歷時40多天的CSDN網(wǎng)站用戶數(shù)據(jù)泄露案終于塵埃落定�。昨日,人民網(wǎng)報道稱�,北京警方破獲CSDN網(wǎng)站用戶數(shù)據(jù)泄露案,并成功連帶破獲另外4起案件��,共抓獲并以涉嫌非法獲取計算機(jī)數(shù)據(jù)罪刑事拘留曾某等5名犯罪嫌疑人���。與此同時�,CSDN網(wǎng)站也因為未落實國家信息安全等級保護(hù)制度��,造成用戶信息泄漏而被行政警告處罰,這也是國家落實信息安全等級保護(hù)制度以來的首例 “罰單”����。
昨日,《每日經(jīng)濟(jì)新聞》致電CSDN總裁蔣濤�����,其手機(jī)一直處于關(guān)機(jī)狀態(tài)���。
2011年12月22日���,北京警方接到CSDN公司報案,稱其公司服務(wù)器被入侵�����,核心數(shù)據(jù)遭到泄露���。
據(jù)《每日經(jīng)濟(jì)新聞》了解�����,北京警方為此成立了專案調(diào)查組�����,上述調(diào)查組通過對網(wǎng)上泄露的大量CSDN數(shù)據(jù)在時間等方面進(jìn)行仔細(xì)比對發(fā)現(xiàn)����,數(shù)據(jù)大部分集中在2009年7月至2010年7月��。由此推測����,其服務(wù)器被入侵時間為2010年7月前。
專家組認(rèn)為���,此次涉及入侵的服務(wù)器已于一年前被轉(zhuǎn)做他用���,日志未留存、數(shù)據(jù)無法恢復(fù)���,而CSDN公司負(fù)責(zé)的技術(shù)人員又大部分離職�����,再加上數(shù)據(jù)丟失已兩年時間���,要通過數(shù)據(jù)來源找到最初入侵者難度很大��。
據(jù)了解�����,在調(diào)查中專案組最終鎖定一條關(guān)鍵線索����,一名用戶曾經(jīng)于2010年9月發(fā)帖自曝掌握CSDN數(shù)據(jù)庫希望與其進(jìn)行合作�����,專家組為此鎖定目標(biāo)��,并于2012年2月4日在浙江溫州將嫌疑人曾某抓獲���。
經(jīng)初步審查���,該男子2010年4月利用CSDN網(wǎng)站漏洞,非法侵入服務(wù)器獲取用戶數(shù)據(jù)的犯罪事實供認(rèn)不諱��,曾某還交代了曾經(jīng)入侵過某充值平臺及某股票系統(tǒng)的犯罪事實�����。
至此,專案組偵查員���,歷時40余天����,輾轉(zhuǎn)10余個省市�,成功破獲CSDN數(shù)據(jù)泄露案��。
另一方面�����,此次泄密事件爆發(fā)之后�,北京警方也對CSDN網(wǎng)站開展了調(diào)查,發(fā)現(xiàn)其未落實國家信息安全等級保護(hù)制度���,安全管理制度和技術(shù)保護(hù)措施落實不到位是造成用戶信息泄漏的主要原因�。
就在此前���,《每日經(jīng)濟(jì)新聞》曾報道�����,當(dāng)時CSDN邀請了杭州安恒信息技術(shù)有限公司進(jìn)行安全審計�。據(jù)一名當(dāng)時參與審計的相關(guān)負(fù)責(zé)人士透露,安全審計組曾針對CSDN從外圍進(jìn)行了黑客模擬滲透機(jī)制���,測試結(jié)果令人擔(dān)憂�,在不需要任何用戶名��、口令等的情況下����,就能很容易地進(jìn)入CSDN后臺,并獲取相關(guān)數(shù)據(jù)��。
為此���,北京市公安局向CSDN網(wǎng)運(yùn)營公司提出了具體整改要求�����,并依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十條第一款規(guī)定����,對北京創(chuàng)新樂知信息技術(shù)有限公司做出行政警告處罰。
據(jù)了解�����,這也是國家落實信息安全等級保護(hù)制度以來的首例“罰單”���。
互聯(lián)網(wǎng)資深評論專家洪波對此表示���,由于此次泄密事件涉及面比較廣,所以才導(dǎo)致了CSDN網(wǎng)站被行政處罰�����。但是�,目前國內(nèi)的大多數(shù)網(wǎng)站都未實施國家落實信息安全等級保護(hù)制度��,采取明文密碼���。洪波認(rèn)為�,隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展����,用戶信息保護(hù)也變得異常重要��,因此�����,一方面政府需要加強(qiáng)監(jiān)管��,另一方面�����,企業(yè)也需要自律承擔(dān)一定的責(zé)任��,保護(hù)用戶的隱私�。
