网络安全事件频发,最后全变成用户的错?

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

最近一段时间网络安全事件频发。

我说的不是类似Heartbleed、BadUSB、Shellshock这种天灾级别的漏洞,面对这类漏洞,普通用户就像面对台风海啸一般,无法抵御。

我想说的是 iCloud 艳照门,Snapchat艳照门、Yahoo邮箱用户资料泄露以及最新未证实的Dropbox用户资料泄密事件,它们属于人力可挽救的事故。这些公司大多不在中国,但具备一种典型意义。换句话说:讨论它们,也能对国内产生借鉴意义。

你会发现,这些什么门啊、泄密啊,其实都有共通之处。那就是:厂商声明,此事与我们无关,应该都是用户的错。或者弱密码,或者滥用第三方应用,或者直接不知情。

iCloud 艳照门,原因评估是因为用户弱密码,通过iCloud上可以用脚本程序反复测试直接获得正确密码;Snapchat艳照门,原因评估是用户在使用一个名为“Snapsave”的第三方应用,这个应用可以保存Snapchat上的“阅后即焚”照片,它的数据库被 黑客 攻破,从而导致照片泄露;Yahoo邮箱是一起较早的事件,由于对某个漏洞修复不完全,导致 黑客 的二次利用;Dropbox则还没有更准确的信息。

坦白的说,这些问题就厂商而言,确实直接责任不大(Yahoo的例外)。但对用户轻飘飘一个声明,于情于理都说不过。我以为有更好的做法。

用户端安全机制的增强。

在iCloud艳照门后, 苹果Apple ID开启了两部认证。如此后,每次登陆iCloud除密码外还需要设备验证或者短信验证。这个功能是极好的,但 苹果 只为美国等少数几个国家开启了这一功能,并且只作为安全项的一个补充项,并不是全局性质的默认推荐。苹果只做一半的做法很显然不合时宜(Washington Post对此也颇有微词),像 Google 、Alipay、QQ等多家服务型巨头这方面就做的不错,包括“安全设备”、多重验证、令牌环、密码多次输入错误后停止登陆等等,苹果显然还处在这些厂商的早期状态,对此意识不强。

第三方生态安全的增强。

这次的Snapchat事件,是一个第三方应用的问题,据说最近还有几家也遭遇了这个问题。这很是凸显生态安全。我以为,第三方授权安全是绝对需要注意的。来看看QQ的例子,在前两年 腾讯 下大力气,将国内有名儿的QQ插件全封杀并告知法律风险。这件事虽然有些霸权主义,但很值得做,因为聊天软件不保证安全那是对用户的伤害,当然更大气的做法是做插件生态,这个事儿不多讨论。Snapchat艳照门事件,显然是因为Snapsave通过bug从而拿到更高权限,从而保存了本该本销毁的照片。插件生态的安全性需要时刻警惕,特别还是这类聊天类高敏感的应用。

整体安全的增强。

Yahoo和未证实的Dropbox事件,是因为被入侵从而丢失用户资料。这两家公司,一家太沉闷一家太新,因而没有针对自身安全的漏洞奖励计划(Yahoo Mail泄密发生在2012年末,Yahoo漏洞奖励计划在2013年末发布)。漏洞奖励计划是厂商对自身漏洞发现者给与一定奖励,从而可以最快了解漏洞并修复,这是业内的一种成熟做法:当白帽能从你手中获得收入,黑客就会更难入侵。但在这之外,像苹果、Snapchat这类安全频发的公司也同样没有漏洞,这是非常令人可惜的。

其实总的说来,网络安全事件频发,是因为这类厂商自身面对安全问题经验太少,一些业界通用的安全防护措施,因为傲慢或疏忽而不愿采用。到头来尝到苦楚,结果却要用户来承担。

这真的应该吗?

题图来自 lzamgs

随意打赏

提交建议
微信扫一扫,分享给好友吧。