黑客攻击 用户轻视 相关企业意识淡薄 □罗争光 朱翃
工业和信息化部相关部门负责人日前透露,《信息安全技术:公共及商用服务信息系统个人信息保护指南》预计今年上半年正式出台。在CSDN等大批网站陷入“泄密风波”、上海罗维邓白氏公司因非法获取和买卖公民个人信息等事件相继遭曝光后,该《指南》的出台被寄予极大期望。
网络个人信息缘何频频出现“泄密”危机?一系列事件背后的“溃堤之穴”到底何在?经调查发现,目前网络个人信息泄露主要存在三种情形。
第一类是黑客攻击网站盗取用户个人信息。北京警方不久前披露的CSDN网站数据库泄露调查结果显示,犯罪嫌疑人都是通过入侵网站服务器而盗取的信息,而入侵的主要方式就是寻找网站的漏洞。由此牵涉出的多起案件中,一名犯罪嫌疑人交代,自己曾入侵过网站充值平台及其股票系统;另一名犯罪嫌疑人表示,自己非法获取网站微博用户信息并登陆发送微博广告牟利。
警方表示,黑客攻击破坏活动趋利性日益明显,已形成由制作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条。根据《第28次中国互联网发展状况统计报告》显示,2011年上半年,有过账号或密码被盗的网民达到1.21亿人,占网民总数的24.9%。
业内人士指出,黑客在盗取网站的用户信息库后,会把这些信息倒卖、分销给“黑公关”或“钓鱼公司”,这些单位则可能向这些用户发送垃圾广告、传播电脑病毒、发布诈骗信息甚至通过试探用户的网上支付密码来盗取支付账户中的余额。
第二类是互联网企业在用户信息数据安全方面意识淡薄,甚至利用用户信息牟取商业利益。互联网安全企业“奇虎360”公司副总裁石晓虹表示,有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,而明文密码是最不安全的数据保存方式,一旦数据库泄露,所有密码一览无余。也有一些网站随意收集个人信息后,把过期的或者多余的个人信息随意丢弃,造成数据泄漏。
上海泛洋律师事务所高级合伙人刘春泉认为,已经有很多案例表明的确存在互联网公司员工主动泄密以获得非法报酬的情形。而从事后追惩看,大多只针对个别员工,并没有对相关企业进行追惩,达不到实质性的惩处效果。
第三类是用户个人对网络信息安全的轻视。石晓虹表示,当CSDN遭遇“泄密门”之后网民掀起了一股“今天你改密码了吗?”的行动,在一定程度上也反映了用户个人平时对于网络账户管理和信息安全不够重视。例如,一些网民出于方便,对网络账户密码的设置非常简单,或使用单一重复的数字密码、或使用自己名字的拼音等等,使得不法分子可以轻易盗取。
业内人士指出,即使知道网络个人信息保护存在上述三种“溃堤之穴”,但由于监管和追查的各种困难,就算知道信息被泄露了,也很难查到在何处泄露。
工业和信息化部科学技术情报研究所2011年下半年开展的调查显示,30%的被调查对象认为可能是通过网站泄露,30%认为可能是通讯公司,另有30%不清楚到底是在哪个地方泄露。因取证困难,不足10%的调查对象在个人信息被滥用后采取了相应维权措施。
该所副所长刘九如表示,当前涉及个人信息保护的法规制度中,金融、电信等新领域的相关规定最为具体,而职业中介等一些机构引入的个人信息,保护规定则比较缺失,“一家网站往往标榜用户的信息在自己这里很安全,但说起来容易,做起来难。”
法律专家及业内人士普遍认为,尽快出台专门性、统一性的个人信息保护的专门法律,将个人信息的使用、信息泄露的取证以及执法力度进行统一,是堵住上述“溃堤之穴”最紧迫也最有效的途径。 (据新华社)
新闻推荐
本报讯(记者李刚文/图)5月2日晚10点33分,在人民街与炳草岗大街交叉路口发生一起两车相撞交通事故,导致2人受伤。当晚10点35分,记者在车祸现场看到,一辆黑色现代特拉卡越野与一辆出租车在两条公路交汇处...