意外发生 用户信息泄露被骗上百万元

意外发生 用户信息泄露被骗上百万元

据北京商报报道，受骗者杨女士是接到大麦网客服打来的电话，声称由于错误的操作，不慎给她的账号升级了VIP业务，若不取消，当晚就会从其银行卡中扣款，随即又精准的报出了杨女士的身份证号、手机号、所购演出票等等各项信息。杨女士便打消了怀疑，找了一台银行ATM机并按照对方的指示进行一系列的操作，结果被转账9988元。杨女士称，对方又以解冻账户为由，要求她再存入5万元。杨女士给家人打电话拿钱，经家人提醒发现自己被骗，杨女士立即到当地派出所报警。目前杨女士已在微博上与28名在近期被骗的大麦网用户取得了联系，获悉诈骗者均能准确说出受害人订单及身份证号等信息，由此怀疑大麦网泄露了用户信息。

大麦网先行赔付 难掩技术漏洞

事件发生后，大麦网很快做出回应，表示该网站不会泄露用户个人信息。此次用户信息是遭到撞库而被窃取。撞库是指以大量的用户数据为基础，利用用户相同的注册习惯，比如相同的用户名和密码，尝试登录其他的网站，一旦登录成功便可十分方便地获取用户个人信息。在7月16日的后续声明中，大麦网因考虑到网络诈骗团伙调查难度较大、周期较长，为了尽快缓解此次事件对用户造成的经济压力，大麦网董事会决定对所有经济损失的用户实行“先行承担用户损失”的措施。

大麦网先行赔付，也承认了技术监管层面存在漏洞才会让犯罪分子有机可乘。有律师表明，网站应该承担怎样的责任与信息遭窃取的方式有关。如果是网站后台泄露，说明技术存在漏洞，网站应该承担大部分责任；如果是用户安装了非法软件，导致用户信息被监视，网站并没有责任。但是如果网站恶意泄露用户信息，不单需要承担民事赔偿责任，一旦大面积的用户隐私信息泄露造成了恶劣影响，还需承担行政责任。

现在虽然涉及个人信息保护的法律法规政策有100多部，但是却没有一个完整的法律保护体系，法律应当对网站承担责任大小、应尽的注意义务程度有所规定，才能让此类事件从商业道德上升到法律层面。

大麦网网页最上方增加了一条防受骗提醒。

消费者如何防御撞库攻击？

“撞库”是一种在互联网中常见的黑客攻击方式。就是黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登陆的用户，这样一旦用户为了省事，在多个网站设置了同样的用户名和密码的话，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等等，这些信息被非法分子利用，会造成极大的社会危害性。

虽然大麦网负责人表示，目前大麦网的安全系统已全面升级，可以更好地保护用户信息安全，但大麦网负责人还提醒，消费者只要稍加防范就可以很好地避免这类网络风险。

对于如何防御撞库攻击，专业人士给出建议：

（1）重要网站/APP的密码一定要独立，猜测不到，或者用1Password这样的软件来帮你记忆；（2）电脑勤打补丁，安装一款杀毒软件；（3）尽量不使用IE浏览器（4）支持正版，因为盗版的、破解的总是各种猫腻，后门存在的可能性很大；（5）不那么可信的软件，可以安装到虚拟机里；（6）不要在公共场合（如咖啡厅、机场等）使用公共无线网络，自己包月3G/4G，不差钱，当然你可以用公共无线做点无隐私的事，如下载部电影之类的；（7）自己的无线AP，用安全的加密方式（如WPA2），密码复杂些；（8）离开电脑时，记得按下Win（Windows图标那个键）+L键，锁屏，这个习惯非常非常关键。无论网络安全危机出于什么原因，作为一名互联网用户，每个人都应该有互联网安全意识，并与相对应的互联网公司达成共识，站成统一战线！来共同维护互联网环境的健康发展。

信息安全问题亟需重视

信息高速发展的现在，人们每天都会面对着难以计数的理财、中介等骚扰电话短信，数不清的电信和网络诈骗的手段，更是让人们防不胜防。近几年，公民的信息泄露问题也是层出不穷，如2014年时，12306用户数据泄露，账号密码身份证等信息遭售卖。公民信息的大面积泄露，对于社会公众会造成强烈的被侵犯感和不安全感，涉及面广，影响极坏。个人信息的安全，不仅关乎个人的安全，而且是整个社会安全感的重要基础。

在网络信息时代，要想保护好个人信息安全不仅要靠个人素质的提高，还需做到“一方呼应，八方支援”这一良好态势。这对于广大的网络消费者、网络监管部门和网络自主营运商都有较大的要求。

大麦网此次的用户信息泄漏事件，拉响网络信息安全的警报，在互联网时代，类似的案件不只一次发生，所有互联网公司所存在的普遍性，社会公众各阶层都应该高度重视信息安全的问题，思想上的麻痹与轻视需要改变；制度上的漏洞和疲软需要堵上，高度重视公民的信息安全，人们才能充满安全感地交往和生活。X

大腕云集干货足首届可视化网络安全技术论坛开讲

安博通CEO苏长君先生主题演讲

“可视化网络安全技术联盟”正式成立

由中国科学院信息工程研究所主办，太极计算机股份有限公司、烽火科技集团协办，北京安博通科技股份有限公司承办的首届可视化网络安全技术论坛（VNSTech）于2016年7月26日在北京中关村软件园国际会议服务中心召开。本次论坛的主题为“看透安全体验价值”，现场领导和嘉宾共同探讨可视化网络安全技术与各行业应用的深度融合，推进“互联网+”社会的和谐发展。

中国科学院信息工程研究所信息安全国家重点实验室主任林东岱、海淀区经济和信息化办公室主任何建吾、公安部信息安全等级保护评估中心张宇翔、中国工程院院士倪光南、中国电子科技集团首席专家董贵山、公安部信息安全产品检测中心检测部宋好好等进行了精彩演讲。

公安部信息安全等级保护评估中心张宇翔主任谈到，安全可视化成为当前网络安全建设的一个重要基础。我们应将安全可视化贯穿于安全事件的全生命周期：要能做到事前预测感知可视化、事中管控处置可视化、事后追踪溯源可视化。当前，公安部信息安全等级保护评估中心正不断修订完善等级保护管理相关管理制度和办法以及技术标准体系，以适应未来国家网络安全法有关等级保护制度的要求，适应新技术新应用环境下的关键信息基础设施保护的需要，同时加快相对应的技术设计要求和测评要求的标准制修订工作。

倪光南院士在《发展自主可控的信息安全技术和产业》主题演讲中特别提到，“中国科学院信息工程研究所与安博通的携手合作，是产学研结合与自主创新的成果，特别是当前业界下一代防火墙产品中广泛应用的SPOS操作系统，这是网络安全核心技术自主可控、国产化替代的一个很好的示范。国家网络安全的权威机构、信息安全科研机构和越来越多网络安全企业为打造‘自主可控’的网络安全生态链，从法规、政策、研发、技术、市场等各方面进行着不懈努力。”

论坛上，中科院信工所和安博通进行了联合研制产品——业界首款“深度安全网关”的发布仪式，吸引了在场来宾的目光。此款深度安全网关能够学习用户行为、采用动态演进策略以匹配用户行为、细粒度的响应保证业务连续性，并具有深度识别能力，更融合了中科院信工所多媒体视觉与模式识别技术，堪称比“下一代防火墙”更前一步！

“看透安全体验价值”这一技术理念由可视化网络安全技术的领军企业安博通率先提出，安博通的CEO苏长君先生在论坛上也将这一理念进行了深入人心的讲解。“看透安全 体验价值”旨在洞悉可视化网络安全技术，让安全由“看不见、摸不着、抓不住”变成让用户“能感知、可体验、好追溯”，聚焦于现有业务场景的应用及安全问题解决，用可视化消除“因看不见而恐惧”，从而应对新时期网络安全变化的需要。苏长君还从“可视化”技术价值、业务价值、社会价值全方位的完美阐述了安全价值的理念。

论坛上，由中科院信工所、太极股份、烽火科技和安博通联合发起的“可视化网络安全技术联盟”正式成立，联盟呼唤业界之合力，一同继续深耕“可视化网络安全”技术，整合行业资源，推动网络安全行业发展与生态建设。（文/李近）X