????公安专案组通过大量侦察工作,最终锁定嫌疑人,并于2012年2月4日在浙江温州非法获取计算机信息系统数据罪将嫌疑人曾某抓获。经初步审查,犯罪分子于2010年4月利用CSDN网站漏洞,非法侵入服务器获取用户数据。
????同时,北京警方对CSDN网站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄漏的主要原因。依据《中华人民共和国计算机信息系统安全保护条例》相关规定,对北京创新乐知信息技术有限公司做出行政警告处罚
????CSDN”密码外泄门”事件最不可思议的地方在于,像这样以程序员和开发为核心的大型网站,居然采用明文存储密码,导致海量用户的账号信息包括密码直接被泄露。稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,用户密码破解也不是一件容易的事情。此次事件说明CSDN的创建团队和运营团队的安全意识不强,管理不到位。
????CSDN并不是个例,国内互联网公司普遍存在两个现状,一是重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。根据第三方数据安全审计公司对各网站的扫描结果显示,80%以上的互联网公司都存在着漏洞,有安全策略的公司60%以上还存在着漏洞,这是我们互联网的现状。
????被泄露的这些信息极有可能被用到以下几个方面:
????1)直接通过被泄露的信息攻击用户,如盗取用户虚拟资产、恶意操作等;
????2)通过账户的相关性,攻击同一用户的其他系统;
????3)将这些数据出售给竞争对手;
????4)向特定用户发送垃圾广告获取利益。
????CSDN事后向用户发表了公开道歉信,并恳切地请求用户修改CSDN密码以及使用同一密码的其他相关网站的密码,但用户修改密码只是“治标”,网站改变数据存放策略才是“治本”。
????1、对于类似CSDN这样的服务商而言,是绝对不可以用明文方式保存用户名与密码的。所有通过联网使用,需要用户注册账号的业务系统,都应采取高强度加密方法对账号、密码分别进行保存。
????撞库需要满足两个条件,一个是泄露了一个网站的用户信息,另一个是被试登陆的网站存在该用户且密码相同,那么防范措施自然也要从破坏这两个条件入手。
????2、对于普通用户而言,应增强网络安全意识,在互联网时代,网络安全意识应该像日常交通安全意识一样,作为常识被确立。以CSDN为例,作为国内权威的技术论坛,该社区的用户在技术方面堪称专业,但流出的CSDN密码却显示,大批用户使用的竟是“12345678”“11111111”这样超简单的密码。所以我们首先要有一个较强的网络安全意识。
1、健全网络信息安全的法律法规
????
保护公民个人信息,既要将运用刑法打击侵害公民个人信息犯罪常态化,法律范围要扩大,不能只盯着犯罪分子,涉事企业同样要追责。同时,也要完善相关法律,从民法、行政法的角度来进行综合治理。
2、提升企业信息安全意识
3、优化企业管理
????CSDN网站直到2009年4月才由程序员修改了密码保存方式,改成了加密密码,但是2009年4月之前的密码仍然明文存储。为什么没有对之前的用户密码进行加密处理呢?为什么没有将用户信息作为一个整体来进行管理呢?这就体现了网站企业管理上存在混乱,需要进一步优化。更为严重的是CSDN并不是个例,国内大部分互联网企业都应该提起重视。