万物互联时代,因软件产品漏洞或人为操作失误等原因导致用户信息泄露的事件比比皆是,即使是正版授权软件也难逃此劫。这是互联网企业或软件开发商在依托一款软件产品进行商务运营时经常碰到的难题。
近日,铁路客运订票官网12306用户数据泄露事件引发社会广泛关注,知名手机论坛“机锋论坛”更是传出有2300万条用户数据遭泄露,包括用户名、邮箱、加密密码等重要信息。目前,“机锋论坛”尚未就此作出声明,12306官方则称用户信息是通过其他渠道泄露的。随着智能终端的普及,越来越多的用户通过客户端软件或网页进行购物、银行转账等操作,如果用户信息遭泄露被不法分子利用,后果将不堪设想。那么,用户应如何保护个人信息?软件厂商或服务提供商为保护用户信息,除对产品进行更新升级外,还能采取哪些措施?记者就这些问题采访了网络安全专家。
用户信息面临安全隐患
对于12306事件,中国铁路客户服务中心在其官方网站中刊登声明,称网上泄露的用户信息系经其他网站或渠道流出,且泄露的信息含有用户的明文密码,而中国铁路客户服务中心已对数据库所有用户密码进行多次加密,是非明文转换码。随后,铁路公安机关证实犯罪嫌疑人采用“撞库”方式,即通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息,批量尝试登录12306网站,进而非法获取了用户数据。不过,360公司旗下的360补天漏洞平台“白帽子”(即正面的黑客,可以识别安全漏洞,上报给厂商进行修复)认为,12306之所以被“撞库”,根本原因是12306账号安全体系存在缺陷,手机APP端存在漏洞,黑客可以轻易绕过其账号安全防护措施,无限次尝试自动登陆。目前,360已将手机APP漏洞通报中国铁路客户服务中心进行修复。
其实,这类网络安全隐患很常见。记者在采访中了解到,目前,网上有大量的木马伪装成12306的数据包,隐藏在网盘、聊天群共享中。此外,网上还存在大量被植入木马病毒的炒股类软件,一旦下载运行此类软件,用户将会遭受资金损失和信息泄露等。
多方施力降低泄露风险
那么,用户的数据到底是通过什么渠道流出的?据乌云网合伙人邬迪介绍,除病毒木马存在外,企业对用户数据的保管不当和软件产品存在漏洞被他人通过技术手段窃取等也是主要原因。据悉,乌云网是国内具有很高知名度的信息安全平台,近年来,几乎国内互联网的每一次重大的安全事件的披露,乌云网都功不可没。
要保障用户的信息安全需要服务商或软件厂商以及个人用户的共同努力。乌云网知名“白帽子”瘦蛟舞(化名)建议厂商应不断对相关产品进行更新升级,对网络或软件漏洞进行及时修补。对于普通用户而言,百度移动安全部首席产品架构师阮龙则建议,要养成良好的使用习惯,培养安全意识,应在正规的应用软件平台下载应用,不下载、不安装来历不明的软件;谨慎刷机和开放手机权限,如果必须刷机,也要选择官方或知名厂商推出的软件版本;对于涉及金钱等敏感的信息应用程序,尽量选择知名厂商,如支付宝等。此外,安装一款杀毒软件产品也十分必要。
除此之外,阮龙还建议,网络服务提供商或软件厂商可以同第三方数据安全软件厂商加强合作,由后者提供更专业的数据防泄露服务。“以华途文档安全管理系统H7为例,在不改变用户使用习惯基础上,可对电脑的任意文档实行透明加密,加密后的图片或文档即使被拷贝出去,也不能在其他电脑端打开。”在数据安全解决方案提供商华途软件有限公司销售总监王子谦看来,国内拥有众多各具特色的数据安全服务商,不同企业可根据各自领域特色选择不同的厂家合作,这也是提高数据安全的较好方法。
“用户可以放心的是,虽然目前手机上的客户端软件存在较多漏洞,但专门针对手机客户端软件漏洞进行攻击的恶意程序并不多,风险较高的多是服务器端的漏洞,用户使手机银行客户端还是相对较安全。只要用户养成良好的使用习惯,就可以最大程度降低信息被泄露的风险。”瘦蛟舞表示。
