金山泄密门带来的网络安全思考
金山泄密门带来的网络安全思考 昆明论坛小编导读 近日,CSDN用户密码泄露事件震惊整个互联网。据22日中移动手机报报道,金山毒霸员工疑为隐私泄露源头,金山深陷“泄密门”。金山企业的日子并不好过。先有内部管理混乱,高层纷纷离职的传言,近日又在“扣费门”后被媒体曝出“泄密门”。据了解,“金山泄密门”事件源起于12月21日,金山毒霸产品经理“hzqedison”把CSDN用户数据库传到了迅雷快传(会员分享),该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。
看到事态严重,“泄密门”当事者“hzqedison”于11月22日晚发表微博承认传播一事,并向广大网民致歉。金山泄密员道歉微博称:做错事要承认错误,称自己并非最早泄露用户数据者,只是在传播过程中将其泄露。随后,金山毒霸官方微博发表声明,承认其员工“hzqedison”公开数据库供人下载,但拒不道歉。而金山员工的道歉诚意受到CSDN策划总监质疑。
金山毒霸作为一家安全公司,在得知某些网站数据泄漏后,非但没有提醒用户不要下载,反而对泄密资料进行传播,这不但有违安全公司的起码准则,传播泄密资料也涉嫌违法,并质问金山公司作为一家安全公司将泄密资料放在网上传播究竟是何目的?
事件被曝光后,金山公司不但未向网民道歉,反而利用手中获取的千万用户密码,打起了用户的“主意”。据悉,金山网络上线了名为“密码泄露快速查询”的页面,(http://cs-test.ijinshan.com/security/)称用户借此可以查询账号是否在本次泄露大名单中。实际上,这恰好证明了金山已经拥有数以千万的非法来源用户资料,而未经授权持有这些用户资料已经涉嫌违法,并涉嫌收集用户资料。
对于金山“泄密传密”的行为,身为最大受害者的CSDN策划部总监谭茂痛斥金山“传播泄密资料已经犯法了吧,提醒用户不要下载这是才是安全公司的起码准则吧,不知道金山公司将此泄密资料放在网上传播是何目的?”
最新消息显示,虽然金山公司手握千万用户密码,并提供到互联网上供网友查询,但金山却一再指出这些行为皆是公司员工的个人行为,与公司无关。
作为国内老牌安全公司,本应保护密码却偷偷泄露用户密码,是为不忠;本应维护行业健康,避免密码扩散却不断扩大泄密是为不仁;员工为公司获得千万用户密码却被公司策略性“抛弃”,是为不义。如此“安全”公司,如何能让用户、行业放心使用?!
此事件引发业界人士的广泛讨论:
科技名博,IT评论专栏作家正版阿祥:用户隐私泄露,该拿谁是问?安全公司对用户尽到责任了吗?金山毒霸数据库疑似泄露,难免其咎。
IT名博小刀马:慎重,慎重,敏感的部门需要一种相对警觉的嗅觉,不然出问题后是很容易把自己陷入不利地位的。安全问题尤甚。
新浪名博林哥哥微博:究竟是“恶意”还是“故意”,只有金山自己最清楚了!但受伤害的还是新老用户。
新浪名博三峡在线:这样的事件出现实在是太恐怖了!这样的员工太没有道德,这个的企业如何立。
互联网业内知名人士,着名IT评论家王易见:用户隐私泄露?那可是很严重的问题,某公司看来这次要"吃不了兜着走"了呀?
新浪认证网友“梦里秦淮”(认证身份为宁哲网络科技有限公司创始人周宁)称:但愿这件事是该金山员利用工业余时间扮演黑客这样“有前途”的角色!今天在关注CSDN数据库泄密事件的时候,看到这则新闻的时候心里有2个隐忧:1、金山员工会不会是利用职务之便破解CSDN数据库的?2、更可怕的是受某些组织的指使并利用职务的便利条件。对于整个网络安全行业而言,这都是巨大的信誉危机
德和衡律师事务所合伙人姚克枫律师表示,此次事件影响超过5000万网民,规模巨大,影响特别恶劣,该名员工已涉嫌违法《刑法》,应追刑责。
另有有法律界人士表示,金山此服务代表金山已经拥有未知数量的非法来源用户资料,而未经授权持有这些用户资料已经涉嫌违法,并涉嫌收集用户资料。同时,金山员工泄密与金山公司也无法撇清关系,如此大规模泄密行为如被认定必,将被追究刑责。
【检查账号】金山员工:传播用户隐私只为检查账号是否泄露
12月22日晚,金山员工涉嫌泄露并传播CSDN用户数据包事件又有最新进展,该员工(微博名hzqedison)已在微博承认自己确实生成而且分享了下载链接,并发至某安全讨论群组,但其否认自己是有意散布数据包,下载并传播只是为了检查自己和同事的账号是否也在泄露之列。
但是,这一解释明显无法然让人满意。网友saighost表示,“还以为是个小孩,但你竟然是个专业的,你根本不是在检查自己的邮箱,(检查同事)你不会帮他们查吗?共享600万密码?你就真没想过后果?!道歉没用,准备负责任吧!”
有业内人士认为,目前一切还得看证据,如果金山员工可以提供证据证明自己非数据包泄露源头,那么相应处罚应该不会特别严厉;但需要说明的是,下载和传播隐私数据同样涉嫌违法,希望各界人士和网友都引以为戒。
据了解,12月21日,国内著名程序员网站CSDN遭黑客攻击,600万用户明文数据包被窃,引发恐慌;12月22日,有网友发现隐私数据包流出源头为金山员工,晚间移动手机报对此进行了报道;12月23日凌晨,就在金山员工微博承认泄露隐私并道歉后数小时,金山网络发表声明,表示金山员工非黑客,但相关描述存在一些处于,媒体也在关注事件的进一步发展。
【承认错误】金山员工泄露用户隐私向网民承认错误
12月22日,中移动手机晚报报道的“金山员工疑为某专业网站数据包泄露源头”的消息获得证实。涉嫌泄露数据的金山网络员工(微博名hzqedison)当晚8时左右连发两条微博,承认自己确实传播了该网站用户数据包,并向所有网民致歉。
hzqedison在道歉中表示,“自己作为安全厂商员工,深知自己做了一件错事,导致众多网民心里恐慌,内心十分不安。”
对此,一些网友认为金山员工职业道德缺失,网友纳鲁西斯表示,“金山毒霸员工就不该这样,是职业道德缺失的表现,无论是个人还是公司行为,身为一个有特殊身份的人就不应该这样传播”。
此前,该专业网站数据包泄露导致600万网民账号密码明文被公布,引发恐慌。通过追根溯源,网友发现该数据包下载地址最早出现于迅雷分享,而分享者正是hzqedison,后被证实为金山网络产品经理,此事也被移动手机报等多家媒体报道。
业内人士认为,网络安全从业者相比一般网民身份更加特殊,该人群更容易获取敏感数据,而这些数据一旦缺乏保密措施,网络安全将瞬间变为一纸空谈。金山应该加强对于员工职业素养和职业道德培训与引导,杜绝此类事件的再次发生。
【不该泄露】金山想说爱你不容易不该泄露用户隐私
12月22日晚,某专业网站重大隐私泄露事件又有最新进展,此前被疑为泄露源头的金山员工(微博名hzqedison)在发长微博,承认自己误泄用户数据,并称做错事就要承认错误,但同时他否认自己是黑客,并称在他下载之前已经有了分享地址,但并未提出截图证明。
对此,该网站策划部总监谭茂等员工对此表示不满,在微博中表示“传播泄密资料已经犯法,提醒用户不要下载这才是安全公司的起码准则,不知道金山公司将此泄密资料放在网上传播是何目的”,并要求金山员工公布他分享前的下载地址。
此前,该专业网站因600万用户账号明文数据包被黑客盗取而向公众致歉,并向警方报案。通过追查,发现网络上最早出现数据包下载地址的正是金山员工分享,中移动手机报等媒体也对此进行了报道。
对此,金山毒霸于23日凌晨发布声明,称员工“无主动传播,并迅速删除了该链接,并未造成扩散”。但事实证明,该员工是讲分享链接发至某安全群组,下载人数远多于5个,并是在数小时后才删除链接。
截至记者发稿,对于网友提出的疑问,金山方面尚未作出进一步解释。
【应追刑责】律师观点:金山“泄密门”应追刑责
近日,史上最严重的互联网用户信息泄漏事件闹得沸沸扬扬,而这场灾难的源头竟然是安全厂商金山毒霸员工(迅雷ID:hzqedison)公开提供数据库下载所致。对此,德和衡律师事务所合伙人姚克枫律师表示,此次事件影响超过5000万网民,规模巨大,影响特别恶劣,该名员工已涉嫌违法《刑法》,应追刑责。
据了解,“金山泄密门”事件源起于12月21日,金山毒霸产品经理“hzqedison”把CSDN用户数据库传到了迅雷快传(会员分享),该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。
看到事态严重,“泄密门”当事者“hzqedison”于11月22日晚发表微博承认传播一事,并向广大网民致歉。随后,金山毒霸官方微博发表声明,承认其员工“hzqedison”公开数据库供人下载,但拒不道歉。
对此,身为最大受害者CSDN策划部总监谭茂立即给予了公开声讨,“传播泄密资料已经犯法了吧,提醒用户不要下载这是才是安全公司的起码准则吧,不知道金山公司将此泄密资料放在网上传播是何目的?”
姚克枫律师表示,无论出于何种目的,只要是公然传播泄密资料就触犯了法律的高压线。根据我国《刑法》的规定,如果将获得的公民个人信息,出售或者非法提供给他人,情节严重的,构成刑事法律责任。本次事件中,如果因为传播而出现损害后果,且较为严重的后果,就要承担刑事责任。如果“hzqedison”确为安全公司的员工,则“hzqedison”本身应当比其他行业的工作者具有更高的保密义务和对他人个人信息妥善保管的义务,对比其他行业人员,安全公司的员工对于自己擅自发布后果应当具备辨别能力,如果属于主观故意泄露,就是在“知法犯法”,更加不可饶恕,理应受到法律的严惩。
据悉,虽贵为老牌安全厂商,但近两年的金山公司却疲态尽显,丑闻缠身。金山官网曾经四次被黑,金山游戏员工监守自盗,这次又冒出“金山泄密门”,其管理之混乱,可见一斑。有网友愤怒的评论:“这样的公司生产出来的安全软件,你还敢用吗?!”
【损失巨大】CSDN被黑用户账号密码遭泄露数据包可卖上百万元
昨日,国内最大的开发者社区CSDN.NET承认安全系统遭到黑客攻击,CSDN数据库中的部分用户的登录名及密码遭到泄露。
业内人士爆料,有更多网站的用户资料遭到黑客疯狂盗取并被转手卖钱,一些重要的数据包甚至可以卖到上百万元。
业内人士提醒普通用户定时更新自己互联网账号密码,并通过不同邮箱来注册自己不同等级的互联网账号。
昨日,国内最大的开发者社区CSDN.NET承认安全系统遭到黑客攻击,CSDN数据库中的部分用户的登录名及密码遭到泄露。
CSDN官方昨日发表声明表示,经过初步分析,遭黑客泄露的数据是2009年CSDN作为备份所用,目前不知泄露原因,CSDN表示已向公安机关报案,公司要求“2009年4月以前注册的账号,且2010年9月之后没有修改过密码”的用户立即修改密码。
业内人士爆料说,在网上公开CSDN的用户资料,相比目前互联网上被盗的众多用户数据来说只是很少的一部分,更多的数据已经被黑客转手卖钱。
普通用户资料被盗不知情
金山网络安全专家李铁军昨日对本报记者表示,目前网络上还出现包括多玩网、人人网、7K7K小游戏等多家公司的用户资料,但资料是否真实,目前无从考究。而多玩网CEO李学凌昨日对媒体表示,目前正在排查,尚未发现有用户资料被泄露。其他被涉及的公司都没有官方说法。
李铁军透露,这些数据在被刚盗取出来时,是在黑客圈子里销售,价格非常昂贵。比如一些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价,而买家多是被盗资料公司的竞争对手。
对于普通用户来说,其资料被盗更是不知情。李铁军告诉本报记者,黑客除了把数据打包牟利之外,还可以利用用户资料进行互联网诈骗,给用户发送垃圾邮件,如果被盗资料中有用户手机号码,则可以发送广告信息牟利。
防范:定时更改密码
网络专家建议所有弱密码的用户以及所有网站使用同一用户名和密码的用户尽快修改。首先,使用至少2个邮箱来绑定或申请网络服务,并确保邮箱密码不重复使用。其次,重要服务用重要邮箱来申请,一般服务用次要邮箱来申请。再次,尽量不重复使用重要服务的密码,并定期更换。
页:
[1]