北京的陳女士注冊(cè)了一家自己的網(wǎng)店做生意，網(wǎng)絡(luò)賬號(hào)與手機(jī)是綁定的。有一天，她打開(kāi)收入賬戶(hù)查看，令她震驚的是里面的資金已經(jīng)不翼而飛。經(jīng)調(diào)查后發(fā)現(xiàn)，不法分子設(shè)法掛失了陳女士的手機(jī)卡，后補(bǔ)辦新卡，從而盜取了她的網(wǎng)絡(luò)賬號(hào)、登錄密碼、支付密碼。陳女士的遭遇是目前網(wǎng)絡(luò)信息泄露案例中的一個(gè)典型，卻不是泄密的唯一途徑。2011年5月初，花旗銀行披露其北美地區(qū)銀行網(wǎng)站受到黑客惡意攻擊，21萬(wàn)北美地區(qū)銀行卡用戶(hù)的姓名、賬戶(hù)、電子信箱等信息可能被泄露。
　　類(lèi)似的事件在中國(guó)不時(shí)發(fā)生。自2011年12月下旬起，國(guó)內(nèi)網(wǎng)絡(luò)上盛傳各個(gè)社區(qū)和社交性網(wǎng)站的用戶(hù)資料及密碼被泄露，到年底，“銀行卡泄密”風(fēng)波已經(jīng)著實(shí)讓人們恐慌了一陣。2012年1月10日，國(guó)家互聯(lián)網(wǎng)信息辦發(fā)言人說(shuō)，流傳的信息泄露并非全部屬實(shí)，但網(wǎng)友們?nèi)詾樽约旱男畔踩珦?dān)憂(yōu)，他們紛紛發(fā)問(wèn)：我的銀行卡還安全嗎？
　　
“銀行泄密門(mén)”引發(fā)恐慌
　　2011年12月29日，名為“挨踢客”的微博發(fā)布消息稱(chēng)，有網(wǎng)友向其爆料說(shuō)國(guó)內(nèi)多家銀行的用戶(hù)數(shù)據(jù)已經(jīng)被泄露，其中涉及交通銀行的7000萬(wàn)用戶(hù)和民生銀行的3500萬(wàn)用戶(hù)。微博上還附帶了一張顯示“被泄密”用戶(hù)姓名、卡號(hào)、密碼等敏感信息的截圖，圖中顯示出“工商銀行用戶(hù)資料”的字樣信息。正是這則消息將始于2011年12月下旬的網(wǎng)絡(luò)“泄密門(mén)”事件推向了高潮。
　　在這條消息爆出不久前，中國(guó)最大的開(kāi)發(fā)者技術(shù)社區(qū)CSDN（中國(guó)軟件開(kāi)發(fā)聯(lián)盟）的600萬(wàn)用戶(hù)數(shù)據(jù)被泄露，其中包括用戶(hù)名和密碼；之后多玩網(wǎng)被傳泄露800萬(wàn)用戶(hù)數(shù)據(jù)；幾天后，天涯社區(qū)4000萬(wàn)用戶(hù)數(shù)據(jù)包被瘋傳；開(kāi)心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛(ài)網(wǎng)等網(wǎng)站也相繼被卷入這場(chǎng)風(fēng)波。正因如此，銀行資料泄密的傳言才引起了更大的恐慌，一時(shí)間“人人自?！薄?br/>　　對(duì)于泄密事件，相關(guān)部門(mén)迅速做出了反應(yīng)。就在銀行卡泄密消息爆出前一晚，工信部發(fā)布通告稱(chēng)，CSDN、天涯社區(qū)等網(wǎng)站發(fā)生用戶(hù)信息泄露事件后，工信部已立即啟動(dòng)應(yīng)急預(yù)案，組織相關(guān)通信管理局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、網(wǎng)絡(luò)安全專(zhuān)家和部分互聯(lián)網(wǎng)企業(yè)，了解核實(shí)事件情況，評(píng)估事件影響和危害，研究提出應(yīng)對(duì)措施。另外，工信部還要求各互聯(lián)網(wǎng)站開(kāi)展全面的安全自查。
　　
竊密手段五花八門(mén)
　　在“銀行卡泄密事件”中，交通銀行、民生銀行和工商銀行都迅速發(fā)表聲明否認(rèn)“泄密”，同時(shí)均表示銀行卡信息絕對(duì)安全。但事關(guān)人們的切身利益，大家不禁質(zhì)疑：我們的個(gè)人信息真的安全嗎？對(duì)此，瑞星安全專(zhuān)家王占濤直言不諱：“其實(shí)不僅是賬號(hào)和密碼，幾乎所有的信息都有被‘偷看’的價(jià)值和可能，比如你的地址、性別、年齡、收入、電話(huà)、單身與否、網(wǎng)購(gòu)習(xí)慣和花銷(xiāo)、上網(wǎng)瀏覽習(xí)慣、地理位置……”
　　據(jù)王占濤介紹，根據(jù)所“偷看”信息性質(zhì)的不同，可分為兩種情況：一種是用戶(hù)的賬號(hào)、密碼等私密信息，可以通過(guò)病毒和木馬等惡意程序從用戶(hù)處直接竊取，或是攻擊網(wǎng)站漏洞，竊取網(wǎng)站服務(wù)器上的數(shù)據(jù)庫(kù)，直接竊取用戶(hù)密碼，還可以通過(guò)已泄露的密碼去猜測(cè)其他網(wǎng)站的密碼。此外，個(gè)別網(wǎng)站由于內(nèi)部員工行竊，也會(huì)出現(xiàn)用戶(hù)數(shù)據(jù)泄露事故；而個(gè)別中小型非正規(guī)的招聘網(wǎng)站，也可能會(huì)出現(xiàn)出賣(mài)用戶(hù)資料獲利的情況。
　　另一種則是用戶(hù)的上網(wǎng)習(xí)慣、地理位置等信息。對(duì)這類(lèi)信息，一般是通過(guò)對(duì)用戶(hù)電腦、手機(jī)的掃描和監(jiān)控獲取。如今，具有此類(lèi)功能的軟件為數(shù)不少，有些會(huì)在安裝或操作前告知用戶(hù)并征得同意，有些則是偷偷進(jìn)行。此外，用戶(hù)上網(wǎng)行為的不謹(jǐn)慎，或是密碼過(guò)于簡(jiǎn)單、易于破解等，也是信息泄露的原因。
　　信息“被偷”的危害無(wú)需贅言。對(duì)于用戶(hù)而言，更嚴(yán)重的是，與實(shí)體物品不同，網(wǎng)絡(luò)上個(gè)人信息“被偷”很難發(fā)現(xiàn)，如果沒(méi)有發(fā)生錢(qián)財(cái)丟失等實(shí)質(zhì)性損失，或許你會(huì)在很長(zhǎng)一段時(shí)間和偷竊者共用你的信息。
　　據(jù)悉，目前的賬戶(hù)密碼泄露事件大多發(fā)生在終端，即卡號(hào)和密碼的保護(hù)工作沒(méi)有做好，比如用戶(hù)在ATM機(jī)、POS機(jī)或銀行網(wǎng)點(diǎn)的柜臺(tái)輸入銀行卡密碼時(shí)，被不法分子通過(guò)安裝攝像頭或者從周?chē)蹈Q獲知客戶(hù)卡號(hào)、密碼等關(guān)鍵信息。在取得密碼的同時(shí)，不法分子還會(huì)在銀行門(mén)口的刷卡處或者ATM機(jī)上安裝小型讀卡器，從而獲取用戶(hù)銀行卡上的磁條信息以用于復(fù)制其銀行卡。因此，用戶(hù)刷卡時(shí)一定要注意周邊環(huán)境，并觀察輸入設(shè)備上有無(wú)異常，比如刷卡用的POS機(jī)是否是山寨的、柜員機(jī)上的讀卡器是否異常等。
　　而網(wǎng)絡(luò)上的密碼泄露，多是因?yàn)椴环ǚ肿幼?cè)了類(lèi)似銀行域名的網(wǎng)站，誘使銀行客戶(hù)通過(guò)其他網(wǎng)站的鏈接登陸假冒網(wǎng)站，從而竊取用戶(hù)的網(wǎng)上銀行注冊(cè)卡號(hào)、登陸密碼和交易密碼等。
　　
提高防范意識(shí)
　　針對(duì)此次泄密事件，信息安全專(zhuān)家建議：用戶(hù)應(yīng)分級(jí)管理密碼，對(duì)于一些重要賬號(hào)（如常用郵箱、網(wǎng)上支付、聊天賬號(hào)等）單獨(dú)設(shè)置密碼；定期修改密碼可有效避免網(wǎng)站數(shù)據(jù)庫(kù)泄露影響自身賬號(hào)；工作郵箱不用于注冊(cè)網(wǎng)絡(luò)賬號(hào)，以免密碼泄露后危及企業(yè)信息安全。
　　專(zhuān)家也同時(shí)提醒：不要信任任何網(wǎng)站的安全防護(hù)措施，而應(yīng)采取正確的安全策略，比如不要隨意注冊(cè)無(wú)關(guān)網(wǎng)站賬號(hào)，不要輕易在安全性低的網(wǎng)站購(gòu)物，并盡量采用更多的驗(yàn)證方式。
　　對(duì)于網(wǎng)上銀行用戶(hù)而言，除了提高防范意識(shí)之外，一個(gè)必要的措施是安裝相關(guān)銀行提供的安全軟件。以下幾種是業(yè)內(nèi)人士所推薦的：
　　其一，數(shù)字證書(shū)。它是由證書(shū)授權(quán)中心發(fā)行，以便人們?cè)诰W(wǎng)上用它來(lái)識(shí)別對(duì)方身份的工具。網(wǎng)銀數(shù)字證書(shū)是互聯(lián)網(wǎng)上標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)。在服務(wù)器上安裝服務(wù)器證書(shū)后，客戶(hù)端瀏覽器可以與服務(wù)器證書(shū)建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會(huì)被加密。同時(shí)，瀏覽器會(huì)自動(dòng)驗(yàn)證服務(wù)器證書(shū)是否有效，驗(yàn)證所訪問(wèn)的站點(diǎn)是否是假冒站點(diǎn)，服務(wù)器證書(shū)保護(hù)的站點(diǎn)多被用來(lái)進(jìn)行密碼登錄、網(wǎng)上銀行交易等。
　　其二，客戶(hù)端證書(shū)。這是個(gè)人數(shù)字證書(shū)的另外一種應(yīng)用。工行稱(chēng)之為U盾，農(nóng)行叫做K寶，支付寶里的則稱(chēng)作支付盾。證書(shū)內(nèi)容和密鑰信息被存于特殊的USB Key（一種USB接口的硬件設(shè)備）中，通常是不能被導(dǎo)出或復(fù)制的。當(dāng)使用證書(shū)從USB Key中獲取信息時(shí)，還需要密碼。這種防護(hù)措施可以提供可靠性較高的網(wǎng)絡(luò)安全保證。
　　其三，動(dòng)態(tài)口令卡。它類(lèi)似于一張數(shù)字表，表格內(nèi)的幾十個(gè)數(shù)字由橫縱坐標(biāo)表示。在進(jìn)行交易確認(rèn)時(shí)，銀行會(huì)隨機(jī)詢(xún)問(wèn)一個(gè)或者幾個(gè)坐標(biāo)的數(shù)字，如果能正確輸入對(duì)應(yīng)格內(nèi)數(shù)字便可以成功交易。
　　其四，動(dòng)態(tài)口令牌。根據(jù)時(shí)間或某個(gè)事件，動(dòng)態(tài)口令牌上會(huì)生成一個(gè)一次性密碼，一般在1分鐘或指定時(shí)間后更新。在有效時(shí)間內(nèi)，用戶(hù)使用該密碼進(jìn)行交易，而當(dāng)時(shí)間過(guò)期或者該密碼被使用后，用戶(hù)再次進(jìn)行交易時(shí)，需要生成新的動(dòng)態(tài)口令牌密碼。
　　當(dāng)然，只靠用戶(hù)一方的防范措施是不夠的。普通用戶(hù)處于技術(shù)和信息的弱勢(shì)地位，作為服務(wù)提供方的網(wǎng)站，應(yīng)該負(fù)起更大的責(zé)任——以網(wǎng)站數(shù)據(jù)庫(kù)泄露為例，其主要原因在于網(wǎng)站漏洞被黑客利用，用戶(hù)電腦再安全也無(wú)濟(jì)于事。CSDN董事長(zhǎng)蔣濤日前在反思用戶(hù)數(shù)據(jù)泄露事件時(shí)直言，國(guó)內(nèi)互聯(lián)網(wǎng)公司當(dāng)前普遍存在對(duì)數(shù)據(jù)安全和系統(tǒng)安全認(rèn)識(shí)不夠的問(wèn)題。“就好像用戶(hù)丟了錢(qián)包，只提醒用戶(hù)往錢(qián)包里少裝點(diǎn)錢(qián)是不夠的，更重要的是對(duì)整體環(huán)境的整治?！?br/>　　
　　編輯：尹潔　美編：陳思璐　編審：吳迎春<b