【大纪元2011年12月27日讯】(大纪元记者高紫檀综合报导)近日,中国互联网遭遇了史上最大规模的用户信息泄密事件,多家大型网站的用户数据库遭泄露,上亿用户账号和密码被公开。业内人士认为,这次泄露的信息只是“冰山”一角,依靠这些用户信息,目前中国黑客的黑色产业链规模价值达上百亿元。
上亿中国网民资料被盗
近日,用户名和密码是否被盗,成为中国大陆网民最关心的事情。首先是国内最大的程序员社区CSDN上600万用户资料被公开,此后天涯社区、人人网、7K7K、猫扑等多个网站的用户数据又相继外泄。根据互联网上可公开下载的数据统计,泄露的用户信息多达上亿条。
中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言,此次遭泄露的信息应该只是“冰山”一角。
大陆知名网站网络安全专家方女士接受大纪元记者采访时表示,目前,网络安全还是很重要的。从上述泄密的这些网站本身来说安全有问题,另外,目前在国内黑客入门很简单,基本就是给个工具就可以去用去攻击,国内网站受到黑客攻击是免不了的。
此前,CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。
据360分析评估,上述被盗号的1.21亿网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据,危害远远超过盗号木马。
黑色产业链规模价值上百亿元
而给予这些黑客动力的除了兴趣之外,就是惊人的利益。
有大陆互联网专家称,黑客盗取用户信息的根本目的是为了倒卖信息赚钱,目前一条倒卖用户信息的完整灰色产业链已经形成。
在今年9月的一场信息安全论坛上,Chown Group(信息安全专业委员会)发起者之一李麒曾表示,目前中国黑客的黑色产业链规模价值上百亿元。
李麒举例称,某活跃于黑色产业链的知名黑客一年能够赚五千多万;一些大网站的数据库明码标价,一个库端下来,价值六百多万;黑色产业链的人还向一些网站收保护费,标准是一个月两万。
李麒称,目前黑色产业链已经有了严格的代理制度,金牌总代、区域总代、一级总代、二级总代,制造木马,大木马里再装小木马,针对不同的游戏都能做。此外,从制造木马到买卖、销售、分销、洗信已经有了一条龙服务。
一般而言,单纯倒卖用户数据库并不赚钱,有些数据库经过多次交易后,几百个账号的价格只有几分钱,因此不少黑客盗取用户数据库之后通过发布诈骗信息、转卖给黑公关或竞争对手等多种途径完成利益最大化的变现。
例如,不少黑客利用密码库尝试窃取QQ、MSN等聊天软件账号和微博、人人、邮箱等账号,向好友发送借钱诈骗消息,发布广告信息或钓鱼诈骗链接。
一些花销颇多的网游用户也是黑客攻击的重点对象。一些游戏厂商的用户数据库被黑客窃取后,可能被黑客转卖给其竞争对手,成为竞争厂商争夺用户资源的“营销对像”。金山网络安全专家李铁军透露,这些数据在被刚盗取出来时售价非常昂贵,某些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价。
更严重的情况还有,当黑客利用密码库在网上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和网上支付密码相同,支付账户中的余额就可能被黑客全部盗取。
用户数据加密储存也不一定安全
这次从CSDN和天涯网站泄露出来的数据库都是采用了明文密码,即密码不加密储存,这两个网站也都表示被泄露的是2009年前的数据库,而最近的数据库都是采用了数据加密储存。
不过,即使加密储存也不代表安全。《东方早报》报导称,COG信息安全组织创建人龚蔚表示,目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被成为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。
龚蔚称,目前的加密算法,即哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。
黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值,一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,如果匹配成功,就能找到用户的原始密码。
中国互联网公司的信息安全支出不足IT支出1%
方女士说,各大网站也很关注互联网安全这一块,但网络安全跟日常管理等各个方面都有相关,并不容易,泄密原因众多。
《21世纪经济报导》引用一位互联网行业人士的观点称,目前中国只有浏览量在前100的网站有自己专业的安全运维人员,前1000的网站有安全产品或服务的采购,大部分网站都没有专业的安全团队。
另外,据该人士介绍,互联网公司建立自己的安全运维团队需要的成本投入很大。比如,大型B2C购物网站每年的安全运维投入需要达到千万元级别,小一点的网站也需要几百万。但是目前,这些公司的安全投入不过几百万,有的只有几十万。
而从整个行业来看,据一家券商TMT研究部门的调研数据,目前,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%~10%。而国内,对安全性要求比较高的金融行业,其信息安全支出在整个IT支出中占到10%。相比之下,互联网行业的安全投入有些“捉襟见肘”。
(责任编辑:徐亦扬)
