移动用户的安全与隐私(精选3篇)
摘 要 文章通过对移动社交应用的用户隐私泄露问题进行分析,探究其隐私泄露的根本原因。完善社交应用的通讯录匹配功能,有效的解决了移动社交应用的使用者隐私泄露的问题。
关键词 移动社交应用;隐私泄露;隐私保护
中图分类号G2 文献标识码 A 文章编号 1674-6708(2015)136-0191-02
随着科技的发展,智能终端设备以其强大的功能和处理功能被广泛的应用,社交应用为使用者提供更加方便的通信交流服务,相比而言移动社交应用比传统移动通信更加经济实用,但是其中存在的问题不容被忽视,就是为了增加使用者的黏度,多数应用增加了“匹配通讯录的功能”,这个功能被成功激活后,应用就会向其使用者进行自动推荐好友,但是相对的这里就存在着一定的安全隐患,通过分析攻击形成的原因,进一步为开发者提供相对可行的防御措施。用户隐私泄露的问题
1.1 匹配通讯录功能
现在的移动社交应用为了增加其使用者的数量,增加使用者对其应用的黏度,就使得通讯录匹配功能成为了各类社交应用的标准配备。想要使用通讯录匹配功能就一定要满足以下两个方面的要求,第一,用户需要将手机号码在开始使用应用的时候与其进行绑定。第二,就需要社交应用用户的显示地同意社交应用程序可以上传使用者的通讯录和一些具有特定通讯摘要信息。只有在满足这两个条件的基础上,应用程序就会把使用者的通讯录信息上传到其应用的服务终端,然后从终端返回已经注册和绑定的手机号码、应用账户,然后使用者就可以对其进行浏览和添加好友,这种通讯录匹配功能给使用者提供了便捷的服务,增加了好友间的沟通和交流,也使其朋友圈逐渐的扩大范围。这种功能的运用是建立在一个潜在的假设上默认使用的,就是通过通讯录信息真正反映出这一使用者的社交关系,程序中的假设用户会和联系人存在一定程度上的信任,认定推荐账户信息不会造成安全风险。但是,真正的事情虽然给使用者带来了便捷,但是安全风险也是同时存在的。
1.2 潜在威胁分析
因为账户信息是社交应用使用者在虚拟的网络中唯一可以识别身份的信息,所以使用者会透过这个信息判断对方的身份的真实性,习惯于把信息填写的尽可能详细,貌似这些账户真实可信,但是攻击者却可以对这些信息进行窃取和伪装诈骗,导致使用者通过常识性意识进行判断时出现偏差和严重的失误,致使网络欺诈的
发生。
1)网络攻击者通过此种方法非法窃取大量用户信息和用户的手机号码。因为手机号码又是唯一可以进行身份确认的内容,在根据其填写的个人信息,二者相结合就可以使攻击者更加了解用户的资料,所以这种方法就可作为攻击前期的准备。
2)通过恶意窃取用户的身份信息以后,一些恶意用户尤其是发送一些垃圾短信的制作人员,就会向社交应用提供指定的一组手机号码,查看其是否在正常运行中。他们能够收集大量的手机号码,然后对这些获取的用户资料按照设定的不同范围进行统计。例如,年龄、性别、位置等,然后对其按照喜好和兴趣投放可能会感兴趣的广告,进一步扩大了广告投放的范围。
3)一旦用户注册了数个应用程序,这些恶意用户就会从不同的应用程序获得不同版本的资料,然后这些攻击者就会整合手里相关的资料,最终获取到一份更加细致全面的用户资料。例如,学校、公司等,在这些资料的基础上,恶意攻击者就会对其进行网络诈骗。
4)恶意攻击者可以通过用户的身份信息进行身份剽窃,通过克隆的方式复制出和用户一样的身份,而这一用户身份则是虚假的。通过克隆出和想要攻击的目标账户一样的身份账户,展开更进一步的攻击。对于攻击者来讲,获得的账户信息越全面,所要进行复制克隆的身份就更加正式,而实际上的攻击效果也会越明显。有效的防护措施
实际上,移动社交应用中所涉及的匹配其功能,其实际的作用价值是非常大的,不仅可以有效的提升使用者在线上的交流和沟通,还能够很好的融合进用户的正常生活里增加了用户对于移动应用的使用黏度。本文针对这种隐私漏洞,提出了相应的防护措施,希望给其开发人员一些借鉴,然后设计开发出一些更加安全可靠的应用程序。
首先,再以实名制为基础的移动社交应用程序中,其应用的账户名差不多都能提供有观其用户的身份信息时,用户所添加的推荐用户都是来自智能终端的通讯录,仅需要用户名就能对其进行有效的身份判断。所以在应用进行实名制注册以后,服务终端所返还的信息只返回用户名就可以,其他相应的资料可以不用进行返还。例如,手机号码等。这样就可以有效的控制应用程序用户的个人信息被恶意攻击者获取。
其次,对于那些没有进行实名制注册的有关通信类的应用程序,其显示的信息只是目标用户的通讯录,其中包含了通讯录中联系人的姓名、手机号码,因为这些信息应经可以满足确定推荐好友的身份,这样就可以杜绝了手机号码和应用注册账户之间绑定的反射,有效的控制了恶意攻击者获取其相应信息资料。
最后,在社交应用使用通讯录匹配功能时,可以向应用的使用者推荐通录中已经是应用用户好友的手机号码,而这种具体的方法就会特别试用于这种推荐手机号码加为好友的。这种加手机号码的方式比使用电子邮箱地址具有更加高的隐秘度,也能更好的反映使用者之间的关系,因为这种拥有对方的手机号码,可见其反映的关系多是很好的朋友,通过使用这种方法来添加朋友,不仅可以降低恶意攻击者窃取使用者资料的可能性,也不会影响到匹配功能的实际使用。例如,腾讯腾讯公司出品的微信应用已经全面的采用了相应的防护措施,但是其中还有部分问题值得完善。虽然微信应用已经有效的降低了通过匹配功能来推荐好友的次数,只有在使用者已经在添加了一部分好友的情况下,剩余的好友才会被推荐,这样就可以有效的避免了恶意攻击者不能够在短期时间内获得用户资料,但是在映射关系上还是存在问题,攻击者可以对通讯录信息划分小部分后进行攻击,进而获得众多用户的信息资料,实际上这种安全隐患并没有很好的解决。结论
总而言之,文章通过对智能终端移动社交应用中通讯录匹配功能存在着致使隐私泄露的威胁,这种实际的威胁就是攻击者恶意的获取社交应用使用者的资料信息,从而进行诈骗、欺诈等活动。但是实际情况表明,社交应用的使用者还是比较信任社交应用的安全性,偏向于填写一些真实的个人信息,由于不同种类的应用,用户给予定位的实际价值定位和信任程度还是不同的。通过产生这一危险的原因进行细致分析,文章提出了一些解决实际问题的措施。我们建议从应用的开发者开始就应该注重真实社会和虚拟网络之间的实际区别,一旦二者之间出现联系,就应该及时意识到,在程序开发过程中对此类问题进行有效的处理,避免这种问题的出现,尽可能的避免恶意攻击者的攻击。
参考文献
1 移动社交网络用户隐私安全问题
随着移动互联网技术的发展,给人们的交流交往提供了更加广阔的社交平台,在社交网络下使人与人之间的生活联系越来越密切,而且随着社交网络平台的兴起与普及,移动社交网络用户的规模也逐渐增加,但是由于网络技术存在的漏洞给社交网络用户安全带来很大的隐患,社交网络用户隐私暴露的风险逐渐增加,给用户个人的利益带来很大而损害,移动社交网络用户隐私安全问题主要有以下几种:
1.1 用户个人对自身隐私的泄露
随着移动社交网络的兴起,在移动社交网网络平台进行信息交流分享已经人们生活中的必不可少的部分,分享的方式与途径逐渐增多,分享的信息也越来越真实,虽然对于透露这些个人信息存在很大的风险,但是有更多的人没有意识到分享真实生活信息的危害,乐于分享自己生活中的点滴趣事,尤其是在移动社交网站上发布信息的用户来说,向陌生人发布一些私人信息会到来一些收益,甚至可能大于信息泄露存在的风险,比如以微信来说通过利用朋友圈分享信息能够引起集权效应,并且可能由于社交平台资料大都属于是真实的信息资料,发布的一些信息能够引起社交网络人群的盲目信任,为发布信息的用户带来一定的收益。另外由于互动平台能够通过好友圈能够查看到共同的好友的评论以及留言,一些存有不良思想的用户可能充分的利用共同好友的优势去挖掘其他人的一些私人信息资料,或者骗取某些人的信任去做一些违法的活动。同时随着移动网络社交平台的发展,很多人可能没有经过他人的允许而在互动平台发表一些与他人隐私有关的图片或者是评论,虽然对自身的生活没有多大影响,但是可能在无意中泄露了其他人的重要隐私,甚至是给其他人的生活带来很大而困扰与危害。
1.2 移动社交网站导致的用户隐私安全问题
随着移动社交网络的发展,人们的交友需求也逐渐增强,但是很多社交网站在注册初期一般都要求用户提交真实的个人信息,除了是国家政策规定原因外,社交网站本身也需要用户提供更多的信息,比如:需要用户提供真实的教育背景资料、地理位置信息以及个人爱好等信息,这就会导致用户的个人信息暴露在社交网络之中。而且随着社交网络平台的壮大发展,社交网络平台人数规模会逐渐增多,社交网络本身掌握的用户资料越来越多,在某些情况下可能出现社交网站泄露用户的隐私资料的情况,给移动社交网络用户的个人隐私安全带来很大的影响。比如说:某些移动社交网站出于自身的利益考虑,在未经过用户同意的情况之下擅自将用户上传的隐私资料出卖给第三方的事件,导致用户隐私资料遭到泄露。另外移动社交网站可能由于技术存在很大的漏洞,遭受到病毒、木马以及黑客的攻击,从而导致的用户隐私遭到泄密,给移动社交网络用户带来很大的损失以及危害。
2 引发移动社交网络用户隐私安全问题的根本原因
2.1 移动网络用户缺乏隐私安全保护的意识
随着移动社交网络的发展,移动社交网络的隐私安全问题已经成为社会的普遍问题,但是大多数的移动社交网络用户并没有认识到个人隐私保护的重要,仍旧沉浸在移动社交网络带给个人的社交快乐当中,从而忽视了对个人隐私安全的控制,在移动社交网站的个人资料设置上大多都是设置为系统默认的权限,即对所有人公开,从而导致自身的信息资料遭到泄露。出现此种情况的原因主要是由于移动社交网络用户个人的隐私安全保护意识不强,很多用户个人并没有认识到隐私泄露给个人带来的危害。另外用户个人的隐私安全的法律意识不是很强,即使遇到有泄露了用户个人隐私的情况,也采取忍气吞声的态度,而没有采取法律手段维护自身权利的意识,导致泄露客户资料方不能受到相应的法律制裁,从而更加助长了泄露用户个人资料行为的气焰,对移动社交网络用户个人可能造成很大的精神损害以及财产损失,不利于社会稳定发展。
2.2 相关的法律制度以及政策不是很完善
随着移动互联网技术的发展以及移动社交网络平台的普遍应用,社交网站上逐步汇集了大量的用户个人信息,但是由于相关的法律法规以及政策不是很完善,导致大量的用户个人隐私信息遭到泄露,给移动社交网络用户个人带来很大的危害。首先缺乏移动社交网络用户个人隐私保护的法律体系。随着智能手机的逐步普及,移动网络社交的用户数量不断增多,作为庞大的移动社交群体其社交关系成为系统应用开发商的巨大开发资源,由于社交应用中又存在很多的用户真实信息,很可能遭受其他社交平台的攻击或者是由于社交平台无法经受利益的诱惑与其他商业广告公司进行合作,把用户个人信息当成是牟利工具出买个其他的商业公司,对用户个人的心思安全造成影响,虽然为了避免出现此类事故,我国逐步优化相应的法律法规,但是仍旧存在监管漏洞,导致用户个人隐私信息无法得到有效的保护,个人的隐私安全造成很大的影响。其次移动社交应用的隐私政策存在不足,比如说:政策告示没有放置在突出的位置,导致用户的阅读量非常低,而且大多数移动社交平台只是把相关的隐私政策告示包含在用户协议服务条款中,很少出现单独设立隐私政策的条款,从而没有承担起对用户告知的义务。同时相关政策规定不严谨,在移动社交应用中并没有明确提出要收集用户哪些信息以及应用服务终止之后用户个人信息的归属问题。另外相关的政策缺乏实用性,导致用户隐私无法得到保障。移动社交应用提供的隐私政策都是针对服务商利益方面的免责声明,而没有把用户隐私保护措施以及出现用户隐私安全问题以后的处理方法与补偿方式,导致移动社交网络用户与服务商之间的地位出现不平等,针对此种情况要逐步完善相关的政策与法规,使移动社交网络用户的合法权益得到保护。
3 移动社交网络用户隐私安全保护的相关建议
用户在使用移动社交网络应用服务时,社交网站都会以各种方式鼓励用户填写个人真实的信息,但是由于用户个人信息资料安全保护的措施存在着一些不足,因此很容易导致用户个人的隐私资料被泄露,这在无形中增加用户隐私泄露的隐患,如果客户个人隐私信息遭到泄露有可能会收到信息与电话骚扰等严重影响到用户个人的生活,而且这些隐私资料遭到泄露也可能成为违法分子的作案的工具,给用户本人以及相关人员造成严重的精神与财产损失,甚至可能给用户的人身安全带来很大的危害。因此更要加强对移动社交网络用户隐私安全的保护,可以从以下几个方面做起:
3.1 提升移动社交网络用户的信息安全意识
随着移动互联技术以及智能移动终端的发展与普及,越来越多的人开始应用移动社交网络平台,但是很多用户在使用移动社交网络平台时,仅是注重社交平台所带来乐趣以及交往过程中的享受,而忽视了对个人隐私安全的控制,这就在无形中加大了用户个人隐私信息遭到泄露的风险,导致用户的一举一动都暴露在移动社交网络平台上,甚至可能成为某些不法分子违法犯罪的主要工具,以微信来说,比如说某些犯罪分子可能会盗取用户的头像以及其他详细资料信息,并向用户的好友发送借钱之类的短信,导致用户个人以及其他好友造成财产损失等,因此移动社交网络用户要认识到信息安全的重要性,逐步提高信息安全意识,在使用移动社交网络平台发送信息时尽量考虑该信息是否泄露了自己以及其他人的个人信息,并且要在设置密码时尽量不把自己的生日、身份证等常用的信息作为终端的登录密码,并要定期的更换密码与检查个人设置,要随时更换自己的头像,不要随意加陌生人为自己的好友,最大限度的保护用户个人的信息安全,减少不必要的损失。另外在填写信息资料是不要过于详细,尤其是手机号,收入情况等,在连接好友发来的信息时,如果涉及第三方网站,用户一定要谨慎,不要轻易将自己的隐私信息分享给第三方,从而增大个人隐私泄露的风险。其次如果自身的隐私安全受到侵害,必须及时拿起法律的武器,维护自身的合法权益,从而使非法泄露用户个人资料的个人以及网站受到惩罚,保护自身的合法权益。
3.2 完善隐私保护法律体系
移动社交网络平台是现实社会与虚拟空间相结合的全新的商业模式,虽然在一定程度上给人们的生活带来很大的便捷,但是也给人们带来很多安全隐患,因此移动社交网络用户隐私安全问题也成为社会的热点问题,如果移动社交网络用户隐私信息遭到泄密,很有可能危害社会公共安全,因此必须引起想相关部门的重视,为了保护用户的个人隐私信息,相关部门需要逐步完善隐私保护法律体系,以维护国家的安全以及社会的稳定。首先完善网络隐私安全保护的立法,随着移动互联网络技术的发展,移动社交网络平台的技术更加的先进获取用户隐私信息的手段与途径也逐渐增多,但是目前我国相关的法律却存在着滞后以及不适应的情况,不能够使移动社交网络用户的隐私资料得到很好的保护,导致用户的个人权益受到损害,因此要逐步完善我国的相关的立法,在使用户个人的隐私信息受到安全保护的同时又不能规定太过标准统一,以免限制了移动社交网络平台的个性化发展。这就需要相关部门根据我国的国情以及相关行业的发展情况逐步完善完善网络隐私安全保护的立法体系,使相关的法律法规既能够抑制服务商的不良行为,保护用户个人隐私又能够促进移动社交网络平台的良性发展。其次,加强惩治力度,随着移动社交网络技术的发展,移动社交网络犯罪逐渐增加,虽然相关部门逐步完善相关的监管法律体系,但是盗用用户个人隐私信息的违法行为仍旧能不够得到很好的抑制,出现此种情况的根本原因主要是由于盗用用户隐私信息的违法行为,制裁的力度不大,甚至不及违法成本,另外,用于用户的维权成本相对较大,在面对信息泄露等事件时往往采取退让态度,加大了侵权事件的气焰,因此应该加大相关法律的制裁力度,给不法分子有效的震慑,减少危害用户隐私安全的事件发生,维护移动社交网络用户的合法权益。
3.3 加强行业自律
目前出现移动社交网络用户隐私安全问题的一大主要原因就是移动社交网络平台缺少自律性,移动社交行业的相关标准不是很完善,很多移动社交网络服务商为了自身的利益考虑不惜出卖用户的隐私信息而且盈利,针对此种情况就需要加大移动社交网络服务商的自律。首先要规范行业标准,比如:对移动社交网络平台的默认设置选项要增加用户隐私保护部分,避免出现由于移动社交网络的单项默认,而导致用户的隐私信息被暴露出来。其次要加强对行业监督。随着移动社交市场发展,很多服务商处于自身利益的考虑将技术不是很成熟的应用推入市场,以求得战区市场竞争的优势,但是这就可能因为存在技术漏洞而出现用户信息被盗取的情况,因此需要加大市场监管力度,避免因为社交网络技术出现的漏洞,而导致用户数据遭到泄露的情况出现,最大限度的保护移动社交网络用户的信息安全。
总之,随着移动社交网络的发展以及普遍应用,给人们的日常交往以及日常生活带来很大的便利,但是同时也正是移动社交网络的发展给用户个人的隐私安全带来很大的影响,如果移动社交网络平台由于技术原因或者是由于自身利益原因导致用户私密信息泄露将会给用户个人安全以及社会稳定带来很大的隐患,因此移动社交网络用户要逐步加强自身的信息安全意识,使自身的隐私安全得到保护。相关部门也要逐步完善隐私保护法律体系,加强移动社交网络行业的自律,最大限度的保护移动社交网络用户隐私安全,维护用户的合法权益,促进社会的稳定发展。
摘要:随着移动社交网络技术的发展,移动社交网络用户的规模不断地增长,用户隐私安全问题已经成为社会关注的普遍问题,当前形势下如何有效地加强移动社交网络用户隐私安全保护成为解决社会问题的主要任务目标。本文分析了移动社交网络用户隐私安全问题以及引发移动社交网络用户隐私安全问题的根本原因,并进一步分析了关于移动社交网络用户隐私安全保护相关建议。
关键词:移动社交网络用户,隐私安全保护,建议
参考文献
[1]王树义,朱娜.移动社交媒体用户隐私保护对策研究[J].情报理论与实践,2013(7).
[2]李晖,李凤华,曹进,牛犇,孙文海,耿魁.移动互联服务与隐私保护的研究进展[J].通信学报,2014(11).
[3]杨佳玉,叶昕昕,陈思聪,李剑.社交网站安全问题分析与对策研究[J].信息网络安全,2014(4).
1月11日,“泄密门”发生的20天后,作为第一个被公开报道的受害者,中国软件开发联盟(以下简称CSDN)在北京宣布,将携手阿里云迈出建立网络安全体系的第一步——为开发者打造安全可信的平台,从隔离核心数据开始。同时,CSDN公开承认包括自己在内的国内诸多网站的安全意识薄弱问题是导致用户信息密集泄露的关键。
CSDN所做的一切被业内看作是其挽回不利影响的重要行动。
2011年12月21日,业界传出国内最大程序员网站CSDN被黑客“成功击败”的消息,其超过640万个注册用户的信息在网上公开。随后的一周内,天涯社区、人人网、开心网和多玩网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。
由于遭泄露的网站覆盖社交、电子商务甚至个别政府部门的官网,一夜之间,“泄密门”成为互联网上一个引发广泛恐慌的“大事件”。
截至2011年12月29日,根据国家互联网应急中心(CNCERT)统计,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。其中,含有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
有分析指出,中国互联网十余年的发展中,快速扩张的互联网企业不知不觉地为自己埋下了安全隐患的种子。对安全投放的不重视,透露出这些企业没有把用户数据放在一个正常的位置,而这无疑是对用户信息安全的公然漠视。这样的现状为黑客提供了良好的获利环境,助长了一次次的黑客行动。而网企欠下的账,在未来必定要陆续埋单。
扩张种下毒瘤
泄密事件发生后,CSDN创始人、公司总裁蒋涛公开坦承此前并没有想到数据泄露会如此严重。在CSDN拥有不到100台服务器,注册信息只包括邮箱和密码的情况下,蒋涛一度认为,这些注册信息并不具备太大的隐私性,也不会引起黑客的兴趣。
但是,蒋涛和其他“中招”的所有网站都忽略了一个重要问题——黑客会将盗来的信息用于用户数据更为敏感的网站(如支付宝)进行密码刷库比对,如果密码是同一个,则意味着黑客们能够轻而易举地攻入这些网站,从而获取用户的敏感资料。
对于这种可能出现的后遗症,深圳大成天下公司网络安全技术专家吴鲁加认为,互联网用户的隐私短板,已经不再取决于单一企业,而是取决于所有这些握有大量用户信息的企业中的最短板。也就是说,网络信息的安全牵系每一个企业与个人。
而据蒋涛介绍,目前80%以上的互联网公司都存在安全漏洞,70%以上的加密算法密码库都可以通过高频碰撞破解,60%以上有安全策略的公司同样存在着漏洞。
根据杭州安恒信息技术公司给CSDN提供的审计报告显示,由于CSDN网站开源系统等第三方系统存在漏洞、应用程序存在跨站脚本漏洞等四大问题,使其网站存在安全风险,泄露了大量信息。
“不止CSDN一家网站这样”资深安全顾问张百川表示,许多网站设计之初就只考虑业务而不考虑安全性。在试运行期间只要功能满足就验收通过。在网站的规划、设计、实施、运维和废弃等五个阶段都没有一个安全保护的考虑。这样“凑合”用的系统,其安全性之低显而易见。
根据CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿,占24.9%。而卡巴斯基亚太区产品部经理高祎玮对《IT时代周刊》表示,尽管近年来针对互联网的安全保护技术有了很大的提升,但是很多企业没有及时调整或升级后台系统。
有业内安全专家向本刊记者透露,国内大部分电子商务网站还停留在防护墙等传统的防御技术层面,对账户、密码等机密数据也没有明确的访问规定监控,甚至还采用明文存储或不安全的加密存储手段。
而某券商TMT研究部门公布的调研结果更能说明问题。该券商的研究数据显示了目前中国互联网公司的信息安全支出在整体IT支出中的比例还不到1%,安全性要求比较高的金融行业也仅在10%,而欧美互联网公司的安全支出普遍占到8%-10%。
在安全支出严重低于欧美同行的情形下,中国整个互联网的安全现状当然极不乐观。而业内人士普遍认为“泄密门”最根本的原因正是一些互联网企业没有建立完善的安全防护机制。同时,他们也认为由于网络环境竞争的激烈,互联网的发展一直以扩张效率为主导,导致了安全风险或隐患的存在成为一种必然。
国内资深网络安全专家肖新光就持有类似观点。他指出,一家网游企业投入100万元来加快游戏的开发速度或增加新的功能,收益就会提前看到,而如果把这笔钱花在安全防护上,短期内不仅看不到收益,还会影响开发的效率,甚至可能被对手甩在身后。
业内安全专家透露,大部分网企缺少安全维护团队及投入,更令人担忧的是,与网民隐私财产息息相关的国内电子商务网站少有安全部门,设立了的也不过1-2人。这样的现状,其风险不言而喻。
黑客的微妙之伤
中国网络安全现状堪忧,除了互联网公司对安全体系建设的不重视,另一主要原因还在于黑客从中觅到了灰色商机。于是,一个似乎可被忽视的问题,变得不容忽视。
近年来,由于金钱利益的驱动及非法地下交易市场不断扩大,黑客攻击目标从普通用户转向具有更多用户资料的企业数据库。数据库的安全防护也一直被列为企业IT部门的重要工作之一,但由于防范措施形同虚设,导致黑客经常“光临”。
仅在2011年7月,黑客对韩国SK通信发起精密攻击,就致3500万用户信息外泄,而这个国家的人口总数仅为5000万。另有安全厂商RSA被入侵,直接导致多家工业巨头遭遇连锁攻击,荷兰电子认证公司DigiNotar被入侵后宣告破产。
让人稍感庆幸的是,中国互联网仅是遭受了信誉损失,至今不见有公司声称经济上有所损失。“这一次,黑客是善意的,‘泄密门’爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库爆出来。
而事实上,对于这样善意的“警告”,在事发前就有提醒,却并未被有关方面重视。
在这次事件中,一个名为“乌云漏洞平台”的网站从不为人熟知的专业平台一下跃入大众视野。该平台大批的黑客在发现企业漏洞时,已经将漏洞与补丁传到网上,但后来出事的多家企业中居然“无人问津”。
“民间的安全测试平台一直不受企业待见,他们扮演的黑客角色与企业之间多年来形成了微妙关系。”有业内人士指出,没有企业愿意总被人在国内常见的网络安全问题上“挑错”,也正因为如此,更有一些公司极端地认为,如果没有黑客,企业的漏洞在某种程度上来说就不存在,“只要不暴露,就可以视而不见”。
这样的愿景无疑是美好的,但部分黑客也有自己的游戏规则。“众多的‘黑客’潜伏在IT互联网公司。”一位不愿透露姓名的黑客表示,这些人可能白天是某企业的安全工程师,晚上就是黑客。另有传言,窃取CSDN用户数据也为某网企技术人员所为。而盗卖公司内部信息是公开的地下商业交易,监守自盗在中国互联网公司内部屡见不鲜。甚至有知情人士透露,一些大的互联网企业甚至直接“招安”黑客,将其纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。
“如果企业愿意对黑客指出的漏洞给予相应的重视,并采取补救措施,危机可能还是会爆发,但肯定不会这么严重。”安全行业工程师表示,对于这次事件,落后的防护技术仅是诱因,本质还是对安全防范投入的态度问题,同样也是一个程序员的基本素养。
为此,高祎玮对《IT时代周刊》强调,名为Anonymous的黑客组织曾在去年7、8月攻击了美国多个警察部门,甚至美国国防部的信息安全咨询公司,所以无论多高级的安全设备,多专业的安全知识,如不能在工作中严格应用及遵守,企业网络安全都将是空中楼阁。
而就在本刊的截止发稿日,经过北京网警的调查,北京市公安局外宣处的工作人员表示,今年1月10日已有两名涉案黑客被抓,详情还在调查中。次日,有接近工信部通信保障局的人士透露,该部门对泄密事件的调查工作已经“告一段落”。
【移动用户的安全与隐私】推荐阅读:
用户安全用电管理10-13
用户运行报告10-18
商务社交平台用户协议05-29
网站用户管理系统06-19
04用户培训计划07-16
可视电话用户协议07-20
流失用户行为分析09-16
服务商城用户使用协议10-25
系统用户操作手册10-25
电子商务用户协议10-31