過(guò)去幾周,太多所謂的超級(jí)黑客事件引起了媒體熱炒。媒體的觀點(diǎn):為嘛不炒?我們?cè)谡f(shuō)的可是超過(guò)10億人面臨風(fēng)險(xiǎn)——如果這些數(shù)據(jù)泄露是現(xiàn)實(shí)中真實(shí)發(fā)生的話。但實(shí)情并非如此。
比較奇怪的是,事實(shí)上,對(duì)熱炒這事兒,還真不用太憤怒。正常情況下,媒體曲解安全事件是會(huì)引起相關(guān)人士的勃然大怒。但媒體關(guān)注給安全產(chǎn)業(yè)帶來(lái)的更大好處值得我們稍微平息下怒氣,這些過(guò)分渲染的數(shù)據(jù)泄露報(bào)道,至少可以讓很多人提起必要的警惕,增強(qiáng)他們賬戶的安全性。
最近一起被不實(shí)報(bào)道的大型黑客事件,是領(lǐng)英1.17億賬戶泄露事件。幾乎每個(gè)主流新聞網(wǎng)站上都有報(bào)道,F(xiàn)acebook上也充斥著相關(guān)帖子。很明顯,這是大眾想要了解的重大黑客事件。
但是,網(wǎng)站被黑其實(shí)發(fā)生在4年前。所謂的新聞,就是黑客在暗網(wǎng)論壇上開(kāi)始發(fā)售當(dāng)時(shí)弄到的1.17億賬戶憑證了。理論上,這些口令應(yīng)該很久以前就被更改過(guò)了。但實(shí)際上,其中很多都還保持原樣,因此,一些賬戶依然面臨風(fēng)險(xiǎn)——只不過(guò),不是1.17億那么恐怖的數(shù)字。
本月初,有報(bào)告稱2.72億個(gè)賬戶被黑,一名俄羅斯黑客以不到1美元的賤價(jià)出售這些憑證,估計(jì)主要是為了搏個(gè)惡名。這些憑證幾乎囊括了所有主要互聯(lián)網(wǎng)站點(diǎn)賬戶,包括雅虎、Gmail和Hotmail。所有主流新聞媒體都報(bào)道了該事件,向大眾發(fā)布了緊急警報(bào),敦促人們修改自己的口令。從安全的角度來(lái)看,這是很棒的事情。
但是,兩天后,該事件被證實(shí)為炒作。一家網(wǎng)站宣稱,那些被盜憑證中99.9%都是無(wú)效的。
沒(méi)落在上月范圍內(nèi)的一起最大的黑客事件,是Pwnedlist被黑事件。該事件中,據(jù)說(shuō)有8.86億賬戶被泄露。Pwnedlist是有InfoArmor維護(hù)的一個(gè)公共服務(wù)站點(diǎn),其目的是幫助公司企業(yè)追蹤有可能對(duì)他們的用戶造成安全問(wèn)題的公開(kāi)口令泄露事件。
該事件中,Pwnedlist一名有效用戶進(jìn)行了參數(shù)篡改,獲取到了搜索該網(wǎng)站上列出的任意域名或賬戶的權(quán)限。涉及8.86億憑證的數(shù)據(jù)泄露絕對(duì)是聳人聽(tīng)聞的。但是,Pwnedlist上列出的所有憑證不都是已經(jīng)被標(biāo)為已泄露的嗎?泄露已泄露的憑證是要搞哪樣?這些相關(guān)賬戶的風(fēng)險(xiǎn)真的已經(jīng)到頂了,再增不能。若說(shuō)漏洞已不存在可能還好點(diǎn),但這與8.86億賬戶炒冷飯似的被黑又是另一碼事了。
所以,我們現(xiàn)在看到的,就是一系列專注跑題不動(dòng)搖的報(bào)道。不過(guò),還真得感謝這些媒體的無(wú)價(jià)公共服務(wù),他們讓安全事件頻頻登上頭條,提醒了成千上萬(wàn)的人去修改加強(qiáng)他們的口令。
但另一方面,真正的安全事件歸于沉寂又頗為令人不爽。比如說(shuō),沃爾瑪盜刷卡事件的報(bào)道獲得了多少關(guān)注呢?此類報(bào)道本可以是一次極好的推廣芯片卡或更安全的蘋果支付或谷歌支付的機(jī)會(huì)。醫(yī)療保健領(lǐng)域的數(shù)據(jù)泄露也有不下數(shù)十起。如您所見(jiàn),從來(lái)不缺乏真正的安全事件。
既然說(shuō)到媒體在安全事件報(bào)道方面的失敗,就不能不提到對(duì)心臟滴血漏洞的報(bào)道。心臟滴血是個(gè)重大問(wèn)題,而且令人傷心的是,事到如今情況依然沒(méi)變。曾經(jīng),這個(gè)問(wèn)題也是被大范圍報(bào)道的,但主流媒體專注在互聯(lián)網(wǎng)基礎(chǔ)面臨風(fēng)險(xiǎn)這個(gè)點(diǎn)上。他們沒(méi)能有效做到的,是告訴人們可以做些什么來(lái)保護(hù)自身——簡(jiǎn)單地修改下密碼就行。等想起來(lái)提醒這條的時(shí)候,已經(jīng)成了馬后炮。
不過(guò),在數(shù)據(jù)泄露事件方面喊喊“狼來(lái)了”,似乎可以有效提起對(duì)良好安全實(shí)踐的關(guān)注。作為安全專業(yè)人士,用戶被告知要經(jīng)常修改口令總是件令人欣慰的事。
盡管如此,還是要嘮叨兩句,或許,建議用戶對(duì)自己的互聯(lián)網(wǎng)賬戶部署多因子身份驗(yàn)證可能更好。而將這一信息傳遞出去的一條途徑可能是:編造一條新聞?wù)f世界上每一個(gè)口令都面臨嚴(yán)重的泄露風(fēng)險(xiǎn),唯一能阻止泄露事件發(fā)生的方法就是用戶部署可用的免費(fèi)多因子身份驗(yàn)證。基本上,真相就是如此。