大规模个人信息泄露事件的特点、成因及对策
发布时间: 2016-11-03 访问次数: 32

201112月,中国互联网集中爆发了一系列网络个人信息泄露事件。主要事件有:1221日,国内最大的程序员网站CSDN数据库保存的约600万用户注册信息被黑客泄露;22日,深圳上万名新生儿资料被泄露;25日,国内知名社区网站天涯社区宣称部分用户隐私遭窃,涉及用户数量达4000万;27日,美团网、京东商城等网络购物网站确认系统存在漏洞,部分用户注册信息被泄露;29日,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料,等等。这一系列事件泄露的个人信息达上亿条,其规模之大、影响之广、危害之严重前所未有,成为中国互联网发展史上最大的一起个人信息泄露事件,引起了社会各界的广泛关注和广大网民的担忧,也折射出中国互联网安全的脆弱性,以及部分互联网企业对客户个人信息资料保护的轻视与疏忽。

此次事件的主要特点

  此前,互联网上个别用户密码被盗事件也时有发生,但此次事件与以前的个例相比,呈现出不同的特点。

  泄露动机多样。从此次事件来看,泄露个人信息的动机多种多样。一是炫耀技术,吸引他人注意。部分黑客为证明自己的技术能力,扩大自己在网上的知名度,专门寻找一些知名网站进行攻击,并将非法盗取来的信息在网上公布,从而吸引他人注意。二是变卖信息,牟取非法利益。目前黑客行业最赚钱的方法主要有三种,分别是安放木马、设置钓鱼网站和盗取数据库信息,相比于前两项,市场上对于数据库信息的需求最多,利润也最丰厚。三是打击商业对手,进行恶性竞争。在利益的驱使下,一些企业专门网罗专业技术人员,组织技术攻关,窃取对方网站个人信息并公布,损害对方商业信誉,以达到打压商业竞争对手的目的。

  爆发突然迅速。网络媒体的传播具有及时迅速、匿名性、去中心控制等特征,个别事件在网络平台上非常容易形成广泛舆论和连锁反应,引发系列类似事件的大规模爆发,这就是典型的“蝴蝶效应”。因此,网上出现不良事件的苗头时,如果不能在初始阶段有效地掌控情况并及时化解,就可能滋生新的突发事件,给经济和社会带来更大破坏。此次泄密事件涉及众多知名网站,用户数量极多,覆盖范围广,部分媒体网站为吸引网民、提升点击率,对公布的内容没有进行审核并及时删除这些信息,造成大量网站纷纷转载,从而导致事态迅速蔓延,短时间内在全国形成轰动效应。

后果复杂严重。此次泄密事件涉及到十余家国内知名网站,包括门户网站、交友网站、购物网站、社区论坛等等,涉及用户数量过亿,在网民中造成的不良后果极为严重复杂。为了便于记忆,大部分用户有在多个网站使用相同密码的习惯,甚至使用相同的邮箱注册不同网络服务,并且使用与邮箱相同的登录密码,这就好比用一把钥匙就能打开多扇不同的门一样,黑客只要拿到一个网站的用户口令,就可能以相同的口令进入大多数其他网站的用户管理页面,这使得本次泄露事件的危害性进一步扩大,用户需马上修改其他网站多处用户名和密码,避免受到二次影响和可能的财产损失。

个人信息泄露的原因

  一般说来,用户的手机号、邮箱账号等个人资料,通常是由

木马病毒、恶意程序在网络上自动收集,这些资料都是黑客个人控制和使用,其影响范围相对较小,对用户的威胁也较小。但是,现在许多国内网站复制发达国家成熟的网络商业模式或者借助心理诱导手段,吸引大量用户注册,从而收集到海量的用户个人信息。于是一些不法分子通过各种非法途径从这些网站大量收集用户个人信息,然后通过贩卖个人信息或敲诈用户获利,有的甚至窃取网上银行用户名和密码盗取用户资金。

  网站内部管理人员主动泄密。堡垒最容易从内部攻破,此次泄密事件多数是由网站内部管理人员违规引起的。不论是有意识卖密还是无意识泄密,造成的影响是极大的。要封堵这种泄密方式,需要建立严格的网站管理规章制度、运行规程、监管体系,形成内部人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障个人信息的安全,更需要成熟完善的“技术防内”安全措施,防止内部人员泄密。

  黑客通过网站技术漏洞窃密。随着网络技术的发展,网络攻击和渗透手段也不断升级,部分网站在网络安全方面的人员和资金投入不足,导致网站存在着可被黑客利用的安全漏洞,部分网站系统甚至使用明文存储用户密码,一旦网站被攻击导致用户数据库被下载,用户密码就会立即暴露,毫无安全性可言。网站安全漏洞通常由系统及软件自身漏洞、病毒、木马造成。要防止黑客攻击需要从硬件及软件两方面一起加固。硬件方面要设置防火墙、防病毒网关、入侵检测系统等最基本的网络安全设备,并且合理设置访问规则,及时更新病毒库。软件方面要从网站结构设计上考虑安全问题,并且实时监控网络,定期进行安全检查。

  黑客通过网上诈骗行为骗密。随着黑客技术的发展,除利用系统漏洞对网站进行攻击外,还出现了许多新的方法和手段,通过网页挂马、开设钓鱼网站和下载数据库成为不法分子获取和收集网民个人信息的主要方式。

加强个人信息安全的对策

  要从根本上杜绝大规模个人信息泄露事件的发生,政府、企业、个人等各方都需要高度重视,明确责任,采取切实可行的措施,不断加强个人信息安全。

  健全完善法律法规,严厉打击不法行为。2000年颁布的《中华人民共和国电信条例》、2009年颁布的《刑法修正案()》都对保护个人信息作出了规定,然而在实际操作过程中,仍存在着以下问题。一是我国当前对个人信息的保护机制还很不完善。只有顶层的《刑法》和电信行业有相关规定,严重缺少一般性法律、行政执法体系等末端制度设计,执法较难,可操作性上还需要进一步提高。二是由于普通网民很难知道自己的信息于什么时间、在什么地点、以什么方式、被谁泄露,所以想要起诉他人泄露自己个人信息非常困难。三是当前法律实践中一般将泄露个人信息视为侵犯隐私权的行为。按照目前的法律规定,侵犯个人隐私权应承担的责任多为停止侵害、消除影响,而获得精神损害赔偿的证明难度非常大。这样一来,由于受害者诉讼成本过高,也缺少法律援助,所以就算赢了官司,也很难得到适当赔偿,这等于纵容了泄露个人信息的侵权行为。建议政府有关部门尽快立法,从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护,将个人、网站和监管机构所应承担的责任、义务厘清,同时掐断地下个人信息买卖黑市渠道。

  建立应急机制,及时降低影响。保存有大量用户信息的网络企业和机构,应设置专门的信息安全管理部门并明确其职责,完善网络泄密预警机制,制定应对网络安全威胁预案,一旦发生网络安全事件,立即启动预案。一是预案要制定得详细周密,明确应对的重点难点,提出控制和化解问题的具体策略。二是要严格审核信息内容,根据关键字、点击量、点击频率等对敏感信息进行必要过滤,对点击量增长过快的信息进行审查,并尽可能侦察追踪信息源头。三是要利用主流媒体、门户网站及时对事件进行公开,宣传相关政策法规,对网民进行正确引导,控制事态的发展。

  加强技术研发,提高网络防护水平。要大力推动网络安全技术自主研发,力争在操作系统、专用芯片、加密算法和网站监控、信息跟踪、封堵、拦截技术上有所突破,构建网络泄密风险评估模型,完善网络安全技术防护体系。网络安全设备应从原有的业务保护层面进化成为整体网络保护层面,这对网络安全设备的性能和工作模式提出了新的需求;网站整体上必须提供一个完整的安全机制以便保证网络的全面安全;网络安全模式应变被动为主动,从传统的发现病毒、攻击后发布告警直至人工干预,变成发现病毒、攻击后通过网络设备之间的联动实施主动防御,保证网络安全。

  增强安全意识,养成良好的上网习惯。对广大网民而言,保护个人信息安全首先是要提高防范意识。互联网的“虚拟”特征导致网民网络行为规范意识淡薄、网络是非观念混乱,容易引发大量网络违规行为。如果仅从技术角度来看,发现危险并进行有效的解决并不十分困难,而真正容易给网络犯罪以可乘之机,经常被人们忽略的网络安全链中最薄弱的一环,其实恰恰是用户自己。除了制度和法律的保障,用户也要有个人信息的保密意识,并养成良好的上网习惯。当前,尤其要注意对于不同网站的账号,不能为了便于记忆都使用相同的密码,也不能以规则数字和字母,以及姓名、生日等与用户个人相关性很强的信息作为密码。