12月28日消息,近日,CSDN、天涯等大型网站的用户数据库外泄,引爆国内网民对于个人隐私保护的关注。瑞星安全专家表示,目前已知泄漏的帐号密码均为媒体、社区类,并未包括利用价值较高的支付密码、网银密码或者SNS(微博)密码等,用户在修改密码之后,完全不必要过度恐慌。
根据瑞星互联网攻防实验室对整个事件的追踪分析,可以肯定的是,此次出现泄漏事故的厂商,问题都出在服务器端,可能存在漏洞的地方是服务器操作系统、数据库、磁盘备份及论坛程序等,对这些环节的软硬件进行加固处理可以很好的防止再次出现泄漏事故。
瑞星安全专家也指出,由于密码泄漏在服务器上,用户在自己电脑上进行的防护几乎失去了意义,只有互联网厂商做好防护之后,才能谈到用户客户端的安全防护。在整件事件中用户处于最弱势、最无能为力的环节,瑞星呼吁所有的互联网服务厂商应提高自己的安全能力,承担起应有的保护用户隐私的责任;对于已经出现问题的厂商,应及时、透明的公布应对措施,帮助用户提升自己账号级别。
针对目前的形势,瑞星宣布:在未来的1个月内,如有大中型互联网公司怀疑自己的网站有安全问题,瑞星愿意为其提供免费技术援助,检测软硬件安全程度、弥补系统漏洞、服务器状态检测等,协助其做好用户数据的保护工作。
瑞星安全专家表示,尽管目前泄漏的仅是不太具有利用价值的密码,但如果将来出现SNS网站密码泄漏、电商网站密码泄漏,其可能带来的损失将大大超出CSDN网站的密码泄漏。值得警惕的是,密码泄漏的利用价值跟数据库大小无关,比如,如果银行网站的数据库泄漏,即使只有几千个用户,那也比几百万、上千万的社区用户数据库有价值,因为黑客可以直接利用其窃取用户资金。
针对普通网民,瑞星安全专家建议可以采用以下措施提高帐号的安全性:
用户不应该盲目信任“大公司、大网站”,在网上注册的时候应尽可能少的透露自己的个人资料,如非必要,不要泄漏电话、家庭住址、银行卡号、QQ密码等私人信息。
一定要“1个网站1个密码”,不要在多个网站使用同一密码,避免黑客通过攻击安全性低的网站,拿到其数据库后去猜解别的网站密码,近日有多个网站发生此类情况,有些使用相同密码的用户帐号被猜解成功。
设置网站密码时,应至少在8位以上,数字、字母和特殊符号(@%&)混合,这样可以加强密码强度。
应每隔一段时间就定时更换所有密码。比如每三个月就至少更换一次重要网站的密码,这样即使黑客拖库成功,也可以降低其利用密码作恶的成功率(这一条最重要)。