2011年12月下旬。网上出现中国开发者技术在线社区CSDN被“拖库”的消息,12月21日晚间,CSDN发表声明,就“600万用户账号密码泄露”一事公开道歉,承认部分用户账号面临风险,将临时关闭用户登录。
紧接着,人人网又被爆出476万个账号密码被泄露的消息。大家还在惊魂未定之时,一个比人人网历史更悠久的社又传来了不好的消息……12月25日,25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000万……
与国内如火如荼的密码泄漏相比,国外大站的日子似乎也不好过。
2012年5月,一家国外网站突然发布了大量声称为Twitter用户账号与密码的信息,这些账户密码的数量大约在58978个。
2012年6月,知名企业社交网站LinkedIn遭遇黑客攻击,随后,650万用户密码被贴在网站上。一些安全专家对其密码保护提出质疑,一些用户对于收到警告邮件太迟抱怨连连。
而在2012年07月中旬,业内老牌IT企业Yahoo亦晚节不保。有骇客在网上贴出了Yahoo Voice 服务器上大约45.3 万个用户帐号和明文密码(骇客声称是明文),骇客组织表示他们是通过 SQL 注入渗透进雅虎的服务器,表示雅虎的 Web 服务器有许多漏洞……
人们要如何面对新一轮泄密高峰?
网站负责人如何降低数据泄漏的风险
为了降低数据泄漏的风险,被骇客“拖库”,有安全专家建议,企业有必要对传统安全产品、流程及运营进行全方位改造,在部署IT系统时,一定要把安全作为首要考虑因素,尤其是网商、支付等涉及到大量普通用户的行业,以及涉及关键业务模块和核心领域,都应做专业安全风险检测。
另外,在网站前端布置云WAF防护系统(喜欢设备的可以布置硬件WAF),数据库前端布置数据库审计系统等等,也都是降低数据泄漏风险的有效选择。
普通网民如何确保自己的密码安全
1. 确保不同账户使用不同密码。
2. 确保密码的复杂性。
3. 使用全面的安全软件,并确保软件始终保持最新状态,以防范键盘记录程序和其他恶意软件截获密码。
4. 最好能定期变更密码,避免长时间重复使用密码,至少一年变更一次。
5. 空闲时候可以在一些提供“密码泄漏检测”的网站上检测一下自己的密码是否已经泄漏。好及时做相应的修改。比如国内的http://lucky.anquanbao.com/,就是一家收集被泄密数据比较完整的站点,经笔者测试,不但去年的CSDN等国内库已经可以在其中查到,最近的国外的Yahoo库也已被包含在内。