2014-05-17 15:53:03
来 源
中存储
网络安全
继之前的CSDN信息泄露、支付宝用户信息泄露事件之后,有报道小米论坛的用户信息遭到泄露,涉及800万用户。请小米论坛用户赶紧修改密码。

互联网公司数据泄露一旦发生,危害性是非常严重的,因为往往都是涉及上百万用户的信息。继之前的CSDN信息泄露、支付宝用户信息泄露事件之后,有报道小米论坛的用户信息遭到泄露,涉及800万用户。

5月14日半夜十二点多乌云网公布了一个编号为WooYun-2014-60627的安全漏洞,根据这个漏洞的描述,小米论坛的用户信息遭到泄露。甚至在这个漏洞下面的评论有人说,据说之前很多网友都收到了大量的诈骗电话,电话源头能提供用户的准确信息,姓名,地址,电话,商品购买记录等等,以货到付款的方式进行产品推销及其他诈骗行为。

同时,乌云网也很快在官方微博公布说已将最新的用户报告提交给了小米科技官方,指明官方数据确实遭受了泄露事故,影响800w左右论坛注册用户,请小米论坛用户赶紧修改密码。

1

小米科技作为一家快速成长的手机厂商,本身就备受关注。而由于其粉丝经济的发展策略,论坛是小米科技非常重视的社区产品。这次的用户信息泄露涉及数百万小米论坛用户,更是受到业界极大的关注。小米的反应速度也不慢,在今天早上作出回应。

小米在回应公告中表示,2012年8月后注册小米账号的用户在本次事件中完全不受影响,对在此之前注册小米论坛账号,且在2012年8月后未修改过密码的用户,出于安全考虑,小米科技将通过短信、邮件等方式提示其尽快修改密码。

原因可能是数据库被拖库?

另外,小米科技还在公告中表示:在创业初期,我们的论坛及依附论坛产生的账号体系都使用了第三方开源程序。2012年8月,基于安全考虑,旧论坛账号体系不再使用,小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。

如此说来,小米科技似乎是说这次用户信息泄露的数据都是2012年8月之前使用第三方开源程序建立账号体系时候的数据。笔者就此事件分别咨询了安天实验室的安全专家Billy和乌云的相关人士。Billy 倒是比较直接,认为这其实就是和当时的CSDN信息泄露是差不多的情况,基本上也是从旧系统向新系统的转移后旧有系统的备份被拖库,所以泄露的是旧系统里的数据,对小米来说,当然也就是还在使用第三方开源系统的时候的数据。CSDN当时的用户数据泄露也是把旧系统的数据迁移到新系统之后旧系统的备份数据被直接拖库了。

4

责任不能简单推给第三方开源程序

不过,随后乌云的相关人士跟笔者表示事情可能真不是泄露那么简单。小米的公告中有点把责任推给第三方开源程序的意思,此相关人士表示第三方开源程序的特点就是人人都拿的到看得到程序里面逻辑,但不能说开源或闭源就不安全。这其实还是自身的安全意识不足够,而且这还是互联网公司的通病。这从当时CSDN信息泄露之后引出的一大票互联网公司信息泄露是同样的道理。

倒卖用户数据的黑色产业链

此外,乌云相关人士表示, 这甚至可能是黑色产业链拖数据,利用完之后才泄漏出来的。对于企业来讲其实数据是非常重要的,对于一些不法分子或商业竞争对手都有着巨大的商业价值,例如小米这次泄露的信息就涉及订单信息,商务信息和用户信息,这些信息都是存在企业IT架构的数据库中,拖库就是利用各种技术手段甚至内部配合方式将数据库非法获取。泄露的数据库会经过层层利用与售卖,到最后买家多了,可能就难以保证数据库不被人泄漏了。一般来说拖库的人跟最后洗库的人不是一波人,拖库的人卖库,越卖越乱,最终总有不靠谱的买家给漏出来。

2


用户需及时修改密码并堤防诈骗

这样看的话,可能泄露的信息已经在外流传了一段时间里。回顾开头评论里说到的,据说之前很多网友都收到了大量的诈骗电话、产品推销及其他诈骗行为,他的说法也不无道理。小米论坛的早期用户在修改密码之余,别忘记提高警觉。

延伸阅读:以往互联网公司数据泄露事件回顾
 

2011年12月21日晚上知名科技网站CSDN证实600余万用户资料被泄露,用户数据库被人放在网上公开下载,包括用户名、密码和邮箱数据。同时,人人网、多玩网、178.com、7K7K小游戏等知名网站的数百万用户数据资料,据称也被放到网上供下载,网民一片惊呼。
 
后来,历时40多天的缜密侦查,北京警方破获CSDN(微博)网站用户数据泄露案,并成功带破另外4起案件,共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。
 
2014年,网曝支付宝前员工李某贩卖大量用户资料,多达20GB,后支付宝官方微博发布声明回应称,李某泄露的信息不含密码、核心身份信息,不涉及用户隐私及安全。不过,对于泄露的信息到底包含哪些,支付宝并没有在声明中详细说明。
 
2011年,索尼公司的playstation网络(PSN)遭遇黑客,7700万用户的姓名、地址和信用卡数据可能被泄露。


国家相关法规对涉用户信息泄露公司的处罚

在CSDN用户信息泄露事件后,北京警方对CSDN网站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄漏的主要原因。市公安局向CSDN网运营公司提出了具体整改要求,并依据《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号)第二十条第(一)项规定,对北京创新乐知信息技术有限公司做出行政警告处罚。

中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令第147号发布)
 
目  录
 
  第一章 总 则
 
  第二章 安全保护制度
 
  第三章 安全监督
 
  第四章 法律责任
 
  第五章 附 则
 
第一章 总则
 
  第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
 
  第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
 
  第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
 
  第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
 
  第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
 
  未联网的微型计算机的安全保护办法,另行制定。
 
  第六条 公安部主管全国计算机信息系统安全保护工作。
 
  国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
 
  第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
 
第二章 安全保护制度
 
  第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
 
  第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
 
  第十条 计算机机房应当符合国家标准和国家有关规定。
 
  在计算机机房附近施工,不得危害计算机信息系统的安全。
 
  第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
 
  第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
 
  第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
 
  第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
 
  第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
 
  第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
 
第三章 安全监督
 
  第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:
 
  (一)监督、检查、指导计算机信息系统安全保护工作;
 
  (二)查处危害计算机信息系统安全的违法犯罪案件;
 
  (三)履行计算机信息系统安全保护工作的其他监督职责。
 
  第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。
 
  第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。
 
第四章 法律责任
 
  第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
 
  (一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
 
  (二)违反计算机信息系统国际联网备案制度的;
 
  (三)不按照规定时间报告计算机信息系统中发生的案件的;
 
  (四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
 
  (五)有危害计算机信息系统安全的其他行为的。
 
  第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。
 
  第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。 
 
  第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
 
  第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。
 
  第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
 
  第二十六条 当事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
 
  第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
 
第五章 附则
 
  第二十八条 本条例下列用语的含义:
 
  计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
 
  计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
 
  第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
 
  第三十条 公安部可以根据本条例制定实施办法。
 
  第三十一条 本条例自发布之日起施行。

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。