关于相关网站信息泄露事件的通报及加强网站及用户信息安全防范的建议

一、事件背景

12月下旬CSDN、人人网、7K7K、天涯、开心网、多玩等多个国内大型互联网站点相继出现用户数据库曝光，12月29日广东出入境政务服务网400多万用户信息泄露事件，导致网站安全及用户个人隐私成为了最近的大众关注焦点。

据国家互联网应急中心统计，本次通过公开渠道获得疑似泄露的数据库有26个，涉及账户、密码2.78亿条。其中，具有与网站、论坛相关联信息的（例如，被声称属于某个网站的数据）数据库有12个，涉及数据1.36亿条；无法判断网站、论坛关联性的数据库有14个，涉及数据1.42亿条；另经核实，广东出入境政务服务网共泄露4441392条用户信息，信息内包含用户真实姓名、护照号码、港澳通行证号码，的出生年月、邮寄地址、邮编、电话、证件有效期、出入事由等个人私隐。

我们通过严格培训提升公司全体服务人员职业素质，建立细致的服务规范，按专业、细致、及时、周到的要求为用户排忧解难。在安络科技，不管是我们的技术工程师、客服人员，还是管理人员，都会遵守一套严格的服务行为规范。诚实守信、遵守规范的职业道德不仅体现了安络科技的价值，也是我们赢得业内外人士认可的价值体现的服务战略。

二、信息安全影响

此次事件给互联网网站用户和相关业务平台用户带来了严重的个人信息安全威胁。被泄漏真实信息的用户，其网站个人账户中的信息可能会被窃取，甚至账户被盗用；很多用户注册账户时留下了电子邮件账户、电话号码，如果泄漏的密码与电子邮件密码相同，则会带来个人邮件的泄漏风险；黑客甚至可以利用这些邮件账户和电话号码冒用用户名义，在其他网站上利用密码重置功能进一步窃取更多账户。此外，这些大量被泄漏的账户也可能被黑客实施社会工程学进行欺骗甚至用于发送虚假、欺诈信息，危害其他用户安全和社会稳定。

三、漏洞问题分析

本次多个网站用户信息泄露事件， 初步分析主要由以下原因所致：

1、本次遭数据库泄露的网站中，一个原因是相当一部分网站采用明文方式存储用户密码，约有上亿规模的用户密码为明文存储。采用了加密措施的网站也有相当一部分采用公开的MD5算法对用户密码进行加密存储，而MD5已经是公认不安全的加密算法，通过简单的彩虹表碰撞(一种加密密码破解方法)可以在数秒钟内破解加密存储的密码；

2、本次遭数据库泄露的网站可能存在内部人员恶意泄密或本站所在的业务网络存在安全漏洞，已被攻击者渗透至内部网络并成功窃取重要数据；

3、本次广东省出入境政务服务网站用户信息泄露事件时由于网站开发时对页面访问请求的用户身份验证存在缺失，导致攻击者可绕过前端的登陆认证要求直接访问至查询页面。

四、防范措施建议

本次信息泄露事件带来了广泛的社会影响，再一次对互联网企业和互联网用户敲响了安全警钟。我公司提出如下安全防范措施建议，供各用户参考：

1、敏感信息强加密存储：本次的网站账户泄密事件之所以会造成如此大影响，很大一个原因是相当一部分网站采用明文方式存储用户密码。建议各单位对用户密码一类的私密信息必须加密，且加密方式最好为非公开的加密方式。

2、加强内部管理：由于本次数据库泄密事件的泄密原因仍未公布，存在内部人员泄密的可能。建议各单位建立有效可行的管理机制和操作规程，避免内部人员窃取并故意泄漏用户数据；

3、加强网络防护工作：本次数据库泄露事件同时也存在黑客成功渗透至内部网络并获取数据的可能，故各单位应加强对业务系统的安全漏洞检查和修补，部署安全防护设施，不给黑客渗透入侵的机会；

4、业务应用安全审计：本次广东省出入境政务服务网信息泄露是由于业务系统对访问的验证缺失所致越权访问事件。建议各单位要求各业务系统开发厂家对业务系统中各业务流程进行安全审计，检测网站是否存在越权访问、访问会话欺骗等安全问题进行自查，由信息安全服务提供商对以上安全问题进行复查；

5、前/后台安全隔离与交换：本次广东省出入境政务服务网就是由于Internet用户可直接访问至后台所致。网站系统通常包含前、后台两个部分，并且大多数的网站都是前台收集数据，后台处理数据并进行实际的业务操作，或者是后台编辑网页，然后上传到前台后进行发布。因此，我们除了要对来自互联网的直接威胁在网站前端进行防护外，还要重点保护后台数据库系统的安全，其中比较关键的就是两个平台的隔离与交换问题，应当在网站架构方面及数据传递过程中保障安全性，防止前台成为进一步攻击后台业务系统的跳板。

深圳市安络科技有限公司
2011年12月30日

技术咨询及应急响应联系人：欧伟权13510631903，叶勇军13631697616