“所有的網站都 死守 這些用戶數據,它們可以隨時變現。”前述互聯網行業人士說道。
因此,接下來的現象就屢見不鮮。某些網站的用戶想注銷賬戶,卻被提示無法注銷。在SNS網站上,用戶注銷后,相關的信息并不會刪除,用戶再用相同的郵箱注冊,之前的個人信息、記錄、日志、照片全部可以恢復。那些倒閉的網站,絕大部分不會銷毀用戶數據。
這些有價值的用戶信息是如何被泄漏出去的呢?
一位業內人士告訴記者,一般而言,信息泄漏有兩個渠道:一是“黑客”攻破公司的防火墻,盜取存于服務器上的用戶信息;二是某些網站主動售賣用戶數據,以謀取利益。
獲得用戶信息后,這些販賣者就會泡在論壇、社交網站甚至黑客網站里。因為這里存在大量的求購或販賣用戶信息的需求。而交易雙方一般通過互聯網進行交易,并不見面。
一位不愿意透露姓名的行業人士告訴記者,由于購買用戶信息代價不菲,那些花高價買了用戶信息的人會想辦法將這些信息再兜售出去。由于電子化的信息售賣起來很方便,會導致用戶信息被多次轉手泄露。
“用戶信息泄漏,并不會損害互聯網公司的利益,只是用戶受到損失。”這位互聯網人士告訴記者,這樣的機制讓用戶“反抗無效”,只有“任人宰割”。
安全投入不足1%
“現在泄露的用戶信息都是直接保存密碼原文(明文),沒做任何加密。”金山快盤CTO楊鋼告訴記者,如果做了不可逆加密后,即使數據庫被拖走,里面的密碼也解不開,只能看到用戶名。
道高一尺,魔高一丈。對于常用的加密方法,黑客已經搜集到了大量的解密方法,破解起來并不是一件難事。
“互聯網公司對安全性心存矛盾。”李鐵軍認為,對于互聯網公司來說,產品的用戶體驗是第一位。形成好的用戶體驗往往是簡單、易用的產品,安全往往與復雜對應,會在一定程度上影響易用性。因此,無一例外,互聯網公司都優先選擇了用戶體驗。
一位互聯網安全專家告訴記者,很多網站采用明文密碼的方式讓用戶信息“裸奔”,即便對安全性有所重視,也只是選擇MD5方式(一種加密算法),一般不會選擇SHA1方式。因為雖然SHA1比MD5強度高,但是MD5比SHA1快,互聯網需要的就是快。但是MD5并不完全可靠,若要保證用戶的安全,最好選擇SHA1。
李鐵軍認為,安全防護不只是一個技術問題,企業也不只是安裝了防火墻和殺毒軟件就完成了安全防護,需要專人來實時監控。安全運維人員需要根據訪問列表來及時辨別哪些是入侵,哪些是正常訪問,并進行及時處理。
“目前,中國只有瀏覽量在前100的網站有自己專業的安全運維人員,前1000的網站有安全產品或服務的采購,大部分網站都沒有專業的安全團隊。”一位互聯網行業人士坦言。
據該人士介紹,互聯網公司建立自己的安全運維團隊,需要的成本投入很大。比如,大型B2C購物網站每年的安全運維投入需要達到千萬元級別,小一點的網站也需要幾百萬。但是目前,這些公司的安全投入不過幾百萬,有的只有幾十萬。
而從整個行業來看,據一家券商TMT研究部門的調研數據,目前,中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業,其信息安全支出在整個IT支出中占到10%。相比之下,互聯網行業的安全投入有些“捉襟見肘”。
“再不注意保護用戶信息,互聯網公司的品牌將會受極大傷害。”李鐵軍認為,安全就像是大樓里的消防措施,平常看起來并沒有發揮多大作用,但一旦發生問題,如果安全不到位,那么造成的損害會很大。
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
