一石激起千層浪

Internet時代，由于人為因素或系統漏洞引起的信息數據泄露事件比比皆是，這是大數據、云計算時代企業或個人進行商務運營或上網訪問時經常遇到的難題。2014年12月25日，鐵路客運訂票官方網站12306，被指流出約13萬用戶數據，其中包括用戶名、身份證號、手機號、郵箱、加密密碼等敏感信息。對于這種數據泄露事件，12306官方聲稱網上泄露的信息數據系經其他網站或渠道流出，且泄露的信息數據包含用戶的明文密碼，而12306官方已對數據庫所有用戶密碼進行多次加密，是非明文轉換碼。隨后，中國鐵路警方將涉嫌竊取并泄露他人信息數據的犯罪嫌疑人抓獲，并發布消息稱“犯罪嫌疑人通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，批量登錄12306網站進行‘撞庫’，從而非法竊取用戶信息數據”。

對此，山石網科解決方案技術經理任亮認為，數據泄露的原因主要有兩方面：一是網站本身存在漏洞，普遍的SQL注入、特殊的Struts2遠程代碼執行等，都可能被黑客利用盜取數據；二是由于網民同一賬號密碼在多家網站通用的習慣，黑客就可以拿先獲取的一些大型網站的數據去其它網站撞庫。

隨著智能終端和無線網絡技術的日益普及，越來越多的用戶通過客戶端軟件或網頁進行購物、銀行轉賬等操作，這類數據泄露事件將很常見。據了解，在開放的網絡環境中，企業或個人潛在的數據泄露風險有多種形式，既有靜態的也有動態的，既有潛在的也有當前的，既有技術層面的也有非技術層面的，既有外部的也有內部的，不只與計算機和智能終端有關。從危險來源的角度來看，有幾種數據泄露形式需要引起高度重視：一是系統自身的安全性較差，包括系統設計有缺陷、系統配置不合理；二是外部不法分子的非法訪問和惡意攻擊；三是一些競爭對手的間諜行為可能導致的數據被竊；四是操作系統、數據庫、應用程序、網絡協議等存在安全漏洞；五是內部人員有意或無意的非授權操作；六是讓人防不勝防的病毒木馬趁虛而入；七是其他一些客觀威脅，包括系統軟硬件自身質量不高、傳輸介質不安全等等。當然，無論哪種形式的數據泄露，最終還是由人為因素起關鍵性作用。

信安世紀認為，數據庫由于沒有進行加密或加密等級低，很容易被破解，特別是人們在網站注冊時，為了方便記憶，往往會使用相同的ID、郵箱和密碼等信息，因此，如果有網站由于缺乏管理而數據被管理人員竊取后出賣，而且數據庫沒有進行加密存儲或加密等級較低時，不法分子在購買數據后，可以直接或在破解數據庫后通過套用ID和密碼的方式破解用戶在其他網站的注冊信息。而且，當前各網站運營商在對數據進行加密時往往使用相同的手段，這可能導致各網站加密后的信息輸出的結果是一致的，這樣一來，當一個網站的數據泄露或被破解時，其他網站的信息也很 容易被破解，從而導致數據的泄露。由外部因素引起的數據泄露相對來說較易發現和控制，內部因素引起的數據泄露則因為具有一定的透明性和隱蔽性，往往很難防范控制。 因此，在確定數據面臨的泄露風險時，不能將眼光只聚焦到那些容易識別的外部風險上，更應該將眼光聚焦到來自內部的各種泄露風險上。