会员登录 | 会员注册 | 意见建议 | 网站地图

站长资源综合门户

当前位置:首页 > 新闻资讯 > 多家网站陷入“泄密门” 黑客自曝入侵过程

多家网站陷入“泄密门” 黑客自曝入侵过程

时间:2012-01-04 16:44:21   作者:   来源:   点击:

“泄密门”从一个网站的危机演酿成互联网世界的一场风波,酿成了2011年底网民最关心的话题之一。

截至目前,沦亡于这场风波的网站包含CSDN、天涯社区、多玩、京东、铛铛、支付宝,甚至广东收支境官网等,虽然各家网站纷繁出面澄清,但网民人人自危,担忧小我信息、社交生活、财务资料吐露于日光之下“你的密码改了吗”成为岁末网民间最风行的问候语。

安天实验室首席手艺架构师肖新光暗示,曩昔10年中国互联网以速度生存,应用开辟脱离了平安成长,未来这些欠账将要陆续补上。如何砍断“用户资料销售”财产链,也是一个年夜问题。

黑客的“信息分层制”

很少人记得,早在去年4月索尼已宣布,其游戏网络PlayStation(PSN)被入侵,有7700万个用户的信息可能被窃取,涉及姓名、账单地址及以及其他相关信息。安天首席手艺架构师肖新光奉告南都记者,这波泄露库的潮流是从国外起头的。“由于0day缝隙的存在,和目前应用的庞年夜的复杂性等等,可以说在当前的情况下,很难有网站应用能决定包管自己是平安的。”

可以看到,一方面是办事端难以弥补的缝隙,另外一方面,引发账户入侵的则是猛烈的市场竞争下,互联网应用开辟者、各类企业对用户的争夺战。目前,国内有众多专门从事入侵账户的黑客,而其身后是。一位曾经采办过用户资料的开辟者小林奉告南都记者,最常见的情况有两种:一种是模仿剽窃某网站时,请黑客入侵同类网站的数据库,将该库信息进行简单修改后,再导入自己的网站,开辟本钱骤降;别的一种,则是由于营销需求索取特定的某种小我资料,如邮箱、手机号码等,主要是电商在用。“这些业务都有固定的QQ群或论坛,可以在里面提出自己的用户需求,再讨价还价。”小林奉告记者。

南都记者昨日测验测验进入多个相关的QQ群,都被通知“对方谢绝插手成员”,显示圈内风声渐紧。其后,记者辗转联系上一位黑客,向其体会了入侵网站数据库的过程。杨先生暗示,一般来讲黑客首先是进行“拖库”,取得网站的账户信息,然后再进行“洗库”和“撞库”,进行信息分层,寻找高价值的目标。“首先被选取的,是带有虚拟货币的QQ号码、游戏账户、支付宝账户等;然后,将用户的根基信息进行保存,比如密码习惯等,看是否适用于其他网站;之后,才是现成的电子信箱、家庭住址、手机号码等信息,倒卖给垃圾邮件、垃圾短信发送公司。”杨先生暗示:“目前互联网企业都讲‘开放’,提倡同一账号登岸多个网站,等于‘一号多用’,账户信息更不服安。”

抢速度后遗症

安天实验室首席手艺架构师肖新光暗示,眼下网络泄密的根来历根底因,从底子上看是曩昔10年,互联网开辟抢速度的后遗症。“互联网一定水平上是以速度生存的,而平安上斟酌更多无疑会影响开辟的效率和进度,也可能会影响用户的操作体验。因此,国内应用开辟脱离平安成长,对平安欠账较多。但未来的10年,平安性将是互联网企业的生存支点之一,这些欠账是需要陆续补上的。”

按照安天实验室普查的情况,国内网站账户信息使用明文存放、标准MD5存放的比率是比较高的,而这些体例都是不科学的。黑客杨先生就暗示,采取明文保存密码是用户信息泄露的关头,但即便是采取标准MD5进行加密存储,也可以通过彩虹表碰撞,进行破解。

肖新光建议,网站可以通过制定整体权限和数据拜候的策略;实时安装应用和补丁;提升应用的编码质量,提升对SQL注入的提防;还可将应用办事和数据库办事器分隔,将数据库办事器配置为只有需要拜候库的应用和办理才能拜候。“增强网站平安有很多的策略和体例,但很多需要较年夜的本钱,这其实不是年夜部分国内网站所能承受的。”肖新光弥补道。

此次泄密风波中,被普遍提及的“明文保存”,正是早年很多商业网站出于便利操作、节流本钱而采取的贮存体例。

此前,工业和信息化部已经就此次事件发布通告,对窃取和泄露用户信息暗示强烈谴责。工信部暗示,当即启动应急预案,组织相关通信办理局、国度计较机网络应急手艺措置协调中心(CNCERT)、网络平安专家和部分互联网企业,体会核实事件情况,评估事件影响和危害,研究提出应对办法。肖新光提醒,目前网络上呈现的泄密信息有效性仍需考据,要以办理部分的统计为准。“但里面确实有消息是不成靠的,有些所谓的数据库是一些用于骗P2P分数、甚至推广自身软件的假库。”

分享到:

网友评论

热门新闻资讯