“所有的網(wǎng)站都 死守 這些用戶數(shù)據(jù)�����,它們可以隨時(shí)變現(xiàn)�。”前述互聯(lián)網(wǎng)行業(yè)人士說(shuō)道�����。
因此�,接下來(lái)的現(xiàn)象就屢見(jiàn)不鮮。某些網(wǎng)站的用戶想注銷賬戶���,卻被提示無(wú)法注銷。在SNS網(wǎng)站上�����,用戶注銷后��,相關(guān)的信息并不會(huì)刪除�����,用戶再用相同的郵箱注冊(cè),之前的個(gè)人信息�、記錄�、日志��、照片全部可以恢復(fù)。那些倒閉的網(wǎng)站,絕大部分不會(huì)銷毀用戶數(shù)據(jù)��。
這些有價(jià)值的用戶信息是如何被泄漏出去的呢��?
一位業(yè)內(nèi)人士告訴記者�,一般而言���,信息泄漏有兩個(gè)渠道:一是“黑客”攻破公司的防火墻��,盜取存于服務(wù)器上的用戶信息��;二是某些網(wǎng)站主動(dòng)售賣用戶數(shù)據(jù),以謀取利益。
獲得用戶信息后��,這些販賣者就會(huì)泡在論壇����、社交網(wǎng)站甚至黑客網(wǎng)站里。因?yàn)檫@里存在大量的求購(gòu)或販賣用戶信息的需求。而交易雙方一般通過(guò)互聯(lián)網(wǎng)進(jìn)行交易�����,并不見(jiàn)面�����。
一位不愿意透露姓名的行業(yè)人士告訴記者�,由于購(gòu)買用戶信息代價(jià)不菲,那些花高價(jià)買了用戶信息的人會(huì)想辦法將這些信息再兜售出去�����。由于電子化的信息售賣起來(lái)很方便��,會(huì)導(dǎo)致用戶信息被多次轉(zhuǎn)手泄露�。
“用戶信息泄漏�,并不會(huì)損害互聯(lián)網(wǎng)公司的利益�����,只是用戶受到損失��。”這位互聯(lián)網(wǎng)人士告訴記者,這樣的機(jī)制讓用戶“反抗無(wú)效”����,只有“任人宰割”���。
安全投入不足1%
“現(xiàn)在泄露的用戶信息都是直接保存密碼原文(明文)����,沒(méi)做任何加密����。”金山快盤CTO楊鋼告訴記者,如果做了不可逆加密后,即使數(shù)據(jù)庫(kù)被拖走�����,里面的密碼也解不開(kāi)����,只能看到用戶名。
道高一尺,魔高一丈�����。對(duì)于常用的加密方法�,黑客已經(jīng)搜集到了大量的解密方法,破解起來(lái)并不是一件難事。
“互聯(lián)網(wǎng)公司對(duì)安全性心存矛盾。”李鐵軍認(rèn)為�����,對(duì)于互聯(lián)網(wǎng)公司來(lái)說(shuō)����,產(chǎn)品的用戶體驗(yàn)是第一位���。形成好的用戶體驗(yàn)往往是簡(jiǎn)單��、易用的產(chǎn)品����,安全往往與復(fù)雜對(duì)應(yīng)����,會(huì)在一定程度上影響易用性。因此��,無(wú)一例外��,互聯(lián)網(wǎng)公司都優(yōu)先選擇了用戶體驗(yàn)�����。
一位互聯(lián)網(wǎng)安全專家告訴記者,很多網(wǎng)站采用明文密碼的方式讓用戶信息“裸奔”�����,即便對(duì)安全性有所重視��,也只是選擇MD5方式(一種加密算法)�,一般不會(huì)選擇SHA1方式。因?yàn)殡m然SHA1比MD5強(qiáng)度高�,但是MD5比SHA1快����,互聯(lián)網(wǎng)需要的就是快����。但是MD5并不完全可靠����,若要保證用戶的安全,最好選擇SHA1��。
李鐵軍認(rèn)為����,安全防護(hù)不只是一個(gè)技術(shù)問(wèn)題,企業(yè)也不只是安裝了防火墻和殺毒軟件就完成了安全防護(hù)���,需要專人來(lái)實(shí)時(shí)監(jiān)控。安全運(yùn)維人員需要根據(jù)訪問(wèn)列表來(lái)及時(shí)辨別哪些是入侵�,哪些是正常訪問(wèn)��,并進(jìn)行及時(shí)處理。
“目前��,中國(guó)只有瀏覽量在前100的網(wǎng)站有自己專業(yè)的安全運(yùn)維人員����,前1000的網(wǎng)站有安全產(chǎn)品或服務(wù)的采購(gòu),大部分網(wǎng)站都沒(méi)有專業(yè)的安全團(tuán)隊(duì)�����!币晃换ヂ(lián)網(wǎng)行業(yè)人士坦言���。
據(jù)該人士介紹���,互聯(lián)網(wǎng)公司建立自己的安全運(yùn)維團(tuán)隊(duì)��,需要的成本投入很大。比如,大型B2C購(gòu)物網(wǎng)站每年的安全運(yùn)維投入需要達(dá)到千萬(wàn)元級(jí)別,小一點(diǎn)的網(wǎng)站也需要幾百萬(wàn)����。但是目前�,這些公司的安全投入不過(guò)幾百萬(wàn)���,有的只有幾十萬(wàn)�����。
而從整個(gè)行業(yè)來(lái)看��,據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù),目前,中國(guó)互聯(lián)網(wǎng)公司的信息安全支出�����,在整體IT支出中的比例不到1%�����,歐美的比例是8%~10%�����。而國(guó)內(nèi),對(duì)安全性要求比較高的金融行業(yè),其信息安全支出在整個(gè)IT支出中占到10%�。相比之下���,互聯(lián)網(wǎng)行業(yè)的安全投入有些“捉襟見(jiàn)肘”���。
“再不注意保護(hù)用戶信息,互聯(lián)網(wǎng)公司的品牌將會(huì)受極大傷害�����。”李鐵軍認(rèn)為,安全就像是大樓里的消防措施�,平�����?雌饋(lái)并沒(méi)有發(fā)揮多大作用,但一旦發(fā)生問(wèn)題,如果安全不到位���,那么造成的損害會(huì)很大。 本新聞共 2頁(yè),當(dāng)前在第 2頁(yè) 1 2 想認(rèn)識(shí)全國(guó)各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來(lái)加入“中國(guó)創(chuàng)業(yè)圈”
|
