萬(wàn)物互聯(lián)時(shí)代,因軟件產(chǎn)品漏洞或人為操作失誤等原因?qū)е掠脩粜畔⑿孤兜氖录缺冉允牵词故钦媸跈?quán)軟件也難逃此劫。這是互聯(lián)網(wǎng)企業(yè)或軟件開發(fā)商在依托一款軟件產(chǎn)品進(jìn)行商務(wù)運(yùn)營(yíng)時(shí)經(jīng)常碰到的難題。
近日,鐵路客運(yùn)訂票官網(wǎng)12306用戶數(shù)據(jù)泄露事件引發(fā)社會(huì)廣泛關(guān)注,知名手機(jī)論壇“機(jī)鋒論壇”更是傳出有2300萬(wàn)條用戶數(shù)據(jù)遭泄露,包括用戶名、郵箱、加密密碼等重要信息。目前,“機(jī)鋒論壇”尚未就此作出聲明,12306官方則稱用戶信息是通過(guò)其他渠道泄露的。隨著智能終端的普及,越來(lái)越多的用戶通過(guò)客戶端軟件或網(wǎng)頁(yè)進(jìn)行購(gòu)物、銀行轉(zhuǎn)賬等操作,如果用戶信息遭泄露被不法分子利用,后果將不堪設(shè)想。那么,用戶應(yīng)如何保護(hù)個(gè)人信息?軟件廠商或服務(wù)提供商為保護(hù)用戶信息,除對(duì)產(chǎn)品進(jìn)行更新升級(jí)外,還能采取哪些措施?記者就這些問(wèn)題采訪了網(wǎng)絡(luò)安全專家。
用戶信息面臨安全隱患
對(duì)于12306事件,中國(guó)鐵路客戶服務(wù)中心在其官方網(wǎng)站中刊登聲明,稱網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出,且泄露的信息含有用戶的明文密碼,而中國(guó)鐵路客戶服務(wù)中心已對(duì)數(shù)據(jù)庫(kù)所有用戶密碼進(jìn)行多次加密,是非明文轉(zhuǎn)換碼。隨后,鐵路公安機(jī)關(guān)證實(shí)犯罪嫌疑人采用“撞庫(kù)”方式,即通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶名和密碼信息,批量嘗試登錄12306網(wǎng)站,進(jìn)而非法獲取了用戶數(shù)據(jù)。不過(guò),360公司旗下的360補(bǔ)天漏洞平臺(tái)“白帽子”(即正面的黑客,可以識(shí)別安全漏洞,上報(bào)給廠商進(jìn)行修復(fù))認(rèn)為,12306之所以被“撞庫(kù)”,根本原因是12306賬號(hào)安全體系存在缺陷,手機(jī)APP端存在漏洞,黑客可以輕易繞過(guò)其賬號(hào)安全防護(hù)措施,無(wú)限次嘗試自動(dòng)登陸。目前,360已將手機(jī)APP漏洞通報(bào)中國(guó)鐵路客戶服務(wù)中心進(jìn)行修復(fù)。
其實(shí),這類網(wǎng)絡(luò)安全隱患很常見。記者在采訪中了解到,目前,網(wǎng)上有大量的木馬偽裝成12306的數(shù)據(jù)包,隱藏在網(wǎng)盤、聊天群共享中。此外,網(wǎng)上還存在大量被植入木馬病毒的炒股類軟件,一旦下載運(yùn)行此類軟件,用戶將會(huì)遭受資金損失和信息泄露等。
多方施力降低泄露風(fēng)險(xiǎn)
那么,用戶的數(shù)據(jù)到底是通過(guò)什么渠道流出的?據(jù)烏云網(wǎng)合伙人鄔迪介紹,除病毒木馬存在外,企業(yè)對(duì)用戶數(shù)據(jù)的保管不當(dāng)和軟件產(chǎn)品存在漏洞被他人通過(guò)技術(shù)手段竊取等也是主要原因。據(jù)悉,烏云網(wǎng)是國(guó)內(nèi)具有很高知名度的信息安全平臺(tái),近年來(lái),幾乎國(guó)內(nèi)互聯(lián)網(wǎng)的每一次重大的安全事件的披露,烏云網(wǎng)都功不可沒(méi)。
要保障用戶的信息安全需要服務(wù)商或軟件廠商以及個(gè)人用戶的共同努力。烏云網(wǎng)知名“白帽子”瘦蛟舞(化名)建議廠商應(yīng)不斷對(duì)相關(guān)產(chǎn)品進(jìn)行更新升級(jí),對(duì)網(wǎng)絡(luò)或軟件漏洞進(jìn)行及時(shí)修補(bǔ)。對(duì)于普通用戶而言,百度移動(dòng)安全部首席產(chǎn)品架構(gòu)師阮龍則建議,要養(yǎng)成良好的使用習(xí)慣,培養(yǎng)安全意識(shí),應(yīng)在正規(guī)的應(yīng)用軟件平臺(tái)下載應(yīng)用,不下載、不安裝來(lái)歷不明的軟件;謹(jǐn)慎刷機(jī)和開放手機(jī)權(quán)限,如果必須刷機(jī),也要選擇官方或知名廠商推出的軟件版本;對(duì)于涉及金錢等敏感的信息應(yīng)用程序,盡量選擇知名廠商,如支付寶等。此外,安裝一款殺毒軟件產(chǎn)品也十分必要。
除此之外,阮龍還建議,網(wǎng)絡(luò)服務(wù)提供商或軟件廠商可以同第三方數(shù)據(jù)安全軟件廠商加強(qiáng)合作,由后者提供更專業(yè)的數(shù)據(jù)防泄露服務(wù)。“以華途文檔安全管理系統(tǒng)H7為例,在不改變用戶使用習(xí)慣基礎(chǔ)上,可對(duì)電腦的任意文檔實(shí)行透明加密,加密后的圖片或文檔即使被拷貝出去,也不能在其他電腦端打開。”在數(shù)據(jù)安全解決方案提供商華途軟件有限公司銷售總監(jiān)王子謙看來(lái),國(guó)內(nèi)擁有眾多各具特色的數(shù)據(jù)安全服務(wù)商,不同企業(yè)可根據(jù)各自領(lǐng)域特色選擇不同的廠家合作,這也是提高數(shù)據(jù)安全的較好方法。
“用戶可以放心的是,雖然目前手機(jī)上的客戶端軟件存在較多漏洞,但專門針對(duì)手機(jī)客戶端軟件漏洞進(jìn)行攻擊的惡意程序并不多,風(fēng)險(xiǎn)較高的多是服務(wù)器端的漏洞,用戶使手機(jī)銀行客戶端還是相對(duì)較安全。只要用戶養(yǎng)成良好的使用習(xí)慣,就可以最大程度降低信息被泄露的風(fēng)險(xiǎn)。”瘦蛟舞表示。