网络安全进入“云威胁”时代

安全 云安全
涉及网易、人人、天涯等大型网站,招商、交通等银行金融机构,平安、光大等证劵机构,甚至中国海关、广州市政府等官方组织,累计泄露的用户密码达到2.3亿之多。

涉及网易、人人、天涯等大型网站,招商、交通等银行金融机构,平安、光大等证劵机构,甚至中国海关、广州市政府等官方组织,累计泄露的用户密码达到2.3亿之多。

在这场中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件中,最让人忧虑的并不是网民的隐私被暴晒,也不是黑客的猖狂,而是我们的网络安全正在面临新的威胁,这种威胁躲在“云”中,甚至身披安全警察的制服……

超过两亿条用户密码泄露

据一位黑客界人士透露,最早曝出“多家网站用户密码信息遭泄露”的是一家名为“乌云”的安全组织,时间在12月4日。随后的日子里,一些包含有密码信息的压缩包在黑客圈子地下流传——在黑客界,这种“交流”并不罕见。

灾难真正开始是在12月21日。这天上午,包含有600万个CSDN用户密码的压缩包被放至公开下载渠道。更恐怖的是,蜂拥而至的网友发现了一个更大的“宝藏”,在下载CSDN密码包的时候,从“相关下载”按图索骥可以下载到更多的密码包。于是这些压缩包像病毒一样被网友疯传。

据金山网络安全工程师对密码包的统计结果,成为众矢之的的CSDN泄露的600万密码只是沧海一粟,此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号,但预计受影响的用户将在千万级别。

目前CSDN、天涯已对此公开承认事实并道歉,其他被涉及的网站一直未明确表态。近10家大型网站卷入

让我们梳理这次事件爆发的过程:黑客利用网络平台的安全漏洞入侵服务器,将包含网友用户名、密码的数据库下载到黑客自己的电脑(被称为“拖库”),黑客圈子地下传播,公开渠道下载散播。

这显然与大家普遍认知的网络安全威胁有明显区别。一直以来,个人网络安全防范紧盯的是“端”(用户本地端)的问题,不管是传统的杀毒技术,还是近年来流行的“云安全”技术,其本质均是防止“端”被病毒、木马等入侵,从而确保用户安全。但此次事件中,威胁并不在“端”,而在“云”中,对于用户来说,以往的任何安全举措在面对这种“云威胁”时都成为浮云,只好“躺着也中枪”了。

值得提及的是,“云威胁”比传统威胁危害严重得多。据安全界人士介绍,多数用户为了便捷,在多个网站使用同样的邮箱、密码注册,这意味着“一道城门被攻破,全城失守”。如果网友用公司邮箱注册,则更可进一步暴露商业机密。而在支付、网银等平台的账号信息也可能被轻易攻破。

据一位业内人士根据目前流传的密码包统计,与CSDN一道被“爆库”的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站,还包括至少16家大型商业银行、21家证劵机构,以及至少19家政府机构网站。

隐私泄露事件已发生多次

这一泄密事件或将给国内网络界带来强烈震荡,但多位业界人士对记者断言“这绝不会是最后一次”。下如此论断的依据还得在历史中寻找——在此之前,已有多次“云威胁”案例,但均未引起足够重视。

据记者了解,就在泄密事件发生前的不到一个星期,包括360手机助手、豌豆颊等在内的多个Android客户端曝出“公共WiFi泄密”问题。安装360手机助手的Android用户,在公共WiFi环境中将“门户大开”,任何处于同一WiFi网络的用户,均可随意访问其手机中的隐私文件,包括个人照片、文档甚至联系人、短信等。尽管目前360已通过升级版本解决此威胁,但如果不知情的用户并未升级,将一直处于“裸奔”状态。

网络安全界人士向记者表示,这一事件受影响的Android用户可能在千万级别,可能是中国移动互联网历史上最严重的隐私泄密案,但并未引起足够重视。

如果说这两次泄密事件都源于相关网络平台的技术漏洞,可以归为“安全事件”,那么道德和操守问题则会酝酿出更严重的“云威胁”。据受访的黑客界人士透露,一些小网站出售自己的注册用户信息的情况并不鲜见,不法者利用这些信息可以确保入侵成功率的大幅提升。

而在2010年12月底被曝光的“360窃取用户隐私”事件中,网民的账号密码、浏览记录,甚至企业的财务数据,均被360的“云”偷偷上传,更被谷歌的搜索蜘蛛抓取,完全暴露在公众面前。遗憾的是,这一事件依然未引起警戒。

安全威胁从PC移向云端

“云威胁”来袭,一个新的网络安全时代正在降临。一位业界人士告诉记者,“云威胁”事件的层出不穷可能让“黑客”的门槛进一步降低,这可能加剧网络安全态势的恶化。

在此次泄密事件中,任何一个稍微懂得电脑操作的网友均可下载到密码包,在5分钟内完成一次“黑客入侵”。而在“360窃取用户隐私”事件中,网友甚至不需要下载,直接从谷歌快照中即可获取他人用户名和密码信息。而在“公共WiFi泄密”事件中,这一特征同样表现得很明显。而推动人们做一回“黑客”的可能是好奇,也可能是贪婪,或者别有用心。

一位业界人士的点评一语中的,当网络安全与道德缺失、人性阴暗面裹挟时,才是真正难以防范的危机。

【编辑推荐】

  1. 2011以泄密门结束,2012以网络安全开始
  2. 2012网络技术趋势之网络安全与网络管理
  3. 六方法让企业走上通往“云安全”的大道
  4. 2012网络技术趋势:网络安全
责任编辑:于爽 来源: 网界网
相关推荐

2013-09-24 13:42:11

2011-06-07 15:28:16

2021-03-03 17:05:21

云计算云威胁安全意识

2021-03-24 14:21:23

网络安全云威胁云安全

2018-06-04 21:47:01

2014-05-28 09:19:44

2016-01-21 13:04:30

网络安全

2022-05-11 09:37:11

网络安全云计算

2018-03-02 07:12:42

2022-09-02 14:34:34

网络安全勒索软件攻击

2023-01-03 13:56:43

2020-07-30 09:29:19

网络安全漏洞技术

2023-06-08 00:16:58

2021-01-03 18:01:15

人工智能AI网络安全

2020-03-02 15:46:28

威胁搜寻网络安全网络攻击

2023-12-11 10:06:50

2019-03-29 10:31:53

2014-04-26 14:42:36

2022-09-24 23:47:01

网络安全黑客漏洞

2021-07-26 10:10:59

数据安全信息安全网络安全
点赞
收藏

51CTO技术栈公众号