“泄密门”一方面暴露了网民安全意识普遍较低,另一方面更说明一些互联网公司缺乏安全运营的条件,而相关法律规范也有待完善。
据报道,继12月21日国内最大的开发者社区CSDN.NET的600万用户的账号和密码遭黑客泄露之后,天涯又传出有4000万用户的密码流出。此外,涉嫌被黑客公布用户信息的还有多家网站,涉及用户资料估计超过5000万份。
“泄密门”影响下,为了保护个人隐私和权益,大量网民不得不着手修改上网密码。
“泄密门”的爆出,终于使原来潜伏在水面之下的互联网信息安全问题成为公众关注的焦点。尽管在此之前,网站密码库的泄露在技术圈子内早已是公开的秘密,但一般民众并不知晓,而相关网站为了维护商誉与商业利益,也不会主动坦诚自己曾经遭遇黑客攻击。因此,从敲响网络安全警钟的角度讲,“泄密门”的爆出,对中国互联网的发展并非全是害处。
首先,应被“泄密门”警醒的是广大网民。在互联网时代,网络安全意识应该像日常交通安全意识一样,作为常识被确立。显然,“泄密门”暴露了我国网民安全意识普遍较低的现状。以CSDN为例,作为国内权威的技术论坛,该社区的用户在技术方面堪称专业,但流出的CSDN密码却显示,大批用户使用的竟是 “12345678”“11111111”这样超简单的密码。不设置过于简单的网络密码、不在不同网站使用相同密码、不在互联网上存储过于隐私的资料…… 这些常识还远未成为常识。
另外,应该被警醒的还有互联网公司们。由于缺乏相关法律依据,且同为泄密事件的受害者,遭泄密的网站目前似乎还不必为“泄密门”担责,但是,这并不能说明他们在泄密事件中没有责任。比如,对用户密码进行加密存储,应该是商业网站的运营常识,然而,由于种种原因,像这次泄密的CSDN、天涯等网站,却长期使用明文密码,以至轻易遭窃。
很多网站为了吸引更多用户、实现更好的用户体验,而刻意简略注册过程,纵容用户使用简单密码,从而给黑客留下了可乘之机。对于这样的网站,今后应该通过完善《网络信息安全法》之类的立法,以追究其渎职之责。
当然,对于黑客,或者商业网站或其内部人员有恶意泄露用户信息牟利的行为,则应该被追究责任。2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,已有相关规定,也有现实案例。
当前,微博实名制、铁路网上实名售票等正在推行,“泄密门”也提示人们:由于网站用户和身份资料紧密捆绑,这也使网民信息泄露的风险大增。如何严格保密,将是网络实名制不得不面临的考验。韩国也曾主导推行过网络实名制,但最终受挫,导火索正是源于一起数千万用户个人真实信息泄露事件。
对此,国内互联网公司和相关监管部门不可不鉴。尽管,这些问题可以通过技术手段实现,但是,最重要的还是完善相关法规,明确各方保护互联网个人信息的责任。用法律逼迫网站安全技术升级,同时也应让那些不负责任的网站,依法受到惩罚。
