从“云计算”到“云威胁”：互联网安全迎来最大挑战

日前，大量银行金融机构客户及网站用户的密码泄露事件震惊全国。据前瞻资讯数据中心监测，累计泄露的用户密码预计为2.3亿，涉及网易、人人、天涯等大型网站，招商、交通等银行金融机构，平安、光大等证劵机构，甚至中国海关、广州市政府等官方组织。

在这场中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件中，最让人忧虑的并不是网民的隐私被暴晒，也不是黑客的猖狂，而是我们的网络安全正在面临新的威胁，这种威胁躲在“云”中，甚至身披安全警察的制服……

超过两亿条用户密码泄露

据一位黑客界人士透露，最早曝出“多家网站用户密码信息遭泄露”的是一家名为“乌云”的安全组织，时间在12月4日。随后的日子里，一些包含有密码信息的压缩包在黑客圈子地下流传——在黑客界，这种“交流”并不罕见。

灾难真正开始是在12月21日。这天上午，包含有600万个CSDN用户密码的压缩包被放至公开下载渠道。更恐怖的是，蜂拥而至的网友发现了一个更大的“宝藏”，在下载CSDN密码包的时候，从“相关下载”按图索骥可以下载到更多的密码包。于是这些压缩包像病毒一样被网友疯传。

据金山网络安全工程师对密码包的统计结果，成为众矢之的的CSDN泄露的600万密码只是沧海一粟，此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号，但预计受影响的用户将在千万级别。

目前CSDN、天涯已对此公开承认事实并道歉，其他被涉及的网站一直未明确表态。近10家大型网站卷入

让我们梳理这次事件爆发的过程：黑客利用网络平台的安全漏洞入侵服务器，将包含网友用户名、密码的数据库下载到黑客自己的电脑(被称为“拖库”)，黑客圈子地下传播，公开渠道下载散播。

这显然与大家普遍认知的网络安全威胁有明显区别。一直以来，个人网络安全防范紧盯的是“端”(用户本地端)的问题，不管是传统的杀毒技术，还是近年来流行的“云安全”技术，其本质均是防止“端”被病毒、木马等入侵，从而确保用户安全。但此次事件中，威胁并不在“端”，而在“云”中，对于用户来说，以往的任何安全举措在面对这种“云威胁”时都成为浮云，只好“躺着也中枪”了。

值得提及的是，“云威胁”比传统威胁危害严重得多。据安全界人士介绍，多数用户为了便捷，在多个网站使用同样的邮箱、密码注册，这意味着“一道城门被攻破，全城失守”。如果网友用公司邮箱注册，则更可进一步暴露商业机密。而在支付、网银等平台的账号信息也可能被轻易攻破。

据一位业内人士根据目前流传的密码包统计，与CSDN一道被“爆库”的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站，还包括至少16家大型商业银行、21家证劵机构，以及至少19家政府机构网站。

隐私泄露事件已发生多次

这一泄密事件或将给国内网络界带来强烈震荡，但多位业界人士断言“这绝不会是最后一次”。下如此论断的依据还得在历史中寻找——在此之前，已有多次“云威胁”案例，但均未引起足够重视。

据了解，就在泄密事件发生前的不到一个星期，包括360手机助手、豌豆颊等在内的多个Android客户端曝出“公共WiFi泄密”问题。安装360手机助手的Android用户，在公共WiFi环境中将“门户大开”，任何处于同一WiFi网络的用户，均可随意访问其手机中的隐私文件，包括个人照片、文档甚至联系人、短信等。尽管目前360已通过升级版本解决此威胁，但如果不知情的用户并未升级，将一直处于“裸奔”状态。