「洩密門」挑戰雲計算 移動終端成駭客新戰場

「自從知道了那些人心惶惶的洩密事件後，我把支付寶、財付通之類的線上支付帳戶全都清空了。 」在北京中關村工作的白領孟靈對《第一財經日報》說。 她告訴記者，她查到自己的天涯帳號被盜之後，決定起碼半年之內，網上購物除了不得不使用網銀U盾支付外，只要能貨到付款的就不會再選擇網上支付的方式。

她的遭遇或許並非個例。 這場從CSDN開始引發的洩密潮，在越來越多存在風險的行業引發蝴蝶效應。 儘管有支付企業稱洩露的使用者資訊中只有帳號沒有密碼，但由於不少線上支付使用者的帳戶就是電子郵箱，而如果使用者的電子郵箱和密碼已經洩密，那麼協力廠商支付的帳號也可能變得不再安全。

對於CSDN、天涯等網站大規模洩密而言，網站只需要發封道歉信，通知使用者修改密碼就行，但如果關乎使用者財產安全的網上銀行、支付寶資訊被駭客盜取，實在讓人難以淡定。

糟糕的不止這些。 當越來越多的企業熱炒雲計算，當移動互聯網迎面而來時，擔憂接踵而來：我們的資訊真的安全嗎?

雲時代的命門

「洩密門」正在對雲計算形成挑戰，索尼就是前車之鑒。

從去年4月17日至今，索尼旗下游戲平臺Play Station Network(PSN)至少遭遇了三次駭客襲擊。 駭客已經盜用了超1億使用者的個人資訊，包括PSN註冊ID、郵箱帳號、登錄密碼甚至是與信用卡帳號相關的資訊。

在索尼PSN公有雲平臺被入侵後不久，即有駭客在論壇上掛牌銷售上百萬個來自索尼PSN網路資料洩露受害者的個人資訊，儘管此前索尼聲稱信用卡資訊已經加密，但事實上資料庫裡的內容已經被讀出。

雲計算往往意味著「隨需應變」的自助服務、大量的資源分享池、更低的成本以及更高的工作效率。 但在這些優勢的背後，海量的資料被轉移到使用者掌控範圍之外的機器上，如何確保存儲海量重要資訊的「雲」的安全，卻在無意間被人們忽視了。

「一系列洩密事件不難看出，在很多互聯網企業內部安全環節都比較薄弱，如果企業未來把海量資訊放到‘雲’上，首先對企業自身的心理承受能力就是巨大的挑戰。 」 雲計算安全廠商星雲融創行銷總監孫大偉對記者說。

雲計算一般可歸納為IaaS(基礎設施即服務)、PaaS(平臺即服務)和SaaS(軟體即服務)三個層面，孫大偉告訴記者，90%的駭客攻擊發生在SaaS層面，不過事實上從底層到上層，有著各種不同的駭客攻擊路線。

網秦首席安全專家鄒仕洪博士則向記者坦言，個人或企業對於雲端的資訊安全疑慮，成為了雲計算普及的最大難題之一。 「在雲時代，保護資料的邊界很難劃清，而且業內對雲計算如何存儲和保護資料還沒有統一的執行標準。 」

按照服務物件的不同，雲計算一般分為公有雲和私有雲兩大類，前者指的是面向大眾範圍內的服務物件的雲計算服務，而後者一般是指社會單位為自身需要所建設的自有雲計算服務模式。 孫大偉告訴記者，不少金融機構以及醫療等就是出於安全問題的考慮，不敢採用公有雲模式，而是在其內部搭建私有雲系統。

不過孫大偉、鄒仕洪都認為，這次的洩密事件是一次安全問題由隱性到顯性的預演，不能因洩密事件因噎廢食，否認雲計算對於企業和個人的價值。 此前賽迪顧問發佈的《中國雲計算產業發展白皮書》預計，到2012年，我國雲計算市場規模將達606.78億元，「十二五」期間，我國雲計算產業鏈規模可達7500億至1萬億元人民幣。

「移動」的風險

移動終端已經成為駭客們的「新戰場」。

中國最早的駭客組織綠色兵團創始人、現COG資訊安全性群組織創建人龔蔚預言，這次洩密事件只是一場更大規模安全事故的前戲，預計重大事件將在2012年爆發，影響中國幾億的移動終端使用者。

這不是危言聳聽。 鄒仕洪告訴記者，僅去年一年就新增手機惡意軟體24794款，惡意軟體樣本2943個，其中在中國地區全年累計感染智慧手機1078萬部。

根據360安全中心發佈的相關中國手機安全報告，手機木馬的危害主要由系統破壞轉向惡意扣費和竊取使用者隱私。 例如之前鬧得沸沸揚揚的木馬「X臥底」，本質上是一款駭客間諜軟體，不僅會回傳使用者短信，甚至還能監聽使用者通話。

「惡意扣費就更不用說了，手機木馬會偷偷在後臺發送定制SP業務的短信，使用者手機話費在神不知鬼不覺的情況下被吸走。 」360安全專家石曉虹說。

其中，佔據智慧手機半壁江山的Android成了「重災區」。 石曉虹告訴記者，由於Android系統開源、開放、免費的特性，木馬可以通過系統漏洞進行提權，獲取到手機最高許可權(root許可權)，從而可以在使用者無感知的情況下進行系統檔操作，包括刪除系統檔、竊取隱私資料、 植入更多木馬等等;而iOS對系統底層檔的調用限制特別嚴格，相對安全，不過一旦「越獄」，軟體也會被授予更多許可權，安全問題不容樂觀。

不久前就有國外安全廠商表示，在不到半年的時間裡，平臺的惡意程式數量增加了一倍之多，數量首次突破四位數。 這些可疑的應用程式大多出現在協力廠商應用程式商店，這可能導致身份資訊洩露、手機短信費用上升等問題，而在部分嚴重的地區例如俄羅斯、以色列和中國，惡意軟體數量甚至達到總數的4%。

移動支付的興起也在激發駭客更高的興趣。 此前，易觀國際預計稱，2012年移動支付使用者有望達到2.2億戶，市場收入規模將增長78.8%，達到52.4億元。 2013年則有望突破200億元，達到235.1億元。

易觀分析指出，雖然移動支付市場前景一片大好，但帳戶的安全性是使用者選擇手機支付方式的主要門檻——使用者對互聯網上支付的安全性都存質疑，更何況是在新的移動支付領域。

「移動支付令使用者在智慧手機上的活動直接與利益掛鉤，駭客完全可以利用惡意軟體誘騙使用者安裝，從而獲取更多隱私資訊，現在已經出現這種苗頭。 」鄒仕洪說。

石曉虹建議，手機使用者應盡可能學會通過一些常規技術手段保護自己的手機安全、個人隱私等合法權益，不過洩密事件的主要責任在於沒有保護好使用者資料的網站。 國內部分線民安全意識薄弱，習慣使用同一套註冊郵箱和密碼，進一步放大了網站洩密的危害。 「從根本上，各大互聯網站應承擔起保護使用者資料安全的義務，而不是苛責所有線民都能立刻具備安全意識。 」

近年來重大網路洩密事件一覽

2011年12月

CSDN網站使用者資料庫被駭客在網上公開，600余萬個郵箱帳號及密碼洩露。 此後數天，包括天涯社區、新浪微博、當當等眾多互聯網站均被捲入。

2011年7月

韓國三大入口網站之一Nate和社交網站「賽我網」遭到駭客攻擊，3500萬使用者資訊洩漏。

2011年4月~5月

索尼旗下PlayStation網站遭入侵，駭客竊取了索尼PS3和音樂、動畫雲服務網路Qriocity使用者登錄的個人資訊，波及57個國家和地區的上億人。

2008年

韓國知名電子商務網站Auction遭駭客攻擊，發生約1800萬使用者資訊外泄事故。

2004年

日本雅虎公司某外包員工偷盜了450萬份個人資訊，造成使用者的個人資訊外泄。

微博妙語

@李鐵軍(微博)：我原本以為，有關密碼洩露的新聞持續折騰了一周，怎麼著也該有大半線民已修改密碼。 在和兩位90後線民聊過後才瞭解到，原來不是這麼回事兒。 他們都是一號通行，且根本不知道要改密碼。 二人在天涯、貓撲的帳號均被盜，其中一位的支付寶餘額還沒了。 後天又有一批米粉要搶手機，希望他們沒事。

@劉遠舉：各大網站帳號洩露也有福利，我居然通過這個找回了我忘記已久的天涯帳號。 你也試試吧。

@二肥麥：如果有一天你發現，自己原本清純可人的女朋友，突然在微博上講起了黃色笑話，或者你老實巴交的男朋友，竟然發起了豔照，先別急著發火。 不是他們變了，而是他們的帳號被盜了。