“密碼門事件”不斷升級,越來越多的網站加入“淪陷”名單。
12月27日晚,中國計算機學會青年計算機科技論壇廣州分會(以下簡稱CCF廣州)召開了 “互聯網用戶資料泄露事件緊急會議”。16名與會專家一致認為,這次事件是迄今為止“中國互聯網史上最大信息泄露事件。”
這樣的“大事件”百年難遇,一向躁動的互聯網開始“按捺不住”。不少網站借機渾水摸魚,打起了那些“裸奔”的用戶信息的主意。它們向用戶郵箱發“更名密碼”的通知,吸引用戶,而這些郵箱之前并沒有在該網站注冊。
面對突如其來的大規模用戶信息泄露,諸如CSDN、天涯等信息被泄露網站顯得有些“手足無措”。
“以前,論壇并沒有被列入安全等級要求,并不屬于敏感數據。” CSDN總裁蔣濤表示很無奈,沒想到,這一次CSDN成了“眾矢之的”。
CCF廣州的專家們呼吁,由工信部門和公安部門牽頭,成立專門的調查組,針對本次事件進行調查,并公布調查結果。他們同時建議,針對用戶資料和個人隱私,政府盡快建立法律法規進行規范,以維護個人權益。
渾水摸魚
看著“免費”的真實用戶數據,不少網站自然無法克制自己“垂涎三尺”的欲望。
“有些網站把這些公開庫的數據直接導入自己的用戶庫,也發通知給用戶更改密碼,來獲取用戶。有些網站趁機通知用戶更改密碼,乘機激活用戶。”蔣濤在接受記者采訪時說道。
幾千萬的用戶信息完全裸露在透明的互聯網上。看著“免費”的真實用戶數據,不少網站自然無法克制自己“垂涎三尺”的欲望。
據新浪微博上的一位用戶透露,一些網站亦向自己發送了邀請郵件,如本地生活信息類網站、比價返利網站,以及本地生活類網站。對此,58同城CEO姚勁波予以否認:“58同城只是比對公開庫,如果在58注冊的用戶名、密碼和公開庫一樣,那么會發郵件通知,并沒有借機拉新用戶。”
即使是給注冊用戶發送郵件,那么也能夠“喚醒”不少沉睡的用戶。一位互聯網專家以騰訊QQ為代表舉例道,目前,騰訊QQ的注冊用戶近10億,日活躍用戶約為1.6億。他告訴記者,騰訊的活躍用戶比例算是很高的,其他網站更低,有些用戶甚至忘記了注冊過的網站的用戶名與密碼。
“一夜之間,中小網站擁有幾千萬潛在用戶。”一位中小網站的站長告訴記者,這些公開的信息資料不需要花錢購買,平常做點郵件營銷都需要花錢買郵箱。在這樣的利益驅動下,許多中小網站開始蜂擁而上。
據他介紹,對中小網站來說,只要有幾萬用戶就是一個“相當有規模”的網站,每個月幾千名活躍用戶帶來的流量可以賺取1萬多元。雖然郵件帶來的用戶注冊率很低,一般只有1%,但由于這次泄露的郵箱數據都是百萬、千萬級別,集結在一起,數量就相當可觀。
不僅中小站長獲益,而且那些利用機器發帖、刷僵尸粉的網絡水軍公司也獲益頗多。“這些公司甚至都不用再用機器去注冊了,直接使用這些賬號就可以了。”中小網站站長風妖告訴記者。
公開信息的泄露更激起了網絡犯罪的“浪潮”。反釣魚網站聯盟相關負責人表示,這幾天,網絡釣魚、垃圾郵件的活躍度增強。“這兩天,垃圾郵件暴增。”一位天涯賬號被泄露的用戶抱怨。
泄密網站應對差
只有少部分信息泄露的網站給用戶的注冊郵箱發送了更改密碼的通知郵件。
據一位不愿意透露名字的CSDN用戶介紹,她的CSDN賬戶信息被泄露,通過一連串事件,搜狐、Gmail、網易、雅虎等郵箱全部“淪陷”,一覺起來全部無法登錄。這些郵箱是她登錄論壇、SNS、支付寶,以及各種購物網站的方式,“綁定”了她所有的互聯網生活。由于各個郵箱之間錯綜復雜的關聯,她無法通過密碼取回的方式來取回這些郵箱。
“我只有將全部的信用卡、所有用過網上支付的卡都凍結了,搞得現金流緊張。”她苦笑,為了這件事情,她花了整整一天的時間。接下來,還要花不少時間來重新注冊郵箱、網站,開始她的互聯網生活。
“這些企業在保護用戶信息時,沒有盡到應盡的責任,后來的補救工作也做得不到位。” CCF成員、華南師范大學計算機學院副院長單志龍在接受記者采訪時認為。
據記者多方調查,目前,只有少部分信息泄露的網站給用戶的注冊郵箱發送了更改密碼的通知郵件。大多網站只是通過公告、站內信的方式來通知用戶更改密碼。如,天涯、人人、飛信等網站在登錄頁面通知,果殼、知乎等網站通過郵件通知。
對于用戶信息大規模泄露的CSDN、天涯來說,郵件通知也并不合適。因為,用戶名與密碼已經泄露,會使得許多郵箱無故被盜,往郵箱里發郵件,真正的收件人是黑客。
蔣濤坦言,CSDN一直在努力補救。12月21日,CSDN的用戶信息泄露后,他立刻聯系了網易、QQ、263、新浪等郵件服務商,讓其幫忙向用戶發郵件,更改密碼。
“即便是找代發郵件的公司,一臺機器一天也只能發幾十萬封,600萬封郵件也需要一兩天的功夫,無法在當天完成。并且,找郵件代發公司并不安全。”蔣濤覺得左右為難。
在“密碼門”泄露期間,“密碼泄露查詢”網站大受追捧。據了解,金山網絡、星云融創等安全廠商都推出了類似的密碼泄露查詢服務。
“我們已經承認對這些泄露的賬號和密碼負責,這些數據就屬于我們公司的商業‘機密’。”蔣濤則認為,在法律上,這些在線查詢賬號的平臺,實際上侵犯了諸如CSDN、天涯等信息被泄露公司的權利。
