【IT168资讯】上千万账号信息被指外泄,泄密信息只有账号没密码——
你的支付宝还安全么?
还能用不?
……
本报记者 孙超逸
CSDN、天涯社区用户数据泄露后,电商领域内的当当、京东商城也被卷入其中,但这并不是尽头,随着“泄密门”持续发酵,一向被用户定义为“安全”的第三方支付平台也成了潜在的“泄密者”。 昨日,国内安全问题反馈平台乌云又曝出上千万支付宝用户信息已经外泄,对此支付宝回应称,只有账号外泄,对用户资金安全没有威胁。
支付宝:
用户资金安全无威胁
继曝出京东商城存在安全漏洞后,昨日乌云再次发布漏洞报告称,“支付宝用户信息大量泄露,被用于网络营销,泄露总量达1500万至2500万之多,泄露时间不明”。因为泄密信息仅为用户账号没有密码,乌云将这一漏洞的安全危害等级定级为“低”,但作为国内第一大第三方支付平台,支付宝被指存在安全漏洞,让业界惊出“一身冷汗”。
因为大部分用户会在支付宝里预存现金,如果支付宝用户信息泄露,则意味着用户资金面临威胁。不少网友在网上感叹“还有什么网站的信息不会泄露”。
对于乌云报告的这一漏洞,支付宝昨日马上发布公告进行“澄清”,强调支付宝账号不是私密信息,在很多地方都可以被搜集到。只有账号没有密码,对用户资金安全没有任何威胁。支付宝表示,其一直采取金融级的信息安全标准,去保护用户信息及资金安全。
支付宝的相关负责人表示,为了安全起见,支付宝的数据服务器与外网是相互隔离的,从外网无法直接访问数据库,用户平时登录的平台系统对账户、密码等信息也都是进行128位SSL加密传输,黑客无法截取。“没有任何人能从支付宝获得用户的密码等私密信息,过去没有,以后也没有,请大家放心。”支付宝在公告中信誓旦旦地表示。
安全专家:
泄密信息或曝支付宝密码
“从支付宝拿不到密码,不代表用户的支付宝账号就毫无风险。”互联网安全专家石晓虹认为。
此次“泄密门”事件已经导致过亿网民账号、密码涉嫌泄露,虽然支付宝这批泄露的用户信息中只有账号没有密码,但“有心者”与已泄露的数据库对比后不见得就找不到密码。同时,因为支付宝的账户多为电子邮箱,如果用户的电子邮箱和密码已经泄密,那么支付宝账号也可能不再安全。
石晓虹建议,账号已被泄露的支付宝用户尽快修改密码,不要心存侥幸;没有泄露的用户也应重新对自己的账号安全进行检查,包括更换交易密码及电子邮箱密码、设置交易限额等,保护自己账号的安全。
记者手记
发现问题且慢声张
在乌云这样的第三方机构今儿曝一个网络漏洞,明儿公布一个安全问题的“轰炸”下,网友们“一日三惊”,黑客们则闻风而动,伺机获利。
“泄密门”发展至今,至少有一点已经可以确定,就是网站的信息保护工作存在漏洞。这其中有的是因漏洞导致用户信息被盗,如CSDN、天涯,这种情况应向全体网友说明;有的则可能还没有被他人发现,或还没有被黑客利用,那这些“漏洞”就不适合满世界地嚷嚷,最终让所有的人知道。就像你发现邻居家没锁门,如果已经被盗,你应该赶紧通知邻居,报警并提示其他人;但如果还没被盗,你要站在楼前大喊一声“谁谁家的门没锁”,那就不合适了。
在“泄密门”中,每个网站和网友都应拿起“放大镜”,仔细审视我们使用的网络中是否存在问题,但千万请把发现的“漏洞”只对合适的人说,而且悄悄的。
连锁反应
一个邮箱放倒一片账号
“就是因为我的邮箱密码泄露了,连带着我的微博、人人网、MSN的账号也都被盗了。”大学生小刘在“泄密门”中损失惨重,因为被盗邮箱是他的“密码保护邮箱”,所以他连找回密码也无法做到,只能眼看着自己的微博因为乱发广告被关闭。被一个邮箱放倒一片账号的并非小刘一个,在“泄密门”中不少网友都因邮箱失窃损失惨重。
“电子邮箱在互联网生活中承担了太多的功能。”一位资深互联网业内人士表示,“泄密门”引发的连锁反应凸显出电子邮箱安全的脆弱。
对于商业网站来说,使用邮箱地址注册既能简化用户的注册流程,也有利于广告的“精准投放”,所以随着近年来互联网的发展,使用邮箱这种“泛ID”注册成为潮流。但用户安全却因此降低,因为一旦网站的用户信息泄露,用户的注册邮箱也可能被盗,这不但意味着邮箱内所有信息被“曝光”,一连串的相关账号也将受到牵连。
他建议,一方面网站应向用户提供多种ID注册的选择形式,而不是一刀切地要求全部用户都使用邮箱注册;另一方面,网民自己也应该注意邮箱的安全使用,不要用工作邮箱注册互联网账号,不要用密码保护邮箱和资料备份邮箱注册账号,邮箱密码与网站登录密码严格区别分开等等。