賬号泄露折射出的网络安全问题.docxVIP

账号泄露折射出的网络安全问题1．账号“泄密门”事件的全程2011年12月21日，随着全球最大的中文IT社区CSDN用户账号密码数据的泄露（640万用户的利益遭受到严重的损害（其中就包括我自己）），天涯社区、开心网、多玩网、百合网、新浪微博等十几家网站先后卷入其中，晒在网上的用户信息条数已过亿，成为中国互联网史上最大规模的用户信息泄露事件，而通过“泄密门”折射出的则是整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。不论是此次“泄密门”事件的直接受害者还是事件的幸免者都表示“改密码改到手软”，原因是显而易见的，大部分人的习惯都是使用较少的密码： “密码设成一样就是想少点麻烦，现在却成了最大的麻烦。” 有人就讽刺说：“大家一起来庆祝迎接第一届‘全民改密码节’”。随着中国互联网近年来快速发展，争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下，巨大的用户量是网站吸引更多风投的资本。因此，网站纷纷简化注册过程，以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同，很多网站在用户数据安全保护上的投入却是“锱铢必较”。如果不通过此次的泄露事件来加大各个公司和门户、社区网站对安全保护的重视和投入，我们难免会继续迎接第二届、第三届……“全民改密码节”。表1：本次账号泄露的基本时间：日期相关事件12月21日CSDN 640W用户帐户，密码，邮箱遭到黑客泄露；12月22日中国各大知名网站全面沦陷.涉及范围甚广，泄露信息涉及用户相关业务甚多……一场席卷全中国的密码安全问题爆发；12月23日CSDN泄露、多玩泄露、梦幻西游帐户通过木马泄露；网友爆料 天涯沦陷，7K7K包中包含天涯帐户密码；12月24日178沦陷、UUU9沦陷，事态蔓延；天涯全面沦陷，泄露多达900W帐户信息；网易土木在线也沦陷，数据量惊人；12月25日百度疑因帐号开放平台泄露帐户信息；北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露；UUU9.COM被黑客两次拖库；事态升级天涯疑泄露4000W用户资料；178第二次被拖库泄露数据110W条；木蚂蚁被爆加密密文用户数据，约13W数据；知名婚恋网站5261302条帐户信息证实12月26日myspace泄露，迅雷又成功离线3个泄露包；ispeak泄露帐户信息 已验证!请官方通知会员修改密码；网络流传包17173.7z中17173.0为178帐户信息，178惨被拖库3次；网络流传包17173.7z中17173.3为UUU9.COM帐户信息，泄露数据不详；塞班智能手机网校验准确率高达70%，或塞班智能手机网沦陷12月27日网易土木论坛通过碰撞分析密码，用户资料全部属实！共计135文件，4.31G；178.com彻底沦陷，共计泄露超出1100W+数据；766验证泄露，泄露数据十余万；ys168验证泄露，泄露数据三十余万；凡客20W 当当10W 卓越20W 用户资料验证泄露12月28日太平洋电脑泄露200W用户资料包含用户帐户；大学数据库泄露，身份证信息泄露，更为敏感内容糟骇客泄露，泄露数据不详2．用户数据所隐藏的巨大利益在此，我们不经要问：怎么会有这么严重的泄露事件，黑客这么泄露出于什么目的？看似不起眼的用户信息实际上背后隐藏着庞大的利益链。互联网上每个人的数据与隐私最终都被层层盘剥、打包瓜分，黑客亦是这个产业链的打工者。那么如何由点到面榨干一个用户的最终价值呢？一位匿名黑客从已被泄露的天涯账户开始，理想化的重现了这一过程：1 在获取笔者的天涯账户后，黑客首先尝试了关联的网易邮箱，由于笔者的网易邮箱密码与天涯账户相同，对方毫不费力进入了邮箱。2 进入邮箱后，对方获得笔者历年来注册开心网、智联招聘、中华英才网、前程无忧、快钱、百度、百付宝、校内、京东、新浪微博的确认邮件。其中智联招聘、中华英才网、前程无忧、京东的注册确认邮件中直接显示会员名及密码。其余几个网站除开心网及快钱外均与天涯账户密码相同。但因开心网及快钱密码与京东密码相同，也被猜中，至此以上网站密码全被攻破。3 通过前程无忧，获知笔者QQ号码，真实姓名，身份证信息，收入情况和生日等重要信息。4 尝试破解QQ号码，尽管笔者的QQ密码与以上各网站密码完全不同，但黑客依据真实姓名全拼、生日、手机和之前各类密码的组合方式，迅速暴力破解成功。进入QQ邮箱，获得笔者在豆瓣、淘宝、网易战网的注册确认邮件，暴力破解淘宝及支付宝密码成功。至此，一个天涯账号的泄密变成了一个自然人从虚拟到现实全方位的泄密，据匿名黑客介绍，已经从笔者身上获得的信息可以反复销售数次：虚拟货币的账户卖给专人直接变现；网络游戏的账号卖给专人将虚拟物品变现；个人资料卖给各个推广公司、调研机构（根据性别、年龄、收入、地域可卖给不同行业）；私密关系账户可卖给骗子集团牟利（Q