安全支出不足1%：互联网用户信息“裸奔”揭秘

教师之友网

安全支出不足1%：互联网用户信息“裸奔”揭秘

文章来源：21世纪网-《21世纪经济报道》    2011-12-27

你的密码还安全吗? 　　12月25日，天涯社区的4000万用户信息被泄漏，占到天涯用户总数的60%。到目前为止，这起信息泄漏事件的始作俑者仍未查出。 　　多家互联网公司的用户数据库被大规模泄露。12月21日，知名程序员网站CSDN的600万用户数据被泄漏。此前，用户信息泄漏事件涉及到多玩网、人人网、猫扑、新浪微博、7K7K小游戏、嘟嘟牛、178游戏等互联网公司。12月26日，人人网、新浪微博等公开否认用户信息被泄露。 　　互联网用户信息泄漏由来已久。“200元购买4万个老总的手机号”类似贩卖信息在互联网上呈泛滥之势。“用户信息泄漏伤害的是用户本身，并不损害互联网公司的利益。”一位互联网行业人士评价说。 　　信息泄露程度难估 　　对于部分互联网公司而言，最值钱的就是用户数据，这些数据随时可以售卖变现;另一方面，互联网企业在安全方面投入甚少，也变相造成了用户信息的“裸奔”。 　　用户信息遭到泄露的互联网公司“人人自危”，纷纷自查用户数据库，同时以邮件、短信等方式通知用户更改个人密码。 　　多玩网相关负责人告诉记者，目前，多玩网正在确认被泄漏用户的数量与程度，负责安全的技术人员正在接受排查。 　　有大量实名用户的网站对信息泄漏事件则一口否认。人人网的官方回复称，人人网对用户信息采取的不是明文存储方式，也并没有泄漏用户信息的情况。新浪则回复道，新浪微博的用户密码并没有被盗取，并且已经采取了更加严格的保护措施。 　　“由于关联性，用户信息泄漏到什么程度，现在还很难估量。”金山毒霸反病毒工程师李铁军认为，大部分用户往往使用同一个用户名和密码登录多个网站。 　　李举例道，一个邮箱往往关联十几个互联网服务，包括常用邮箱、论坛、网站、SNS、购物、支付等。用户不仅会收到大量的垃圾短信与邮件，还会将病毒通过SNS传至朋友，支付账户的余额很可能被窃取。对于游戏类的玩家来说，账户里的装备可能一夜之间被人“顺手牵羊”，辛苦几年练出来的级别瞬间“化为乌有”。 　　不仅如此，对于企业用户来说，将更加危险。获得这些用户数据的企业或个人，可以通过多种手段搜寻到最有价值的企业账户，往往可以获得企业邮箱，进而获取企业的经营内容甚至商业机密。 　　“随着互联网用户的暴增，各家都会保存数据用以分析用户行为，所以互联网上的安全风险增大。”前文所述的互联网行业人士认为，一旦执行实名制，由于互联网安全不规范，那么存在的隐患就更大。

教师之友网

由来已久的用户信息贩卖　　“实际上，自互联网诞生之日起，互联网用户数据的交易就开始了。”李铁军告诉记者，现在暴露出来是因为用户信息经过多次贩卖，已经变得“廉价”，甚至免费了，之前用户信息的价格非常高。
　　互联网公司的盈利模式基本分为两种，一是广告，二是向用户收费。这两种模式的共同基础是，为用户提供某个免费产品或服务以获得流量，再通过广告或道具收费来赚钱。前者如新闻门户，后者如游戏公司。但是，互联网“免费”的模式使得这些公司赚钱需要花费的时间比较长，并且很多互联网公司在创业过程中倒闭了。
　　对于互联网公司而言，最值钱的就是用户数据。只要拥有了这些数据，就可以做定向的广告推送，还可以分析用户的行为，进行更具针对性的营销。其中，游戏、SNS网站用户的信息价值最可观。业内估计，1000万游戏用户的信息价值达到几百万甚至上千万元。
　　“所有的网站都"死守"这些用户数据，它们可以随时变现。”前述互联网行业人士说道。
　　因此，接下来的现象就屡见不鲜。某些网站的用户想注销账户，却被提示无法注销。在SNS网站上，用户注销后，相关的信息并不会删除，用户再用相同的邮箱注册，之前的个人信息、记录、日志、照片全部可以恢复。那些倒闭的网站，绝大部分不会销毁用户数据。
　　这些有价值的用户信息是如何被泄漏出去的呢?
　　一位业内人士告诉记者，一般而言，信息泄漏有两个渠道：一是“黑客”攻破公司的防火墙，盗取存于服务器上的用户信息;二是某些网站主动售卖用户数据，以谋取利益。
　　获得用户信息后，这些贩卖者就会泡在论坛、社交网站甚至黑客网站里。因为这里存在大量的求购或贩卖用户信息的需求。而交易双方一般通过互联网进行交易，并不见面。
　　一位不愿意透露姓名的行业人士告诉记者，由于购买用户信息代价不菲，那些花高价买了用户信息的人会想办法将这些信息再兜售出去。由于电子化的信息售卖起来很方便，会导致用户信息被多次转手泄露。
　　“用户信息泄漏，并不会损害互联网公司的利益，只是用户受到损失。”这位互联网人士告诉记者，这样的机制让用户“反抗无效”，只有“任人宰割”。

教师之友网

　安全投入不足1%　　“现在泄露的用户信息都是直接保存密码原文(明文)，没做任何加密。”金山快盘CTO杨钢告诉记者，如果做了不可逆加密后，即使数据库被拖走，里面的密码也解不开，只能看到用户名。
　　道高一尺，魔高一丈。对于常用的加密方法，黑客已经搜集到了大量的解密方法，破解起来并不是一件难事。
　　“互联网公司对安全性心存矛盾。”李铁军认为，对于互联网公司来说，产品的用户体验是第一位。形成好的用户体验往往是简单、易用的产品，安全往往与复杂对应，会在一定程度上影响易用性。因此，无一例外，互联网公司都优先选择了用户体验。
　　一位互联网安全专家告诉记者，很多网站采用明文密码的方式让用户信息“裸奔”，即便对安全性有所重视，也只是选择MD5方式(一种加密算法)，一般不会选择SHA1方式。因为虽然SHA1比MD5强度高，但是MD5比SHA1快，互联网需要的就是快。但是MD5并不完全可靠，若要保证用户的安全，最好选择SHA1。
　　李铁军认为，安全防护不只是一个技术问题，企业也不只是安装了防火墙和杀毒软件就完成了安全防护，需要专人来实时监控。安全运维人员需要根据访问列表来及时辨别哪些是入侵，哪些是正常访问，并进行及时处理。
　　“目前，中国只有浏览量在前100的网站有自己专业的安全运维人员，前1000的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”一位互联网行业人士坦言。
　　据该人士介绍，互联网公司建立自己的安全运维团队，需要的成本投入很大。比如，大型B2C购物网站每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。但是目前，这些公司的安全投入不过几百万，有的只有几十万。
　　而从整个行业来看，据一家券商TMT研究部门的调研数据，目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其信息安全支出在整个IT支出中占到10%。相比之下，互联网行业的安全投入有些“捉襟见肘”。
　　“再不注意保护用户信息，互联网公司的品牌将会受极大伤害。”李铁军认为，安全就像是大楼里的消防措施，平常看起来并没有发挥多大作用，但一旦发生问题，如果安全不到位，那么造成的损害会很大。