广东444万条出境申请信息 网上“不设防”

南都讯 记者陈万如 继CSDN、天涯社区等网站用户信息外泄后，这场“泄密”风波逐渐超出社交网站的范畴，蔓延至电子商务、银行业甚至政府网站，引起人们对网络上个人信息安全的担忧。

互联网人士指出，网站“泄密”情况一直都有，只是近期被密集曝光。问题主要出在国内很多网站包括政务网站系统架构水平低、安全意识差。用户对此完全不可控，只能靠网站不断维护。

明文保存密码是“泄密”根源

资深程序员徐湘涛表示，首先，明文保存密码是多个商业网站用户信息被泄露的关键。另外目前国内不少网站包括政务网站，系统架构水平较低，网站开发和管理人员的安全意识比较差。“网站需要做好数据隔离，最基本的比如用多层防火墙隔离存储用户数据的服务器，限定只能在内网访问该服务器，外网不能访问。”

按照我国有关规定，银行网站必须进行“代码审计”，在网站开发人员之外另聘第三方的专业人员审查网页代码是否存在漏洞，但对电子商务网站尚未有此要求。美国则要求在其资本市场上市的互联网公司进行“代码审计”。

网站“泄密”杀毒软件也无奈

对近期多个网站连续被曝光泄露用户信息，徐湘涛表示，这些事情一直都在发生，不是在近期密集发生，而是密集被公开。各大网站的数据库被爆，在圈子里已经流传好几年了，在C SD N泄密被公开后，新闻效应导致其他网站的漏洞也被踢爆。

金山反病毒工程师李铁军也表示，从各个网站被泄露的用户数据来看，这些数据被泄露已有几个月甚至是几年的时间，并非近期窃取的数据。

“泄密问题出在服务端，用户完全不可控，装在客户端的杀毒软件也无法防止。软件的漏洞总是不断地被发现，只能靠网站不断维护。”李铁军指出，如果网站请专业的安全团队做维护，分析访问日志，会发现黑客入侵信息，堵截相关漏洞；否则可能出现“被黑客盗取资料仍懵然不知”的情况。

受损用户有权向网站索赔

此外，北京市盈科（广州）律师事务所律师贺俊从法律角度分析指出，如果是黑客入侵窃取数据，按照2009年我国通过的《刑法》修正案规定，构成了非法窃取计算机信息数据罪。如果是网站内部员工泄露了数据，那么根据《侵权责任法》，这也是侵犯公民隐私权的行为。

“不管是黑客入侵还是内部泄露，网站既构成侵权，又构成违约。如果用户因为信息泄露造成损失，有权向网站索赔。”

支招

如何保护个人信息安全？

互联网时代，普通网民应该如何保护个人信息安全？

反病毒工程师李铁军建议，网友应该把日常使用的网络服务分类，重要服务如邮箱等，需设置专用密码，避免黑客获得其他网站泄露的数据库入侵邮箱。

李铁军特别强调，网民需注重常用邮箱的账号和密码安全，一旦邮箱被入侵，黑客可以从邮件的信息中获取联系人、职业和使用者个性等信息，有可能冒用身份，发送病毒邮件和木马后门程序，实现诈骗等活动。“邮箱就像保险箱，里面有打开其他服务的全部钥匙。”

而徐湘涛就针对用户密码，给出了几点提醒：

1.别以为你的账号不值得被利用，黑客会用程序批量扫描；

2.营销公司、诈骗团伙对你的信息包括社交网络关系很感兴趣；

3.最好是各站用户名邮箱密码均不同，至少银行、金融支付等重要密码和普通的娱乐、社交网站不同。

4.退而求其次的办法是，密码根据对应网站作相应变化，如新浪密码后面加上na，百度的密码加上du.

背景

今年网站“泄密”事件

8月4日 湖南省公安厅官网泄露超过3000名申请赴港的港人内地配偶的详细资料。

12月21日知名程序员网站CSDN的一份用户数据库由于未查明原因被曝光，包含超过600万个注册邮箱账号和对应明文密码。

12月22日网友爆料游戏网站多玩网有800万用户资料被泄露。同日，网上还流传着疑似人人网、猫扑、7K7K等多个网站的用户信息库。

12月25日天涯社区4000万用户账号和密码被泄露，天涯表示“天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据”。

12月27日京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录后都可以访问到所有用户的姓名、地址、电话、Email等。

12月29日过千万的支付宝用户的账号被泄露，支付宝回应称“单纯的支付宝账号不是私密信息，对用户资金安全没有任何威胁”。 整理：南都记者陈万如

相关新闻

交通工商民生银行

否认用户资料外泄

南都讯 记者陈万如据互联网资讯平台挨踢客的消息称，网友向挨踢客爆料，国内多家银行的用户数据已经泄露，其中包括交通银行7000万和民生银行3500万用户。根据网友提供的部分信息截图，泄露数据的银行包括交通银行、民生银行、工商银行等，数据包含了用户的姓名、卡号、密码等敏感信息。

昨日下午，民生银行和交通银行均在各自的官方网站发表正式声明，称传言失实，否认有资料外泄的情况。工商银行也向媒体发函，称用户资料安全，并无外泄情况。

资深程序员@徐湘涛也认为，银行系统里不可能存在明文密码，那个文件里的所谓密码不可能是银行卡密码。最大可能性是第三方支付平台的用户数据被盗，泄露了卡号和姓名，密码是第三方支付平台的支付密码。