批准单位:中共广东省委宣传部 中共广东省委机构编制委员会办公室 主管单位:广东省出版集团 主办单位:广东省省情调查研究中心
关注我们
调查服务号
省情发布
当前位置:省情发布 > 民情民意 > 对用户安全负责是互联网企业的基本操守
对用户安全负责是互联网企业的基本操守

2015-10-23 来源:南方都市报

    上一个周末,大量网友和网络媒体称,网易邮箱在10月14日被全面暴力破解,而致力于关注网络安全的乌云漏洞报告平台,更指出网易存在漏洞,163/126邮箱有过亿数据泄露。网易公司随即极力否认,斥之为谣言并坚称网易邮箱无漏洞、信息未泄露。

  乍一眼看去,也许不少人会认为,邮箱被破解能有多大事?在前互联网时代,邮箱可能只是储存信息、用于交流的工具,邮箱被破解大不了泄露邮件内容,而在邮箱已经用作资产关联账户并起到密码保护作用的数字时代,常用邮箱被全面破解几乎是涉及个人信息到财产安全的全方位核爆级安全事故。以此次事件爆发所涉的大量个案为例,如果泄露为真,最直接的影响就是以网易邮箱注册的或以其为密保邮箱的关联账户都将暴露无遗,包括游戏账户、百度云盘和微博,游戏账户可能被洗劫一空、百度云盘上的小电影都透明化、使用多年的微博可能被肆意清空篡改甚至用作僵尸号……如果这些虚拟世界的事情听起来还不够严重,想想用网易邮箱注册的支付宝账户和里面绑定了快捷支付的银行卡。而此次事件之所以会不断发酵,正是由于有不少苹果手机用户表示,自己使用网易邮箱绑定A ppleID的手机被锁并被擦除数据,对此有用户求证后称该问题最早集中出现在10月15日,被波及的用户共同点是全部都使用网易邮箱,时间恰恰是被传网易邮箱被暴力破解的次日,有用户甚至因此丢失所有上传云端iC loud的信息并要找苹果换一部新手机。

  当用作密保和资产及社交媒体账户的邮箱被破解,从虚拟到现实的所有信息、财产都有可能被洗劫。面对如此严重的潜在危险,网易的回应则是以通篇艰涩的专业语言将原因归结为“撞库”来撇清,大意是“我们的安全保障技术全国第一,没有漏洞,泄露是因为用户自己在别的低级安全保护网站用了同样的密码在别处被盗,能登上网易邮箱是碰巧”。可是有网友称,自己在别处根本没用过和网易邮箱同样的密码游戏仍于相近时间被盗,于是知乎网友慕容行者推测是早期明文密码泄露或自动登录明文传输密码被嗅探。乌云直接认为网易遭遇了非常严重的“拖库”,简称被黑客把整个原始数据库都盗走了,并称虽有M D 5加密但很容易破解,网易邮箱的密码提示问题和答案、注册的IP和生日都一并被盗。

  技术问题非专业人士都是雾里看花,互联网使用在中国扩张得非常快,但普遍而言对于信息安全保护的意识较为淡薄,而且对于信息泄露的后果有多严重并不知晓。因此,如此前的携程疑似信用卡C V V码(安全验证码,只需卡号与该码即可刷卡)泄露事件最终也是不了了之,用户甚至都不太知道这件事或者知道了也照用不误。这样的环境下,互联网企业很容易被惯坏,一口咬死自己没错,拖着拖着也就过去了。

  然而,无论网易邮箱是否信息泄露,网易的危机公关处理都可谓糟糕。如果确有信息泄露,坦诚就是最好的策略,认错是正视问题的第一步,当年iPhone4出现了边框天线设计缺陷,乔布斯一开始也矢口否认,像网易将板子打在用户身上一样去责怪竞争对手,最终他仍承认错误并承诺任何对iPhone4不满意的都可以退,结果退货率反而更低。其实道理很简单,如果真的发生了这样的核爆级安全事故,用户不知情、不做防备只会让事态扩大,至不可收拾的境地又于网易何益?而如果确实没有泄露,明智的做法是用最通俗易懂的方式向用户解释,并给出密码修改、规避风险的详细安全提示。一味责怪用户使用相同密码,所有细致的安全提示都是第三方做的,等于在把用户推走。越是不懂的用户越会倾向于用一个邮箱注册所有账户,而他们通常不会使用高级密码,所以受到的影响是最大的,当有他们无法理解的风险存在,这些因不了解而忠实的用户也会最快地因不了解而离去。

  在这样一个数字时代里,对用户信息安全的保护很可能也是对他的个人信息、财产乃至人生的保护。互联网企业肩负着自己都未必意识到的重任———为用户的安全负责,应该是他们的基本操守。而所谓负责,不只是致力于创造趋于完美的产品,也是在产品不完美的时候接受它、正视它,并让用户理解这些完美与不完美。(来源:南方都市报  作者:南方都市报评论员)



GDSQZX.COM.CN