打開一個導航頁廣告及流量收入就有2000萬元
近日,天涯社區承認約4000萬用戶的郵箱、社區密碼等資料外泄
昨天,京東商城也出現漏洞,用戶資料難保
“這兩天改密碼改到手軟。”北京CBD工作的白領李浩告訴記者,通過查詢,得知自己的天涯賬號已被洩露,而他的開心網、人人網、微博等幾乎所有賬號都使用相同ID、密碼,不得不一一更改。
中國網際網路正在遭遇史上最大規模的用戶資訊洩露事件——12月21日至26日短短幾天時間,多家大型網站的用戶數據庫被洩露,幾千萬用戶賬號和密碼被公開。
而業內人士認為,最近公開的僅僅是部分在駭客交易市場中流傳很久的老舊數據庫,不同駭客組織實際掌握的用戶數據庫規模應該遠大於1億條,而目前中國駭客的黑色産業鏈規模價值或達上百億元。
京東商城用戶資料大量洩露
漏洞報告平臺烏雲27日發佈消息稱,有漏洞導致京東商城用戶資料已大量洩露。
該漏洞詳情為:“京東商城在某些業務上存在用戶許可權控制不當的漏洞,導致用任意用戶登錄系統後,都可以正常訪問到所有用戶的資訊,包括姓名、地址、電話、Email等。”
昨天京東已經確認,稱危害等級為中,漏洞評級為10,並且將馬上處理。
新浪微博否認用戶密碼外泄
CSDN、天涯社區等知名大論壇的用戶密碼大批外泄事件導致網際網路界“草木皆兵”。26日,據傳用戶密碼已外泄的新浪微博、人人網、開心網等網站先後公開聲明賬戶密碼安全;支付寶、騰訊QQ等網際網路服務亦公開了用戶資料加密流程。
繼本月中旬CSDN網站600萬用戶賬戶資訊和密碼外泄後,天涯社區上週日承認用戶資料外泄,據估算約有4000萬用戶的郵箱、社區密碼等資料外泄。前者是中國最大的電腦技術社區,後者是最大的論壇社區,二者密碼洩露事件引起各界關注,眾多其他網站也發生密碼洩露的傳言開始大規模流傳。
天涯社區提醒修改密碼
新浪微博26日下午正式回應稱,新浪微博用戶賬號資訊採用加密存儲,並未被盜。在對流傳的數據資料包進一步研究後,新浪微博表示“經核實,該份數據絕大部分不是新浪微博賬號。極小部分用戶因使用和其他網站相同賬號密碼,可能導致其微博賬號不安全。我們已對這部分用戶做了保護,並提醒所有用戶儘快進行賬號安全設置”。
記者使用與天涯社區相同的註冊郵箱登錄新浪微博時,亦收到系統首頁提示稱,該郵箱與一些網站外泄資料中的郵箱相同,並要求修改密碼。
人人網、開心網26日表示,網站密碼採用加密方式保存,從未發生過外泄情況。
某活躍于黑色産業鏈的知名駭客,一年能夠賺5000多萬;一些大網站的數據庫是明碼標價,一個庫端下來,價值600多萬;黑色産業鏈的人開始向一些網站收保護費,標準是一個月兩萬。
CNNIC《第28次中國網際網路絡發展狀況統計報告》顯示,2011年上半年,有過賬號或密碼被盜經歷的網民達到1.21億人,佔24.9%。
數字 1.21億人
數字 80%
據360分析評估,上述被盜號的1.21億網民群體中,80%以上是因為駭客刷庫後獲取了網民的賬號密碼數據,危害遠遠超過盜號木馬。
知名駭客一年能賺5000多萬
隨著泄密事件愈演愈烈,隱藏在背後的駭客産業鏈也浮出水面。
天涯社區公關經理初蒙26日告訴記者,天涯被盜取的用戶賬號規模低於網路傳言的4000萬。不過,業內人士預計,洩露網站數據庫的行為可能會引發連鎖效應,更多網站的數據會被駭客放出。
在今年9月的一場資訊安全論壇上,Chown Group(資訊安全專業委員會)發起者之一李麒曾表示,目前中國駭客的黑色産業鏈規模價值上百億元。他舉例稱,某活躍于黑色産業鏈的知名駭客,一年能夠賺5000多萬;一些大網站的數據庫是明碼標價,一個庫端下來,價值600多萬;黑色産業鏈的人開始向一些網站收保護費,標準是一個月兩萬。
單純倒賣用戶數據庫並不賺錢
李麒稱,目前黑色産業鏈已經有了嚴格的代理制度,金牌總代、區域總代、一級總代、二級總代,製造木馬,大木馬利再裝小木馬,針對不同的遊戲都能做,此外,從製造木馬到買賣、銷售、分銷、洗信已經有了一條龍服務。
一般而言,單純倒賣用戶數據庫並不賺錢,有些數據庫經過多次交易後,幾百個賬號的價格只有幾分錢,因此不少駭客盜取用戶數據庫之後通過發佈詐騙資訊、轉賣給黑公關或競爭對手等多種途徑完成利益最大化的變現。
例如,不少駭客利用密碼庫嘗試竊取QQ、MSN等聊天軟體賬號和微博、人人、郵箱等賬號,向好友發送借錢詐騙消息,發佈廣告資訊或釣魚詐騙連結。
網遊用戶是駭客攻擊重點對象
一些花銷頗多的網遊用戶也是駭客攻擊的重點對象。一些遊戲廠商的用戶數據庫被駭客竊取後,可能被駭客轉賣給其競爭對手,成為競爭廠商爭奪用戶資源的“行銷對象”。金山網路安全專家李鐵軍透露,這些數據在剛被盜取出來時售價非常昂貴,某些遊戲廠商上百萬的玩家用戶資料包可以賣到百萬元的高價。
更嚴重的情況還有,當駭客利用密碼庫在網上支付平臺自動批量發起交易,如果恰好試探出用戶洩露的密碼和網上支付密碼相同,支付賬戶中的餘額就可能被駭客全部盜取。
國內知名駭客綠色兵團創始人Goodwell昨日亦指出,如果能控制100萬的用戶電腦終端,不管是惡意插件還是木馬或是小軟體,只要駭客能“挾持”用戶的一些操作,哪怕是打開IE跳到一個默認的導航頁面,也能為其帶來每年2000萬元的廣告及流量收入。
“明文密碼”被看做罪魁禍首
在一系列的用戶資訊洩露事件中,採用的“明文密碼”被看做是“罪魁禍首”。
“最不安全的保存方式是直接存儲明文,用戶密碼什麼樣,網站數據庫就存成什麼樣。這種情況一旦數據庫洩露,駭客就可直接掌握所有密碼。”360安全工程師石曉虹博士對記者説。
“對駭客而言,明文密碼的盜取簡直就是探囊取物,不是他們想不想要,而是要不要的問題。”一位受害企業員工對記者説。
CSDN在道歉信中透露,CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程式整合驗證帶來的,後來的程式員始終未對此進行處理。直到2009年4月當時的程式員修改了密碼保存方式,改成了加密密碼。但是直至2010年8月底CSDN才清理掉所有明文密碼。採用明文密碼是一個相對低端的模式,很容易就被駭客破解。
天涯被盜的是2009年之前備份數據
而天涯社區表示,由於歷史原因,天涯社區早期使用過明文密碼,此次被盜的是2009年之前的備份數據,2010年之後升級改造了天涯社區用戶賬號管理功能,使用了強加密演算法,解決了用戶賬號的安全性問題。
而那些未使用過明文密碼的網站如人人網、新浪微博等也很難獨善其身。因為很多用戶習慣用同一個用戶名和密碼來註冊多個網站,一旦有一個賬號密碼洩露,就很可能波及其他重要賬號的安全,例如網上支付、郵箱、聊天賬號等。因此,近日也有網上爆出人人網、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網、178、7K7K等知名網站的用戶數據資料也被公開。目前,不少網站都向用戶發出修改密碼的提示。
“從積極的角度考慮,此次事件對於公眾提升安全意識起到了積極的作用,讓網民知道即便電腦不中毒,賬號同樣可能被盜。”石曉虹表示,無論未來駭客是否會繼續公開更多網站的數據庫,只要網民注意重要賬號單獨設置密碼、定期修改密碼,就能夠將駭客竊取網站數據庫的安全威脅降到最低。據《第一財經日報》《新京報》
