泄密门两嫌犯被拘:白天工程师 晚上做黑客

李方皓 发布于 2012/01/15 19:05
阅读 1K+
收藏 2

泄密门两嫌犯被拘:白天工程师 晚上做黑客

实际上,由于法律意识淡薄,以及抱着好玩的态度,很多在互联网公司从事安全的技术员工,以及安全厂商的技术员工都或多或少的盗取、传播过用户的信息库。

轰动一时的用户信息泄漏事件终于有了“买单者”。

1月12日,本报记者从北京市公安局了解到,CSDN(中国软件开发联盟)泄密的两名嫌疑人已被刑事拘留。其中一名为北京籍黑客,另一名为外地黑客。

“这两名嫌犯是盗库的嫌犯,公安机关抓到之后,我们对其藏有的用户库进行了比对。”CSDN创始人兼总裁蒋涛亦向本报记者证实。

包括这2人,截至目前,公安机关查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。

此前的10日,国家互联网信息办通报称,CSDN、天涯等网站信息泄漏,目前公安机关正在溯源。

其中京东商城确遭入侵,但数据并未泄漏。YY语音聊天网站泄漏的数据系该公司员工从内部数据库窃取;工商银行等金融机构的系统并未被入侵。开心网、当当网、人人网、凡客等网站均未被入侵,部分账号密码系利用公开库进行破解而获得。

内外控失效

这位盗取CSDN用户数据库的员工可能涉嫌‘非法入侵计算机系统罪’。”知名IT律师赵占领告诉记者,“刑法第285条显示,非法侵入计算机系统,或者采取其他技术手段获取计算机系统中的数据,情结严重者会判处 3年以下有期徒刑,情节特别严重者判处3年到7年。”

并且,提供用户数据、传播用户信息、出售个人信息等行为也违反了法律,“非法出售、提供个人信息,判处3年以下有期徒刑。”

实际上,本报了解到,由于法律意识淡薄,以及抱着好玩的态度,很多在互联网公司从事安全的技术员工,以及安全厂商的技术员工都或多或少的盗取、传播过用户的信息库。

在黑客圈,黑客往往认为盗取用户信息并不带来多少危害,只要本能上觉得只要不要进行售卖、钓鱼等明显的盈利行为,那么就并不违法。

“大家都会觉得没事。因为此前,互联网上,根本没有人因为用户信息泄漏的问题而被抓。” 星云融创CEO马杰说。

据马杰介绍,安全厂商会与自己的员工、互联网公司会与安全系统的员工签订相关的协议,协议里会逐条写清楚在供职期间不允许做危害公共安全的事情。

“但是这个禁令基本无效,因为最终做不做危害公共安全的事情,还要看员工本人。”马杰告诉记者,安全从业人员一般都服务于不同的公司,关系并不紧密。黑客这个行业并没有行业“潜规则”来对黑客的行为进行规范。

“白天安全工程师,晚上黑客”

“CSDN对敏感信息不敏感,也缺乏安全意识。”蒋涛承认,包括CSDN在内的国内大型网站安全意识都很薄弱。

据蒋涛介绍,目前,整个互联网的安全现状极不乐观:70%以上的加密算法密码库都可以通过高频碰撞破解,80%以上的互联网公司都存在漏洞,60%以上有安全策略的公司还存在着漏洞,地下数据库显示,网站暴露出来的问题甚至更多。

这些漏洞,也就是黑客入侵的基础。

众多的黑客潜伏在IT互联网公司。在这次泄密门事件中,YY语音聊天的信息泄漏是其员工自身来泄漏的,而窃取CSDN用户数据也是互联网公司的技术人员干的。

“这是企业员工的自发行为,和企业并没有关系。但这也说明了安全行业身份的多重性。”一位黑客告诉记者,这些人可能白天是某企业的安全工程师,晚上就是黑客。

“泄密门”两嫌犯被拘: 白天工程师晚上黑客

据一位资深黑客介绍,这些用户数据库早已是黑客圈公开的秘密;但这一次整个互联网行业的用户信息被泄漏,背后可能有某些商业组织在推动。

“在国内,黑客的圈子虽然小,但大多是个人,组织松散,并且,行业也有自律。一般不会产生这样大的爆库行为。”这位黑客称。

一般情况下,用户库都只是在黑客圈中传播,但一旦进入大众视野,影响便没法控制,因为有很多通道可以进行传播。比如,迅雷、黑客圈的QQ群、论坛的FTP下载。

据北京市公安局相关处室透露,CSDN和天涯这两家网站曾在2009年以前遭入侵,数据泄漏也发生在两年前,近期这两家网站并没有遭到攻击。

“这一次,黑客是善意的,爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库爆出来。

泄密门曾有预警

在密码泄漏事件中,一个叫做乌云漏洞平台(Wooyun.org)从不为人熟知的专业平台一下跃入大众视野。乌云吸引了一大批黑客,他们在发现企业漏洞时,便将这些漏洞与补丁传到这些网站上去。

但是,这个平台一直不受企业待见。蒋涛亦坦承,事发之前,乌云漏洞平台把大部分漏洞做出了预警,告诉了相关企业,但各个企业并没有引起足够重视,没有及时提醒用户修改密码,导致后来一发不可收拾。

缘何企业对预警如此忽视?

这缘于黑客与企业之间多年形成的微妙关系。这些企业对黑客往往是又气又恼。在黑客面前,企业就像一个学生。本文来源于菲律宾太阳城。黑客老师天天挑学生的毛病,刚开始可能觉得是正向激励,日子久了,自然对黑客没好脸色。

更有一些公司极端地认为,没有黑客,企业的漏洞在某种程度上来说就不存在,“即便存在,也不打紧。只要不暴露,就可以视而不见”。

但是,企业又无法“忽视”黑客。因为,黑客冷不防就会给上“温柔一刀”。一些大的互联网企业甚至直接“招安”黑客,纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。

“其实,黑客需要的是肯定。”上述安全行业工程师告诉记者,在乌云的平台上,企业会给提交漏洞的黑客以积分,用作鼓励。黑客也愿意无私提交发现的漏洞,如此形成了一个良性循环。

应对之策

“未来,各个网站应该和类似乌云漏洞的平台合作。”蒋涛倡议,未来,国内安全界和技术界不应该再有隔离。

CSDN开始全方位亡羊补牢。1月11日,CSDN与阿里云展开针对网站安全的战略合作。据蒋涛介绍, CSDN将采用阿里云邮箱,并把该邮箱与其他邮箱隔离,避免一个邮箱泄漏,“全城皆失”的情况。并且,还将接受阿里云提供的其他服务。

“我们应该和那些安全做得好的企业合作。”蒋涛称,除百度、阿里、腾讯等大公司,以及某些游戏厂商外,许多国内的互联网公司,包括CSDN在内,并没有太多实力去成立一个专门的安全工程师团队。

蒋涛告诉记者,CSDN会加强自身的安全策略,把网站的非核心数据与核心数据进行隔离,减少有价值数据的接口;并且正在向安全部门申请信息系统的等级保护,接受信息安全监管部门的相关管理。并且,CSDN还会引入相应的安全审核机制,防止数据信息从内部泄漏。

加载中
0
____33
____33

还是没有说明为什么会是明文保存,我当初第一个写的小网站的用户密码也懂得用md5来加密。。。还有蒋涛这人太恶心了,还是一副整个互联网行业都不安全,好像他家CSDN用户数据会泄漏是很正常的样子。
再有,这抓的两个所谓黑客,连个名字都不说下么,不供大家瞻仰下?
按照这个帖子意思,是说技术员工都是贼了,kao。。。

0
xesam
xesam

很多在互联网公司从事安全的技术员工,以及安全厂商的技术员工都或多或少的盗取、传播过用户的信息库

看来我们大家要跪下了

0
苦行瓜
苦行瓜
明文保存,别有用心。。。。。
0
雷志伟
雷志伟
我坚信, 真实的黑客, 哪怕是真正的骇客, 是不会用QQ的, 更不会用QQ群这种弱智的, 无法控制的工具.

反跟踪, 时刻擦屁股是黑客的第一条守则!
0
LimSteven
LimSteven
很多在互联网公司从事安全的技术员工,以及安全厂商的技术员工都或多或少的盗取、传播过用户的信息库    这句话是不是隐含着这两个黑客的身份?金山?360?瑞星?还是...QQ(算不)?
0
Monkey
Monkey
明文保存密码就是把银行卡密码写在卡上,然后卡掉了你还能怪人家是黑客。自己不带套子嫖,得了病还能怪别人啊。
0
神勇小白鼠
神勇小白鼠
嗯 上电视了,我就当是杀鸡给猴看。 最近出的事太多了.....
0
板命的鱼
板命的鱼
就凭公安局那几只肥猪能抓住真正的黑客?
0
六只
六只
哎呦,csdn真牛逼啊。自己明文存储还怪黑客。蒋涛老兄,还是自己好好思过吧。
0
Jeffery
Jeffery

据蒋涛介绍,目前,整个互联网的安全现状极不乐观:70%以上的加密算法密码库都可以通过高频碰撞破解,80%以上的互联网公司都存在漏洞,60%以上有安全策略的公司还存在着漏洞,地下数据库显示,网站暴露出来的问题甚至更多。

这些百分比他是怎么算出来的,有根据吗

返回顶部
顶部