“為發(fā)燒而生”的小米發(fā)生用戶數(shù)據(jù)泄露,800萬用戶私密信息面臨威脅。盡管數(shù)據(jù)遭泄露已不是新鮮事,但此次涉及用戶短信、通訊錄等私密信息,部分涉事用戶頗為恐慌。公民個人信息泄露事件頻發(fā),令人唏噓無奈。究竟該誰為用戶數(shù)據(jù)安全負責?
小米800萬用戶信息泄露 涉及短信、通訊錄等
13日晚間,有爆料稱小米論壇用戶數(shù)據(jù)庫疑似泄露,涉及用戶約800萬。經(jīng)烏云漏洞報告平臺證實,小米數(shù)據(jù)庫已在網(wǎng)上公開傳播下載,與小米官方數(shù)據(jù)吻合。
在得知這一消息后,小米手機用戶孟卓立即下載上述數(shù)據(jù)庫進行比對。“不看不知道,一看嚇一跳!我以前刪除過的短信,竟然都在小米云里面。”
據(jù)安全專家分析,小米論壇官方數(shù)據(jù)庫泄露,涉及800萬使用小米手機、MIUI系統(tǒng)等小米產(chǎn)品的用戶。泄露數(shù)據(jù)帶有大量用戶資料,可被用來訪問小米云服務(wù)并獲取更多的私密信息。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除信息等。
360安全專家安揚說:“從網(wǎng)絡(luò)流傳的小米數(shù)據(jù)庫判斷,數(shù)據(jù)庫中的密碼數(shù)據(jù)使用了保護措施,黑客還原明文密碼的概率約為70%-80%,簡單密碼容易被破解。此外,疑似小米的泄露數(shù)據(jù)還帶有用戶資料,可能被不法分子利用進行詐騙。”
小米回應:部分數(shù)據(jù)確遭泄露 已棄用舊賬號體系
小米公司安全中心有關(guān)負責人回應新華社記者說,經(jīng)查,確有部分2012年8月前注冊的論壇賬號信息被非法獲取,截至目前,尚未發(fā)現(xiàn)可見的流量異動以及投訴報告。
上述負責人表示,對于在2012年8月之前注冊小米論壇賬號,且之后未修改過密碼的用戶,小米公司將通過短信、郵件等方式提示其盡快修改密碼。
數(shù)據(jù)庫緣何泄露?小米公司安全中心解釋稱,在創(chuàng)業(yè)初期,小米論壇及依附論壇產(chǎn)生的賬號體系都使用了第三方開源程序,確實存在漏洞?;诎踩紤],2012年8月,小米棄用舊論壇賬號體系,將所有服務(wù)(包括小米云服務(wù)、米幣等)切換到全新的賬號安全體系,采用業(yè)界最新安全實踐方案,對所有存儲數(shù)據(jù)均進行了極嚴格的安全加密。
“小米將密切關(guān)注此次安全事件動態(tài)和用戶反饋,持續(xù)跟進并及時通報。”上述負責人說,小米公司將不遺余力地提升安全保障措施,包括異地登錄預警、安全令牌登錄等。用戶登錄使用重要服務(wù)(米幣中心、小米云服務(wù)等)時,還會在手機端得到安全提示推送。
盡管此次事件中小米表態(tài)積極,部分用戶并不認可。“企業(yè)發(fā)生了數(shù)據(jù)泄露事件,其責任是無法逃避的。”孟卓說,早在此事被媒體曝光之前,就已經(jīng)有用戶在懷疑小米數(shù)據(jù)信息泄露,但小米公司沒有就此提示用戶防范規(guī)避風險。
網(wǎng)企信息安全事件頻發(fā) 法律空白亟待填補
在此次小米公司數(shù)據(jù)庫泄露之前,互聯(lián)網(wǎng)用戶數(shù)據(jù)泄密的事件已經(jīng)多次發(fā)生,比如攜程用戶數(shù)據(jù)泄露事件,導致用戶支付過程中的調(diào)試信息可被黑客讀取,大量用戶銀行卡信息泄露。此類事件的頻發(fā),凸顯信息安全領(lǐng)域需要有更完善的法律支持和司法機關(guān)更有作為,比如當事企業(yè)的責任、司法機關(guān)的作為、事件的定性等。
中國計算機學會信息安全專業(yè)委員會主任嚴明說,對數(shù)據(jù)庫泄露事件,首先要明確運營商的責任。因為如果運營商要淡化處理,普通個人用戶隔著運營商這層關(guān)系,要提出證據(jù)難度太大了。所以,最為關(guān)鍵的是把當事企業(yè)的責任通過法規(guī)明確起來,使其努力追究攻擊者責任,維護網(wǎng)絡(luò)用戶的權(quán)利。
業(yè)內(nèi)人士表示,在類似事件中,一些企業(yè)擔心自身名譽受損,對數(shù)據(jù)泄露抱著遮遮掩掩的態(tài)度,這種心態(tài)正是網(wǎng)絡(luò)攻擊者所期望的局面,也是攻擊者有恃無恐的原因之一。網(wǎng)企有意無意地和攻擊者站在了同一方,最受傷的是網(wǎng)民,隱私泄露、財產(chǎn)損失,是最為弱勢的一方。
嚴明說,當企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露后做了什么,是否第一時間發(fā)出警報并采取措施?這是很重要的問題,直接體現(xiàn)了當事公司是否盡到了相關(guān)責任。“企業(yè)報警沒有?能不能立案是公安的事,報沒報警是企業(yè)的事。報警本身就是對攻擊者的一種威懾。”
其次,對惡意攻擊者的責任追究也同樣重要。安全寶CEO馬杰說,在加大對企業(yè)壓力的同時,一定要打擊入侵者。否則,競爭對手都會雇黑客去攻擊對方數(shù)據(jù)庫。
安天實驗室首席架構(gòu)師肖新光認為,我國司法機關(guān)在針對網(wǎng)絡(luò)信息安全方案的立法、執(zhí)法都滯后于現(xiàn)實。公共安全領(lǐng)域,如果國家機器沒有承擔足夠責任,那么網(wǎng)絡(luò)企業(yè)承擔的壓力必然加大。
第三,專家建議此類信息安全事件不能適用“民不告、官不究”。嚴明認為,司法機關(guān)在處理這類問題時,最主要的問題是于法無據(jù),取證、定損過程比較困難,難以查處?;ヂ?lián)網(wǎng)用戶數(shù)據(jù)泄密,由于涉及的人數(shù)眾多,已經(jīng)成為涉及到公共安全性質(zhì)的事件,不能按照“民不告、官不究”的民事糾紛來看待,執(zhí)法部門應主動介入、積極調(diào)查并追責,而不是非要等到立案以后才處理。