网易邮箱数据泄露令人担忧
互联网企业信息监管不应出现漏洞
2015-10-23     □记者 胡林果 阳娜 北京报道 来源:经济参考报

进来,一则关于网易邮箱的用户数据库疑似遭泄露的消息在网上引起波澜,涉及数据达数亿条。

网络信息安全问题一直以来备受关注,不时被曝的网络信息安全事件如何让人放心上网呢?虽然目前数据泄露事件结果尚不明朗,但已引发不少用户对个人隐私安全的担忧。网易邮箱用户数据是否真的遭泄露?泄漏的信息数是否如网传的达到“亿级”?该拿什么保障用户的互联网信息安全?对此《经济参考报》记者进行了采访调查。

个人信息泄露令人担忧

近期,众多网友遭遇网易邮箱账号或其他相关账号异常登录或被盗,纷纷表示“中招很可怕”。网友“李伟民leon”说自己的网易邮箱账号近期的登录地记录显示为安徽、美国、菲律宾等多地,不少网民也有类似经历,邮箱账号几乎“跑遍”全球各地。

从17日开始,有微博用户发文称,网易邮箱被暴力破解,网易随后在官方微博上作出回应,称此系“撞库”所致,即黑客通过收集互联网中已泄露的用户和密码信息,尝试批量登录其他网站,从而获取用户的相关信息,如手机号码、身份证号码、银行卡号等。

19日下午,网站安全漏洞发现者乌云平台用户“路人甲”发布了《网易163/126邮箱过亿数据泄密》,报告称,泄露信息包括用户名、密码、密码保护信息、登陆IP以及用户生日等多个原始信息,影响数量总共近5亿条。

乌云平台还针对此前网易邮箱的公开声明提出质疑,称泄露信息还包括“用户密码提示问题及答案,而这个数据应该是‘撞库’无法获取的”。

网易免费邮箱官方微博于19日发出再次回应,称网易邮箱不存在自身数据泄露问题。

网易是否泄漏用户信息?网易相关负责人接受记者采访时称,不存在自身数据泄露问题,乌云平台报告的账号中有极小比例正确的账号与安全度低的网站撞库。

记者注意到,尽管网易邮箱发表公开声明,但微博、贴吧上仍有不少网民曝出账号被盗、登录记录被改等事实,不少网民仍对自身信息泄露表示担忧。

国家互联网应急中心20日通报证实。确有网易邮箱数据遭泄露,泄露的数据中包括一个邮箱账号、邮箱密码的MD5、密保问题以及密保答案的MD5。

中国电子信息产业发展研究院副院长樊会文分析认为,由于现在很多互联网服务商采用云计算模式,大量数据和信息存储在“租用”或公用的服务器中,数据泄密涉及的链条长,查找较为困难。也存在黑客非法进入系统窃取数据的可能性,目前具体原因还不能肯定,需要首先查证数据泄露的渠道。

泄露信息数是否达到“亿级”

有网友担心,“过亿条的数据泄露,估计大多数人都无法幸免了,上网还有隐私可言吗?”由于许多网友在不同平台上设置账号时共用一个账号或直接绑定,邮箱数据被窃取的同时,还可能带来手机被锁、网上银行资金被盗等一系列安全问题。

泄漏数据数量是否达到“亿级”?网易有关负责人称,网易邮箱已对乌云平台“白帽子”递交过来的疑似有问题的数据包进行了校验。但乌云平台并没有提交此前声称的“过亿”数据包,乌云平台最终寄出的是100多个账号,有60多个账号是不存在的,还有50多个账号是不能继续登录的,并非如乌云平台之前所称“数亿”数据被泄露。

这位负责人说,造成信息泄露的原因可能是某些组织或个人在一些利益的诱导下,用“撞库”或“拖库”的方式攻击数据库,简单来说就是采取密码逐个套试的方式尝试破译账号密码,而用户在注册邮箱时所填写的问题提示和密保答案会以加密的形式传进数据库,受攻击被盗取的现象很难发生。

国家互联网信息应急中心20日通报称,泄露数据为100条,经证实,其中账号与密码匹配正确的20条。

对此,国内互联网咨询平台艾媒咨询集团CEO张毅认为,问题的关键不在于泄密数量多少,而在于泄密事件本身,网易需以客观负责的态度对出现问题的数据进行分析比对给网民以交代。

网络信息安全如何维护?

岌岌可危的网络信息安全,令网友担忧。网友“曼筱幽”称自己的苹果手机ID被盗,导致手机通讯录全部丢失,严重影响了自己的正常生活,以及对网络安全的信任。那么,如何严加防护网络安全,创造安全、放心的网络环境?

张毅认为,对于海量网络数据保护,不仅仅是企业自身本着为用户负责的态度加强安全防范体系建设,相关法律法规也应建立起更为严格的保护制度,对于窃取和传播网络加密数据的犯罪分子应该给予严惩。

“需在立法层面建立更加细化、严格的行业管理标准。”张毅说,地方和相关部门应根据网络安全法制定符合各地实际的网络安全等级法规,将网络信息安全管理的相关条例精细化并予以落实。

此外,网络安全监测预警信息的发布也是必要的。互联网安全专业人士认为,有关部门需加强网络安全信息收集、分析和通报工作,网络监管部门不能等到网络上一大片“疑似被泄”的信息发布之后才被动调查;同时也应加强监管部门与互联网平台数据管理之间的联系,从“被动告知”的局面向“主动监管”的方向转变。

企业本身也需对安全责任制度的“标配”有所设定。很多互联网企业的用户呈现“井喷”的发展态势,然而企业却在相应的管理人员配备方面没有跟上发展节奏,导致信息监管出现漏洞等“非主观”因素的失误。

此外,用户也应提高安全警惕,比如登录密码与交易支付账号密码不要相同,密码设置应复杂一些,各种移动终端偶尔会有钓鱼网站,收到一些莫名其妙短信和链接时,注意不要轻易点开,而对于一些非知名APP也要谨慎下载。

  凡标注来源为“经济参考报”或“经济参考网”的所有文字、图片、音视频稿件,及电子杂志等数字媒体产品,版权均属经济参考报社,未经经济参考报社书面授权,不得以任何形式刊载、播放。