【大紀元2011年12月27日訊】(大紀元記者高紫檀綜合報導)近日,中國互聯網遭遇了史上最大規模的用戶信息洩密事件,多家大型網站的用戶數據庫遭洩露,上億用戶賬號和密碼被公開。業內人士認為,這次洩露的信息只是「冰山」一角,依靠這些用戶信息,目前中國黑客的黑色產業鏈規模價值達上百億元。
上億中國網民資料被盜
近日,用戶名和密碼是否被盜,成為中國大陸網民最關心的事情。首先是國內最大的程序員社區CSDN上600萬用戶資料被公開,此後天涯社區、人人網、7K7K、貓撲等多個網站的用戶數據又相繼外洩。根據互聯網上可公開下載的數據統計,洩露的用戶信息多達上億條。
中國最早的黑客組織綠色兵團創始人、現COG信息安全組織創建人龔蔚更是直言,此次遭洩露的信息應該只是「冰山」一角。
大陸知名網站網絡安全專家方女士接受大紀元記者採訪時表示,目前,網絡安全還是很重要的。從上述洩密的這些網站本身來說安全有問題,另外,目前在國內黑客入門很簡單,基本就是給個工具就可以去用去攻擊,國內網站受到黑客攻擊是免不了的。
此前,CNNIC《第28次中國互聯網絡發展狀況統計報告》顯示,2011年上半年,有過賬號或密碼被盜經歷的網民達到1.21億人,占24.9%。
據360分析評估,上述被盜號的1.21億網民群體中,80%以上是因為黑客刷庫後獲取了網民的賬號密碼數據,危害遠遠超過盜號木馬。
黑色產業鏈規模價值上百億元
而給予這些黑客動力的除了興趣之外,就是驚人的利益。
有大陸互聯網專家稱,黑客盜取用戶信息的根本目的是為了倒賣信息賺錢,目前一條倒賣用戶信息的完整灰色產業鏈已經形成。
在今年9月的一場信息安全論壇上,Chown Group(信息安全專業委員會)發起者之一李麒曾表示,目前中國黑客的黑色產業鏈規模價值上百億元。
李麒舉例稱,某活躍於黑色產業鏈的知名黑客一年能夠賺五千多萬;一些大網站的數據庫明碼標價,一個庫端下來,價值六百多萬;黑色產業鏈的人還向一些網站收保護費,標準是一個月兩萬。
李麒稱,目前黑色產業鏈已經有了嚴格的代理制度,金牌總代、區域總代、一級總代、二級總代,製造木馬,大木馬里再裝小木馬,針對不同的遊戲都能做。此外,從製造木馬到買賣、銷售、分銷、洗信已經有了一條龍服務。
一般而言,單純倒賣用戶數據庫並不賺錢,有些數據庫經過多次交易後,幾百個賬號的價格只有幾分錢,因此不少黑客盜取用戶數據庫之後通過發佈詐騙信息、轉賣給黑公關或競爭對手等多種途徑完成利益最大化的變現。
例如,不少黑客利用密碼庫嚐試竊取QQ、MSN等聊天軟件賬號和微博、人人、郵箱等賬號,向好友發送借錢詐騙消息,發佈廣告信息或釣魚詐騙鏈接。
一些花銷頗多的網游用戶也是黑客攻擊的重點對象。一些遊戲廠商的用戶數據庫被黑客竊取後,可能被黑客轉賣給其競爭對手,成為競爭廠商爭奪用戶資源的「營銷對像」。金山網絡安全專家李鐵軍透露,這些數據在被剛盜取出來時售價非常昂貴,某些遊戲廠商上百萬的玩家用戶的資料包可以賣到百萬元的高價。
更嚴重的情況還有,當黑客利用密碼庫在網上支付平台自動批量發起交易,如果恰好試探出用戶洩露的密碼和網上支付密碼相同,支付賬戶中的餘額就可能被黑客全部盜取。
用戶數據加密儲存也不一定安全
這次從CSDN和天涯網站洩露出來的數據庫都是採用了明文密碼,即密碼不加密儲存,這兩個網站也都表示被洩露的是2009年前的數據庫,而最近的數據庫都是採用了數據加密儲存。
不過,即使加密儲存也不代表安全。《東方早報》報導稱,COG信息安全組織創建人龔蔚表示,目前的密碼數據庫均是通過哈希函數的方式進行加密,存儲的數據是用戶密碼的哈希值。但是哈希函數並非萬無一失,兩個不同的密碼可能哈希值會一樣,這種情況被成為「碰撞」,而這正是黑客用來竊取數據庫獲得信息的途徑。
龔蔚稱,目前的加密算法,即哈希函數都是公開的,除非自己設計一個很好的能夠避免出現「碰撞」的哈希算法,否則現有的大眾哈希函數都可以通過「碰撞」的方式進行破解。
黑客手中掌握了大量的碰撞庫,這些都是常用密碼所對應的哈希值,一旦有密碼數據庫洩露,黑客就會比對其中的哈希值與手中的碰撞庫,如果匹配成功,就能找到用戶的原始密碼。
中國互聯網公司的信息安全支出不足IT支出1%
方女士說,各大網站也很關注互聯網安全這一塊,但網絡安全跟日常管理等各個方面都有相關,並不容易,洩密原因眾多。
《21世紀經濟報導》引用一位互聯網行業人士的觀點稱,目前中國只有瀏覽量在前100的網站有自己專業的安全運維人員,前1000的網站有安全產品或服務的採購,大部份網站都沒有專業的安全團隊。
另外,據該人士介紹,互聯網公司建立自己的安全運維團隊需要的成本投入很大。比如,大型B2C購物網站每年的安全運維投入需要達到千萬元級別,小一點的網站也需要幾百萬。但是目前,這些公司的安全投入不過幾百萬,有的只有幾十萬。
而從整個行業來看,據一家券商TMT研究部門的調研數據,目前,中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業,其信息安全支出在整個IT支出中佔到10%。相比之下,互聯網行業的安全投入有些「捉襟見肘」。
(責任編輯:徐亦揚)