一直以来互联网上关于用户隐私各大厂商都爆发了多次互攻大战,纷纷扰扰,然而这次圣诞节前后有蛋疼寂寞黑客爆出了国内各大网站的数据库密码后,相信拿着用户隐私的噱头打架的厂商都会瞪大眼睛,哐啷哐啷武器掉了一地,因为这些打架的噱头在黑客眼里原来如同是过家家般。
作为一个安全工作者,我可能会比大家都看得更深入,下面我就稍微论述一下:
第一条,我觉得这次事件爆出了网站的原罪,其中一条就是明文存储用户密码,这次事件其中令人发指的是有将近4600多万的用户明文密码泄露,我就不点名厂商了。
第二条,是厂商和黑客职业道德,有一些厂商还频频犯错,错了也不知道认错,当你第一时间知道这些数据的时候,并没有觉得这是用户最珍贵的隐私,反而肆意传播,更有砖家拿着数据去登陆别人邮箱做秀,而黑客就更不用说了,我在微博上说过,无论是白帽子和黑帽子,请你保持作为安全人员的最后一点底线。
第三条,这些数据泄露会造成蝴蝶效应,当过千万级的明文密码,真实邮箱,网上常用ID暴露,如果有心人通过数据挖掘是能做出很多恐怖的事情的,你的密码使用习惯被人知道,如生日,喜欢的人,手机号码等等,你的ID和真实邮箱被泄露,那么你在网上所有的一切都有可能被人肉搜索,想想暗地里有一双双窥私的眼睛盯着你,随时可能给你致命一击,这是多么可怕的事情。
第四条,专业网站的数据更重要,想想,一群程序员被黑客攻击将会造成什么可怕的后果,100万封随便发的邮件木马最少总有100人中吧,更别说针对性的APT攻击,这是各大互联网厂商该警醒的,公司内程序员被黑客盯上了,你们家的数据源代码什么的,还不是探囊取物。
以上四条就是我的一些感悟,不想再过多说一些网站要怎么做的技术上的细节了。
年末了,希望大家要和谐,在这次事件上各自吸取教训,先做好自己的安全比什么都重要。
原文:http://hi.baidu.com/rayh4c/blog/item/ac4156b5e73862d037d3ca0f.html
