当前,网络安全问题开始得到越来越多互联网公司的关注,但一些安全厂商的产品却频涉隐私问题,不禁令人反思。据了解,去年7月,漏洞报告网站乌云平台曝光金山网络用户中心存在SQL注射漏洞,同时明文储存用户密码,造成严重安全威胁;无独有偶,今年初,有网友发现金山浏览器赔付页面出现了XSS漏洞;加上2012年初引起轩然大波的“泄密门”事件,金山一年三陷泄密风波,实属罕见。
图:乌云平台曝光金山漏洞
根据乌云平台曝出的相关信息显示,金山存储密码的方式为明文存储,一旦数据泄露黑客可以轻松获得大量用户的账号密码。乌云平台对此也发表质疑,认为金山方面应该给出合理的解释。同时也有网友指出,金山此举是为了方便数据挖掘,毕竟密码加密后对数据分析的是非常有难度的。但这些数据是用来做什么,金山并没有给出明确的答复。
据了解,此前中国互联网业最严重的一次泄密事件就和金山有关,金山某员工最早公布了密码包供下载,结果造成了中国互联网行业的一场浩劫。在此次事件后,大部分公司都加强了安全防范强度。但金山却仍然使用明文保存密码,作为安全公司,金山的做法无疑过于草率。
2011年底,黑客在网上公开了CSDN、天涯等网站的用户数据库,导致超过1亿个用户账号和与之对应的明文密码被公开泄露。账号泄露之后,给很多其他网站带来了灾难:由于很多用户为了便于记忆,习惯于在不同网站注册时使用相同的用户名和密码,这给了黑客以可乘之机,黑客利用技术手段大量到电子商务网站验证这些用户名和密码,一旦发现相同的用户名和密码,即套取用户账号内的余额、更改用户订单等,造成了极恶劣的社会影响。如京东商城、当当网、苏宁易购、亚马逊中国、 1 号店等多家网站,去年都曾遭遇过这种“盗号门”。甚至是号称金融安全级别的支付宝,也常有网友曝出盗号的问题。近期,一些流量较大的团购网站美团、点评团、窝窝团,又有一些用户账号被盗,账户余额被盗用。
安全专家指出,这些盗号事件的根源就是因为明文密码:有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,一旦数据库泄露,黑客就可直接掌握所有密码,进而影响到整个互联网的安全。作为老牌安全公司,金山在近几年的表现始终不尽如人意,屡屡从安全公司沦为泄露安全公司,在社工库等知名网络安全事件中都可以看到金山的身影。专家表示,金山在安全行业被后辈赶超,导致进退失据,错误的将事业重心放到了提升产品质量之外的地方。这种方式是非常不可取的,应该引起相关企业的重视和警惕。