涛骇浪。继CSDN于12月21日被曝600多万用户密码数据库遭到泄露后,网上又陆续爆出天涯网,猫扑网、人人网、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等在内的网站用户密码数据库遭到黑客提供公开链接下载。在被曝光的数据库中用户密码大都采用明文保存。预计全部用户密码数据超过5000万条目。
就2011年全球范围内大规模用户信息泄漏事件来说,CSDN密码泄漏事件只是其中的一例。例如今年6月国际著名黑客组织LulzSec攻击SONY电影,超过百万用户的“名称,密码,电子邮件,家庭住址,出生年月”信息被泄漏,而这些信息也都明文存储。LulzSec在描述这段攻击的时候说:“SonyPictures.com存在一个最简单的,最原始的SQL注入,我们通过这个漏洞获取了网站的一切。为什么你们这么有信心让这样的攻击存在呢?”。LulzSec这句话或许可以给我们一些提示。
在CSDN这次的事件中,对网站维护者而言,只有合理的对网络进行加固,以及定期邀请信誉高的技术团队对网站进行渗透测试,才可以有效保障用户数据的安全。对用户使用密码而言,不要轻易相信你的密码是被安全存储的,并且选择一个自己记得舒服的最长密码。
从企业安全防护的角度来说,大多数人依靠每月或每周打打安全补丁,或大规模架设安全设备,以及登录类似http://sectools.org/这样的安全工具网站下载安全工具,但往往却忽略了个人的安全意识。网站中的补丁程序好打,但难点是人们薄弱的安全意识;安全设备和工具的使用也不复杂,复杂的是如何辨别社会工程学中人与人之间的信任。对此,也希望广大企业中的安全管理人员可以通过CSDN这个事件多多提高自身的安全意识,因为个人安全意识是抵御黑客攻击的最后一道防线。
【编辑推荐】