从近期某些网站用户数据被盗看国内计算机安全百态
其实个人计算机终端安全已经有好几年没有受到真正的安全威胁,网络安全一词几乎已经被人遗忘。但是在2011年最后一个月却却风云突变,21日CSDN的用户数据库大规模泄露,22日多玩,178等知名网站也爆出用户数据外泄。一时间风声鹤唳,人人自危...
但是此次安全事情却暴露出很多深层次的问题。
一,相关网站缺乏危机管理机制
首先我们几乎可以肯定所有被爆泄露的网站都是被人利用一个或多个共同的安全漏洞引发(
PHP和MYSQL的拖库漏洞),而且现有信息看数据在12月4日之前就已经被被盗!而且事件热炒是在21日达到顶峰,就是说在保守估计近20天中相关网站并没有察觉自己上百M的用户数据被盗!
而在22日更多的网站数据被泄露后,迅雷等下载服务商上已经开始封掉相关下载的情况,绝大多数相关网站依旧没有提示用户个人信息存在风险,建议用户修改密码...
可见我们绝大多数网站根本就没有做好安全防范工作,有些网站甚至没有对用户信息进行加密而是采用明文保存,用户的个人信息完在相关网站根本就是没有得到妥善的保护,甚至可说没有任何保护。
而且在问题扩大化后我们相关网站也没有任何危机管理机制,在用户数据漫天飞的情况下绝大多数网站才取“鸵鸟”政策,完全漠视相关的问题,没有提示用户个人信息存在泄露风险。
二,安全厂商安全底线的沦丧
我开始想使用“缺失”一词代替“沦丧”,但是后来发现后者更贴切
这个事件继测试门后把又一名金山员工抛到风口浪尖,因为无比强大的“某网友”爆料公开用户数据下载是金山一名工作人员。一下子又把金山放在舆论的镁光灯下。后来金山不得不发一篇新闻稿来澄清,但是看过之后疑问不但没有减少反而引发新的问题。
首先金山非常不负责任的公开本来很小众的某漏洞网站信息和某人(这里我只能说是某人,因为相关机关到没有表态所以也称不上什么嫌疑人)所以我加码
从金山的新闻稿看这位工作人员只是在网上获得的用户库而用户库分链到删除只有不到5名身边同事下载,那为什么网上怎么会从分链追查到这位员工?其次金山非常不负责的公布很多相关细节,个人认为对这个事件解决起不到任何积极帮助反倒是帮了倒忙,而且更关键的金山公布相关链接以及相关链接的拓展链接中都没用直接用户数据的下载,反还泄露一些原始证据。
现在又爆出爆料金山员工的那位“某网友”和360又扯上关系,看样我们安全厂商都已经沦为娱乐公司了,任何事情都可以炒,以炒为目的......23日安全厂商都在干什么?看对手“拖库”没有。结果各自都是“一 脱 到 底”的毫无保留的“坦然”相对。
戏剧化?是所有安全厂商的悲哀,也是用户悲哀我们的安全软件都干了些什么!国货当自强呀!!!
三,也许.....才最可怕
4日之前用户信息就已经被泄露了,而且从目前来看目前被曝光的用户数据也只是一小部分,可能还有更多更大更关键的还没有被爆出.所以安全起见我还是
建议大家修改掉所有关键密码吧!毕竟没公布才是最可怕的!!!
这次事件反映我国内计算机安全绝非已经是天下太平,用户长时间处于相对平静的安全环境下安全意识已经逐渐麻痹,而涉及的相关网站不但是毫无安全意识而且在事态扩大后也不作为吧用户数据直接置于极度危险的境地下。还是那句话我们安全很多都是自欺欺人。
而我们的一些安全厂商在日渐残酷的竞争之下也逐渐丧失自己应有的安全底线!作为一个安全厂商链起码的职业道德都会被质疑的情况下还谈何安全?当然这里我不仅仅只是说金山,其它安全厂商在生存的压力下也不见得没做什么亏心事,市场竞争固然残酷,商战也少不了尔虞我诈。但是任何一名从业人员尤其是安全厂商的员工都应该恪守自己的安全底线和道德表标准,毕竟作为保护安全用户的服务商信用是第一生命!!!如果您没有自己的道德标准,用户如何能相信你们到底是保护数据还是窃取数据呢?
康德曾经说过这个世界上唯能震撼我心的,一是我头顶灿烂的星空,二是我心中的道德法则。
