“所有的網(wǎng)站都 死守 這些用戶數(shù)據(jù),它們可以隨時變現(xiàn)。”前述互聯(lián)網(wǎng)行業(yè)人士說道。
因此,接下來的現(xiàn)象就屢見不鮮。某些網(wǎng)站的用戶想注銷賬戶,卻被提示無法注銷。在SNS網(wǎng)站上,用戶注銷后,相關的信息并不會刪除,用戶再用相同的郵箱注冊,之前的個人信息、記錄、日志、照片全部可以恢復。那些倒閉的網(wǎng)站,絕大部分不會銷毀用戶數(shù)據(jù)。
這些有價值的用戶信息是如何被泄漏出去的呢?
一位業(yè)內人士告訴記者,一般而言,信息泄漏有兩個渠道:一是“黑客”攻破公司的防火墻,盜取存于服務器上的用戶信息;二是某些網(wǎng)站主動售賣用戶數(shù)據(jù),以謀取利益。
獲得用戶信息后,這些販賣者就會泡在論壇、社交網(wǎng)站甚至黑客網(wǎng)站里。因為這里存在大量的求購或販賣用戶信息的需求。而交易雙方一般通過互聯(lián)網(wǎng)進行交易,并不見面。
一位不愿意透露姓名的行業(yè)人士告訴記者,由于購買用戶信息代價不菲,那些花高價買了用戶信息的人會想辦法將這些信息再兜售出去。由于電子化的信息售賣起來很方便,會導致用戶信息被多次轉手泄露。
“用戶信息泄漏,并不會損害互聯(lián)網(wǎng)公司的利益,只是用戶受到損失。”這位互聯(lián)網(wǎng)人士告訴記者,這樣的機制讓用戶“反抗無效”,只有“任人宰割”。
安全投入不足1%
“現(xiàn)在泄露的用戶信息都是直接保存密碼原文(明文),沒做任何加密。”金山快盤CTO楊鋼告訴記者,如果做了不可逆加密后,即使數(shù)據(jù)庫被拖走,里面的密碼也解不開,只能看到用戶名。
道高一尺,魔高一丈。對于常用的加密方法,黑客已經搜集到了大量的解密方法,破解起來并不是一件難事。
“互聯(lián)網(wǎng)公司對安全性心存矛盾。”李鐵軍認為,對于互聯(lián)網(wǎng)公司來說,產品的用戶體驗是第一位。形成好的用戶體驗往往是簡單、易用的產品,安全往往與復雜對應,會在一定程度上影響易用性。因此,無一例外,互聯(lián)網(wǎng)公司都優(yōu)先選擇了用戶體驗。
一位互聯(lián)網(wǎng)安全專家告訴記者,很多網(wǎng)站采用明文密碼的方式讓用戶信息“裸奔”,即便對安全性有所重視,也只是選擇MD5方式(一種加密算法),一般不會選擇SHA1方式。因為雖然SHA1比MD5強度高,但是MD5比SHA1快,互聯(lián)網(wǎng)需要的就是快。但是MD5并不完全可靠,若要保證用戶的安全,最好選擇SHA1。
李鐵軍認為,安全防護不只是一個技術問題,企業(yè)也不只是安裝了防火墻和殺毒軟件就完成了安全防護,需要專人來實時監(jiān)控。安全運維人員需要根據(jù)訪問列表來及時辨別哪些是入侵,哪些是正常訪問,并進行及時處理。
“目前,中國只有瀏覽量在前100的網(wǎng)站有自己專業(yè)的安全運維人員,前1000的網(wǎng)站有安全產品或服務的采購,大部分網(wǎng)站都沒有專業(yè)的安全團隊。”一位互聯(lián)網(wǎng)行業(yè)人士坦言。
據(jù)該人士介紹,互聯(lián)網(wǎng)公司建立自己的安全運維團隊,需要的成本投入很大。比如,大型B2C購物網(wǎng)站每年的安全運維投入需要達到千萬元級別,小一點的網(wǎng)站也需要幾百萬。但是目前,這些公司的安全投入不過幾百萬,有的只有幾十萬。
而從整個行業(yè)來看,據(jù)一家券商TMT研究部門的調研數(shù)據(jù),目前,中國互聯(lián)網(wǎng)公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業(yè),其信息安全支出在整個IT支出中占到10%。相比之下,互聯(lián)網(wǎng)行業(yè)的安全投入有些“捉襟見肘”。
“再不注意保護用戶信息,互聯(lián)網(wǎng)公司的品牌將會受極大傷害。”李鐵軍認為,安全就像是大樓里的消防措施,平常看起來并沒有發(fā)揮多大作用,但一旦發(fā)生問題,如果安全不到位,那么造成的損害會很大。
想認識全國各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來加入“中國創(chuàng)業(yè)圈”
|
