滚动新闻:
首页 >> 知识产权

网易邮箱被曝用户资料泄露谁能守卫我们的信

来源: 时间:2018-08-07 10:17:01

易邮箱被曝用户资料泄露,谁能守卫我们的信息安全

从10月17日开始,不断有友吐槽自己的易邮箱内容遭到泄露。而昨天下午乌云漏洞报告平台对此“确诊”:易存在安全漏洞,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案、注册IP、生日等。络信息安全问题再一次到了风口浪尖。

易邮箱一直备受友青睐,截至2014年12月,易邮箱的用户数已突破7.4亿,在中国邮箱行业领跑市场。安全是易邮箱一直标榜自己的优势之一,也是广大友选择易邮箱的重要原因。甚至在今年8月份,易邮箱邮件系统获得信息安全测评中心授予的国内唯一的最高安全级别的“EAL3+级信息安全等级认证”。但是从10月13日开始的易邮箱被暴力破解事件却让易邮箱不再安全。如易邮箱内容遭到泄露,包括邮箱账号/密码/用户密保等。同时使用易邮箱绑定的苹果Apple ID、微博、支付宝、百度云盘、游戏等均遭到泄露。有不少iPhone用户表示,自己使用易邮箱绑定Apple ID的已经被锁,并被擦除数据。易邮箱官微10月18日,10月19日连续两天发文称,此次事件是由于部分用户在其他站使用了和易邮箱相同的帐号密码,其他站的帐号信息泄露,被不法分子利用,侥幸尝试登录易邮箱造成。而10月19日下午,乌云漏洞报告平台则宣称发现新漏洞,易163/126邮箱过亿数据泄漏,涉及用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。孰是谁非,我们暂且不论,但需再一次承认,我们的络信息不安全。

一、络信息安全现状

根据中国互联协会12321络不良与垃圾信息举报受理中心发布的《中国民权益保护调查报告(2015)》显示,在权益认知方面,民普遍认为在络上隐私权是最重要的权益,其次是选择权和知情权。近一年来,民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约805亿元,人均124元。《报告》显示,在个人信息保护方面,民被泄露的个人信息涵盖范围非常广泛,其中78.2%的民个人身份信息被泄露过,包括民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的民个人上活动信息被泄露过,包括通话记录、购记录、站浏览痕迹、IP地址、软件使用痕迹及地理位置等。在个人信息泄露带来的不良影响上,82.3%的民亲身感受到了个人信息泄露对日常生活造成的影响。个人信息泄露直接导致垃圾信息泛滥,非法诈骗猖獗。很多骗子因为对受骗人的信息了如指掌,诈骗的时候更有针对性,令人防不胜防。个人信息泄露以后,还可能会被多次倒卖转移,使信息所有者受到进一步的骚扰和侵害,生活和财产都会受到很大损害。

二、泄露络信息的法律

(一)络服务提供者

1、保密义务

全国人大《关于加强络信息保护的决定》(下称决定)第三条规定,络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

2、泄露时应采取补救措施

《决定》第四条规定,络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

3、删除义务

《决定》第八条规定,公民发现泄露个人身份、散布个人隐私等侵害其合法权益的络信息,或者受到商业性电子信息侵扰的,有权要求络服务提供者删除有关信息或者采取其他必要措施予以制止。

4、违反上述后果

违反上述法律,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭站、禁止有关人员从事络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事。侵害他人民事权益的,依法承担民事。

(二)非法提供个人信息构成犯罪

刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接人员,依照各该款的规定处罚。

通过络泄露、出卖个人信息,同其他方式的犯罪一样,要承担相应的刑事。

(三)《络安全法》已进入立法程序

可以说,现在的各项法律对于络信息安全的保护远远不够,全国人大已将《络安全法》纳入立法议程。目前,向社会公开征求意见阶段已结束。该草案对络信息安全保障各个层面的义务予以确认,其中第五十二条规定,络产品、服务的提供者,电子信息发送者,应用软件提供者违反本法规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害络安全等后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款:

(一)设置恶意程序的;

(二)其产品、服务具有收集用户信息功能,未向用户明示并取得同意的;

(三)对其产品、服务存在的安全缺陷、漏洞等风险未及时向用户告知并采取补救措施的;

(四)擅自终止为其产品、服务提供安全维护的。

出现此类个人信息泄露事件,络服务提供者的态度总是否认否认再否认,前有支付宝将实名认证事件归结于用户自身对于信息保护的失误,后有易将暴力破解事件归因于用户将多站密码设置成和易邮箱密码相同。明明广大用户是络信息泄露事件的受害者,但是却似乎无处诉冤。在此建议易邮箱用户及时修改自己的邮箱密码和绑定易邮箱的其他账户的密码,切记不要在不同站使用相同的易邮箱账号和密码。