A站数据外泄或波及到其他平台

by 信息时报 | 记者 卢云龙 | 2018-06-14 09:25

昨日凌晨,AcFun弹幕视频网(A站)发布公告,称A站受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等重要信息。公告建议用户及早更换密码。有业内人士表示,因为很多用户在不同的互联网平台使用相同的密码和昵称,此次A站数据泄露事件,对用户造成的延伸危害难以估算。


  受黑客攻击致用户数据外泄

  6月13日凌晨,A站在其官方网站发布《关于AcFun受黑客攻击致用户数据外泄的公告》,称平台受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等重要用户信息。

  A站在其公告上称,如果用户在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,“恳请尽快修改密码”。并提醒如果用户在其他网站使用同一密码,也请及时修改。A站方面表示,AcFun在2017年7月7日升级改造了用户账号系统,如果用户在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果密码过于简单,也建议修改密码。

  此次A站受攻击后出现千万用户数据泄露,其漏洞出现在哪个环节?A站方面并没有正面回复信息时报记者的提问,只表示“根本原因还在于我们没有把AcFun做得足够安全。”在承认错误之后,A站方面也积极作出相关补救措施,A站目前已经搜集相关证据并报警,同时联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级,对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

  上周提出全面收购A站的快手则向记者表示,快手不会干涉A站的具体运营,但注意到了AcFun用户数据外泄的严重性,“快手非常关注此事件对用户造成的影响,会密切注意事态发展,在技术和资金上全力支持A站提升安全能力,务必保证用户的数据安全,避免类似事件发生。”

  公开资料显示,A站注册用户数超过1000万,去年11月统计显示A站日活跃用户为160万。


  隐私外泄可能波及到其他平台

  根据A站公告,只要在去年7月7日之后有登录过A站的用户账户均属安全,这意味着受影响的账户是接近一年没有登录过A站的非活跃用户。一名曾在出现过数据泄露的电商平台工作过的知情人士告诉记者,平台发现出现数据泄露情况之后,除了向大众公布泄露情况,一般情况下还需要通过短信或邮件通知发送到受影响用户。广州一名A站用户雷明在昨日就收到A站发出关于更改账户密码的提醒,雷女士向记者表示,自己已经近两年没有使用A站观看视频,收到短信之后不会去修改其A站账户呢称和密码,但却马上登录多个APP修改密码。雷女士称:“我现在基本不用A站,所以改不改密码都无所谓,但我有些APP的登录是使用相同密码的,万一那些APP信息被盗就麻烦了。”

  百度安全实验室研究员“小灰灰”早前接受记者采访时透露,通过访问调查和模拟黑客攻击时发现,很多用户在日常互联网应用中使用到多款APP,当中很多APP的账户名和密码均相同,这就让网络上的不法分子有可乘之机,“当中一个平台的资料外泄就导致多个平台隐私受到波及,如果泄露了你经常网购的电商平台上账户和密码,带来的损失就有可能会很大。”从事网络安全应用的刘先生表示,目前网络上不时爆出互联网平台用户隐私泄露的情况,但用户在追责时多数情况只能向泄露隐私的平台索赔。“目前技术上很难界定用户在其他平台的损失和泄露隐私平台有关。”

  据资深网友提供给记者的截图显示,今年3月份在一些数据论坛中有人公开出售A站的一手用户数据,数量高达800万条,平均1元能买到800条。记者在昨日尝试联系该卖家,但截止发稿前未获得发帖人回复。


  提醒:

  重要账户密码应单独设置

  360安全团队相关人士告诉记者,数据泄露事件发生时,企业应联合相关安全专业团队参与安全事件处理。同时,一方面要完成内外协同的完整事件应急处置流程,包括事件回溯和负责任的影响面评估;另一方面要完成安全事件对外披露的义务和受影响用户可感知的安全行动。

  知道创宇安全专家表示,数据泄露是互联网世界的安全事故,其出现的原因具有多样性,技术漏洞、机制漏洞和管理漏洞都可能导致安全事故的发生。360安全专家建议用户要养成良好的密码习惯, 在设置安全密码时最好用“大小写+数字+符号”的16位密码,不要用单词生日手机号。同时要定期更改密码,密码分级管理,重要账号单独设置密码。


  近年网络平台重大用户资料泄露事件

  2016年12月,雅虎发现一起大规模黑客攻击事件,导致10亿用户账号在2013年8月被盗,涉及用户个人信息包括姓名、邮箱、电话、生日等。

  2016年12月,京东12GB用户数据被明码标价售卖,被泄露的数据包括用户名、密码、邮箱、电话号码、身份证等多个维度,数据多达数千万条。

  2017年7月,有网友帖称在百度网盘可以看到大量私人信息,这些信息包括公司、高校、政府内部文件等隐私内容。百度网盘回应称用户使用百度云盘需要创建加密分享。

  2018年2月,有网友发微博称,B站(bilibili)数据库疑似泄露,大部分人在B站绑定的手机号和密码能直接登录360的快视频。同日晚间,B站发布调查结果,称360快视频存在大量盗版B站UP主的视频、昵称、头像以及用户评论的情况。

  2018年3月,美国纽约时报和英国卫报共同发布报道, Facebook公司前员工克里斯托弗·威利(Christopher Wylie)爆料,剑桥分析公司在未经用户本人同意的情况下收集了Facebook超5000万用户的资料数据。及后,公司创始人兼首席执行官马克扎克伯格承认此前没能保护好用户数据。

  本版撰文 信息时报记者 卢云龙



返回顶部
信息时报电子报