修改密码治标不治本 网站安全工作应被立法要求
新闻提示近日,国内最大的开发者技术社区CSDN600余万个用户邮箱账号和密码被泄露,引发网络安全集体恐慌,众多知名网站相继陷入“密码疑云”。
被称为“中国互联网史上最大信息泄露事件”的此次危机,拉响了互联网公司信息安全的警报。工信部发布通告,对该行为表示强烈谴责,同时要求各互联网站要开展全面的安全自查。
据新华社、《人民日报》
互联网密码被黑客破译、泄露后,很多大网站纷纷发表声明,要么致歉,要么否认泄密,但无一例外,都要求注册用户修改密码。在逐渐被要求实名制的现在,用户密码被轻而易举获取、公布,实在是给了互联网一个沉重的打击。随即传言四起,甚至包括银行客户信息泄露——虽然立刻遭到银行方面否认,但个人信息泄露的难题,前所未有地引起了公众的忧虑。
让人更加担心的是,泄密事件爆发后,互联网用户接到了大量要求修改密码的信息,却少见各大网站公布自己采取的新的保密措施。这似乎给人一个错觉,只要密码及时改了,黑客就会止步,就会保证用户信息的安全。
但事情真是这样吗?显然不是。只要看过泄露的名单,就会发现,黑客是直接获取了网站的注册资料,不管密码设置得简单还是复杂,黑客进去,照样一锅端。
按这个逻辑,密码多复杂都能被破译,而在这一过程中,该负主要责任的,是那些丢失用户密码的网站,与用户无关。说白了,就像银行弄丢了钱,不能去怪客户一样,网站弄丢了用户的密码,也不能让用户承担责任。
在一些丢失用户资料的网站,可以发现,这些网站几乎长期不进行技术更新,即使有更新,也不涉及早期注册的用户。防护如此脆弱,几乎不堪一击。在忽视安全的情况下,用户资料今天不泄露,明天也可能泄露。所谓警钟,应该是为这些网站敲响的。如果再次发生这样的事情,用户就有可能对这样的网站望而却步,这对它们的发展几乎是致命的。
互联网发展至今,人们可以发现,对这一行业最大的威胁,一是来源于恶意的黑客,二是来源于受雇用的网络水军。对于后者,随着实名制的逐步展开,有可能进行遏制,而对于前者,却一直缺乏有效的法律约束——没有人去要求网站如何做,全凭自觉。
但愿这次事件,能真正让立法者看清危害,立法去要求网站做好安全工作,一旦出事,则有责任对用户的损失进行赔偿。
当然,对于这次大规模盗取用户资料的黑客,以及那些故意在网上散布这些资料的人,甚至包括趁火打劫、希望在此事件中捞一票注册用户,或者想获取其他利益,或以谣言制造恐慌的人,警方也应该迅速查清。
《刑法修正案》已经有了“非法获取公民个人信息罪”,但现在看来,只将犯罪个体限定在单位内部人员上,还是远远不够的。应该有进一步的细则和补充条款出台,让所谓“灰色利益链条”上所有的环节都得到惩处。
这一次信息泄露危机,应该成为中国互联网历史上一个典型案例,互联网站、立法与执法部门,都应该从中获取足够的经验。只有吸取教训,明确责任,同样的事情才有可能不再出现。
页:
[1]