近日，關(guān)于網(wǎng)易郵箱數(shù)據(jù)泄漏事件鬧得沸沸揚(yáng)揚(yáng)。該郵箱辟謠稱自身系統(tǒng)并未被攻破，但消息發(fā)布方烏云漏洞平臺(tái)也言之鑿鑿。不論是被攻破，還是其余網(wǎng)站失守致殃及網(wǎng)易，不可否認(rèn)的是，大面積網(wǎng)民的個(gè)人信息，確實(shí)被泄漏了。為什么中國(guó)網(wǎng)民的“內(nèi)褲”如此易扒，被窺探隱私有何風(fēng)險(xiǎn)，作為網(wǎng)民之一的你，還安全嗎?

信息早泄漏多時(shí)，突然爆出是榨干最后利益

網(wǎng)易郵箱被爆出數(shù)億用戶個(gè)人信息與密碼泄露，這一事件在今天內(nèi)由于某匿名人士在國(guó)內(nèi)最大的Web安全漏洞上報(bào)平臺(tái)“烏云”上提交曝光，而在一瞬間內(nèi)引爆了整個(gè)我國(guó)網(wǎng)絡(luò)圈與各大媒體;然而有趣的是，安全業(yè)內(nèi)圈子對(duì)此事卻反應(yīng)平靜，并沒有大廈將傾、世界末日的驚恐景象。

事實(shí)上，該郵箱有一個(gè)庫在外面小范圍流傳，早就是安全圈內(nèi)心知肚明又無從考證的一個(gè)“真實(shí)的流言”，大量發(fā)生的其代理的某網(wǎng)游盜號(hào)事件以及部分用戶的網(wǎng)上支付產(chǎn)品被盜用事件不斷從側(cè)面映證著這一點(diǎn)。

??

直到頻發(fā)的iPhone手機(jī)被遠(yuǎn)程鎖定以勒索機(jī)主錢財(cái)?shù)木W(wǎng)絡(luò)犯罪案件，才將這個(gè)事實(shí)推到前臺(tái)。因?yàn)槲覈?guó)的蘋果用戶們很多都習(xí)慣于使用網(wǎng)易郵箱來注冊(cè)Apple ID以使用蘋果所提供的各種設(shè)備與云服務(wù)，所以大量的Apple ID被通過網(wǎng)易郵箱的密碼進(jìn)行登錄或?qū)⒃O(shè)備遠(yuǎn)程鎖定以敲詐勒索了。這無疑是一種極為高調(diào)的行動(dòng)，所帶來的結(jié)果就是：大家紛紛修改自己的密碼，而這個(gè)庫也將在被隱秘利用了許久之后失去自己的價(jià)值。

但換個(gè)角度來看，這恰恰說明這份數(shù)量龐大的郵箱信息數(shù)據(jù)庫其實(shí)已經(jīng)存在了太久，久到其真實(shí)價(jià)值已經(jīng)被“黑色產(chǎn)業(yè)圈”榨取殆盡(反復(fù)“洗庫”)，因此才會(huì)在它生命周期的最后一刻瘋狂利用一把，然后在事件被人揭破以后徹底公開，于是這個(gè)“真實(shí)的流言”功成身退，鞠躬下臺(tái)。

“黑色產(chǎn)業(yè)圈”產(chǎn)出“社工庫” 專欺普通網(wǎng)民

網(wǎng)絡(luò)空間既然有諸多明面上的生意之道，自然也有不能見光的陰暗交易，這種交易隨著我國(guó)互聯(lián)網(wǎng)的發(fā)展而蓬勃生長(zhǎng)，已經(jīng)成為了年產(chǎn)值數(shù)十億的巨大而完整的產(chǎn)業(yè)鏈。

安全學(xué)術(shù)界將自己所從事的領(lǐng)域由原有的“網(wǎng)絡(luò)安全”逐漸進(jìn)化為“信息安全”，這又從側(cè)面說明了“黑色產(chǎn)業(yè)”也罷、個(gè)體攻擊者都將關(guān)注點(diǎn)放在了“信息”本身上。因?yàn)樵谌魏螘r(shí)代，信息才是最有價(jià)值的無形資產(chǎn)。入侵重要組織，如政府部門、銀行證券業(yè)等，固然可以快速帶來巨大利益，但也同樣帶來較高的技術(shù)難度以及被抓風(fēng)險(xiǎn)，對(duì)“黑色產(chǎn)業(yè)圈”的“生意人”們來說不符合生意之道;于是他們將目光轉(zhuǎn)向你我，互聯(lián)網(wǎng)時(shí)代的普通網(wǎng)民，不懂網(wǎng)絡(luò)安全技術(shù)，取得敏感身份信息簡(jiǎn)直容易至極。雖然個(gè)體價(jià)值有限，但勝在數(shù)量巨大，聚沙成塔，其總體價(jià)值足以養(yǎng)活一個(gè)巨大的產(chǎn)業(yè)圈。

“大數(shù)據(jù)時(shí)代之下，個(gè)人隱私早已無所遁形”，這句話已經(jīng)被重復(fù)過無數(shù)次?！吧绻臁闭谴罅烤奂脩綦[私的地方。“社工”者，社會(huì)工程學(xué)也，實(shí)質(zhì)是黑客技術(shù)之外綜合利用情報(bào)學(xué)、心理學(xué)甚至騙術(shù)等知識(shí)的總稱而已。無數(shù)的“社工庫”里充滿著海量的用戶注冊(cè)郵箱、登錄ID、QQ號(hào)、常用密碼、銀行賬號(hào)、真實(shí)姓名、手機(jī)號(hào)碼等個(gè)人敏感信息。

“社工庫”個(gè)人信息從何而來?

一方面由大量網(wǎng)民們自行貢獻(xiàn)：點(diǎn)擊木馬、訪問登錄釣魚網(wǎng)站、設(shè)置簡(jiǎn)單登錄口令等;另一方面由信息服務(wù)的提供方泄露而出：“拖庫”(網(wǎng)站數(shù)據(jù)庫被黑客全部下載)事件以及XSS(跨站注入)導(dǎo)致的用戶權(quán)限劫持或密碼明文被盜取事件，以及內(nèi)外勾結(jié)主動(dòng)出售用戶個(gè)人信息事件等。互聯(lián)網(wǎng)用戶日常所需要使用的網(wǎng)絡(luò)應(yīng)用如此之多，而個(gè)人敏感信息的內(nèi)容種類與泄露方式也如此之多，體積與數(shù)量巨大的“社工庫”存在也就不足為奇了。

以下幾類常用信息，常常是“社工”們竊取隱私的“重點(diǎn)照顧對(duì)象”。

??

一是網(wǎng)名或注冊(cè)ID。作為網(wǎng)絡(luò)用戶首要的識(shí)別符號(hào)，一般人都會(huì)在選擇的時(shí)候注重唯一性與可識(shí)別性，這反而為攻擊者提供了方便，他們可以簡(jiǎn)單地通過網(wǎng)名或者注冊(cè)ID將分散在不同平臺(tái)上的各種相關(guān)信息關(guān)聯(lián)起來，形成屬于該個(gè)體的全面完整數(shù)據(jù)庫。

接下來是QQ號(hào)。社工庫中歷來將QQ號(hào)作為重要的數(shù)據(jù)指標(biāo)：結(jié)合外泄的QQ群信息庫導(dǎo)致無數(shù)曾在同學(xué)同事群中使用實(shí)名標(biāo)注群名片的用戶真名曝光。同時(shí)，QQ郵箱在各大社交網(wǎng)站、移動(dòng)互聯(lián)網(wǎng)應(yīng)用注冊(cè)時(shí)的廣泛使用，足以將各大網(wǎng)站的用戶行為數(shù)據(jù)、社會(huì)關(guān)系等與其真實(shí)姓名聯(lián)系起來了。

然后是真實(shí)姓名、手機(jī)號(hào)碼、銀行賬號(hào)等線下信息。我們做不到在網(wǎng)上給電話充值的時(shí)候不留手機(jī)號(hào)碼;也做不到在網(wǎng)上訂機(jī)票時(shí)不留下自己的真實(shí)姓名與身份證號(hào)碼。但當(dāng)騙子操著廣東話直呼你名字，叫你明天到他辦公室一趟的時(shí)候，才發(fā)現(xiàn)整個(gè)互聯(lián)網(wǎng)就是一片黑暗森林。

整片由無數(shù)信息所組成的黑暗森林，其根基是電子郵件服務(wù)。電子郵件服務(wù)是當(dāng)前唯一無需提交其他憑證即可隨意申請(qǐng)的主流互聯(lián)網(wǎng)服務(wù)，也是使用互聯(lián)網(wǎng)用戶服務(wù)的第一個(gè)入口。甚至可以夸張一點(diǎn)說，誰取得了電子郵件服務(wù)的控制權(quán)，誰就掌握了互聯(lián)網(wǎng)用戶的生命線。

信息泄露危害財(cái)產(chǎn)安全 誰該擔(dān)責(zé)?

此次事件最要命的一點(diǎn)是，國(guó)內(nèi)使用該郵箱的人不在少數(shù)，并且不少網(wǎng)民的支付寶賬號(hào)、網(wǎng)游賬號(hào)、網(wǎng)上銀行、Apple ID等關(guān)聯(lián)著大額甚至巨額資金的賬號(hào)與其綁定，故增強(qiáng)了網(wǎng)民的憤慨，集體指責(zé)其郵箱安全系統(tǒng)。那么，這次事件的責(zé)任方，究竟在誰?

首先，防御措施不足導(dǎo)致用戶數(shù)據(jù)外泄的責(zé)任，該網(wǎng)站是必然需要承擔(dān)的。

其次，泄漏數(shù)據(jù)的郵箱有沒有做過基本防護(hù)?據(jù)目前公開信息，此次曝光數(shù)據(jù)是2012年的該郵箱部分用戶數(shù)據(jù)(確實(shí)被隱秘利用了三年)，這些數(shù)據(jù)是已經(jīng)過了MD5算法進(jìn)行換算存儲(chǔ)的，而現(xiàn)在的其早已使用MD5+SALT的形式來對(duì)用戶數(shù)據(jù)進(jìn)行強(qiáng)度更高的防護(hù)。

另外，作為互聯(lián)網(wǎng)用戶的我們也同樣要承擔(dān)責(zé)任：我們使用各種簡(jiǎn)單好記的口令;使用同一個(gè)郵箱綁定了許多關(guān)鍵應(yīng)用;重復(fù)使用同樣的ID與密碼，這些隱私意識(shí)薄弱的行為，為盜取信息的“社工”打開了方便之門。

最后，整個(gè)社會(huì)，包括所有使用互聯(lián)網(wǎng)信息系統(tǒng)以及政府機(jī)關(guān)、企業(yè)與組織機(jī)構(gòu)，對(duì)自身信息系統(tǒng)防護(hù)的刻意忽視，對(duì)公民與用戶敏感信息安全的漠不關(guān)心，對(duì)內(nèi)部人員的信息安全管理、信息安全審計(jì)與問責(zé)機(jī)制的缺失，都是造成當(dāng)前互聯(lián)網(wǎng)上“社工庫”泛濫的罪魁禍?zhǔn)住?/p>

這次郵箱安全事件其實(shí)正是一聲響亮的警鐘，敲給所有的網(wǎng)民和信息安全管理部門。應(yīng)提高自己的信息安全意識(shí)與防護(hù)能力，否則此類事件將會(huì)一次又一次、越來越嚴(yán)重地繼續(xù)爆發(fā)下去。