情報漏洩事件の容疑者2人が拘束される：昼はエンジニア、夜はハッカー

実際、法的意識の弱さと遊び心により、インターネット企業のセキュリティに携わる技術スタッフやセキュリティベンダーの技術スタッフの多くが、多かれ少なかれユーザー情報データベースを盗み出し、拡散させています。

北京から唐勲芳が報告

世間を騒がせたユーザー情報漏洩事件に、ついに代償を払う人が現れる。

1月12日、本紙記者は北京市公安局から、CSDN（中国ソフトウェア開発ネットワーク）情報漏洩事件の容疑者2人が刑事拘留されたことを知った。一人は北京出身のハッカーで、もう一人は別の場所出身のハッカーです。

「この2人の容疑者はデータベース窃盗の容疑者だ。公安機関に逮捕された後、我々は彼らの隠されたユーザーデータベースを比較した」とCSDNの創設者兼社長の江涛氏も記者に認めた。

公安機関は現在までに、この2人を含め、データ侵入・窃盗・転売事件9件、情報漏洩捏造・捏造事件3件を捜査・処理し、4人を刑事拘留し、8人に行政処分を下した。

中国サイバースペース管理局は10日、CSDNや天亜などのウェブサイトから情報が漏洩しており、公安機関が現在その情報源を調査中であると報告した。

JD.comは確かにハッキングされたが、データは漏洩しなかった。 YY音声チャットサイトから流出したデータは、同社の従業員が社内データベースから盗んだもので、中国工商銀行などの金融機関のシステムは侵害されていなかった。 Kaixin、Dangdang、Renren、Vanclなどのウェブサイトはハッキングされておらず、一部のアカウントのパスワードは公開データベースを使用したクラッキングによって取得されました。

内部および外部管理の失敗

CSDN ユーザー データベースを盗んだ従業員は、「コンピュータ システムへの不法侵入」の疑いがある可能性があります。著名なIT弁護士の趙占玲氏は記者団に対し、「刑法第285条は、違法にコンピュータシステムに侵入したり、その他の技術的手段を使ってコンピュータシステムからデータを入手した場合、重大な状況では3年以下の懲役、特に重大な状況では3年から7年の懲役を科されると規定している」と語った。 ”

さらに、ユーザーデータの提供、ユーザー情報の流布、個人情報の販売も法律違反であり、「個人情報を違法に販売または提供した場合は、最長3年の懲役刑が科せられる」としている。

実際、本紙は、法的意識の弱さとふざけた態度により、インターネット企業のセキュリティに携わる技術社員やセキュリティベンダーの技術社員の多くが、多かれ少なかれユーザー情報データベースを盗み出し、拡散させていた事実をつかんだ。

ハッカーの間では、ユーザー情報を盗むことは大した害にはならないとよく考えられています。販売やフィッシングなどの明らかな営利活動に従事していないと本能的に考えている限り、それは違法ではありません。

「誰もが大丈夫だと思うだろう。これまで、インターネット上でユーザー情報を漏洩した罪で逮捕された人はいなかったからだ」とネビュラ・スナックのCEO、馬傑氏は語った。

馬傑氏によると、セキュリティベンダーは自社の従業員と関連契約を結び、インターネット企業はセキュリティシステムの従業員と契約を結び、雇用期間中に公共の安全を危険にさらす行為をしてはならないことが詳細に明記されるという。

「しかし、この禁止令は基本的に効果がない。なぜなら、何かが公共の安全を危険にさらすかどうかは、最終的には従業員自身が決めるからだ」と馬潔氏は記者団に語った。セキュリティ従事者は一般的に異なる企業で働いており、彼らの関係は密接ではない。ハッカー業界には、彼らの行動を規制する「暗黙のルール」は存在しない。

「昼はセキュリティエンジニア、夜はハッカー」

「CSDNは機密情報に敏感ではなく、セキュリティ意識が欠けている」江涛氏は、CSDNを含む国内の大手ウェブサイトのセキュリティ意識が弱いことを認めた。

江涛氏によると、現在のインターネット全体のセキュリティ状況は極めて厳しい。暗号化アルゴリズムのパスワードライブラリの70％以上が高頻度衝突により解読可能であり、インターネット企業の80％以上に脆弱性があり、セキュリティ戦略を持つ企業の60％以上にも依然として脆弱性がある。アンダーグラウンドデータベースは、ウェブサイトがさらに多くの問題を露呈していることを示している。

これらの脆弱性はハッカーの侵入の根拠となります。

IT インターネット企業には多くのハッカーが潜んでいます。今回の漏洩事件では、YYボイスチャットの情報は同社の従業員自身によって漏洩され、CSDNユーザーデータの盗難もインターネット会社の技術スタッフによって行われた。

「これは会社員による自発的な行動であり、会社とは何の関係もありません。しかし、これはセキュリティ業界におけるアイデンティティの多様性を示すものでもあります。」あるハッカーは記者に対し、これらの人々は昼間は会社のセキュリティエンジニアであり、夜間はハッカーである可能性があると語った。

「リークゲート」事件の容疑者2人が拘束される：昼はエンジニア、夜はハッカー

上級ハッカーによると、これらのユーザーデータベースはハッカーコミュニティでは長らく公然の秘密だったが、今回はインターネット業界全体のユーザー情報が漏洩しており、その背後には特定の商業組織がいる可能性があるという。

「中国ではハッカー集団は小さいが、大部分は緩い組織を持つ個人であり、業界も自制心を持っている。通常、これほど大規模なデータベース侵害は起きないだろう」とハッカーは語った。

通常、ユーザーデータベースはハッカーの間でのみ広まりますが、いったん一般の人々の目に触れると、拡散するチャネルが多数あるため、その影響は制御できなくなります。たとえば、Thunder、ハッカーサークルの QQ グループ、フォーラムからの FTP ダウンロードなどです。

北京市公安局関係部門によると、CSDNと天亜の2つのウェブサイトは2009年以前にもハッキングされており、データ漏洩も2年前に発生している。2つのウェブサイトは最近攻撃を受けていない。

「今回、ハッカーらは善意で、公開されたライブラリはどれも古いものばかりだった」。匿名を希望するセキュリティ業界のエンジニアは、実は最新のライブラリを持っていたものの、業界環境に配慮して公開しなかったと明かした。

漏洩に関する警告があった

パスワード漏洩事件では、あまり知られていない専門プラットフォームからWooyun.orgというプラットフォームが世間の注目を集めた。 Dark Cloud は多数のハッカーを引きつけており、ハッカーは企業の脆弱性を発見すると、その脆弱性とパッチをこれらの Web サイトにアップロードします。

しかし、このプラットフォームは企業に歓迎されていません。江涛氏はまた、事件前にWuyun脆弱性プラットフォームがほとんどの脆弱性について警告し、関連企業に通知していたが、企業が十分な注意を払わず、ユーザーにパスワードを適時に変更するよう注意喚起しなかったため、後に事態が制御不能になったと認めた。

企業はなぜ早期警告を無視するのでしょうか?

これは、ハッカーと企業の間に長年にわたって形成された微妙な関係によるものです。これらの企業はハッカーに対して怒りや不快感を抱くことが多い。ハッカーの前では、企業は学生のようなものだ。ハッカー教師は毎日生徒の欠点を見つけます。最初はそれが前向きな動機だと思っているかもしれませんが、時間が経つにつれて、自然にハッカーに対して非友好的になります。

企業の中には、ハッカーがいなければ企業の脆弱性はある程度は存在しないだろうと極端に信じているところもある。「たとえ脆弱性が存在したとしても、問題ではない。露出しない限り、見て見ぬふりをすることができる」

しかし、企業はハッカーを「無視」することはできません。なぜなら、ハッカーは警告なしに「優しい打撃」を与えることができるからです。大手インターネット企業の中には、ハッカーを直接「採用」し、指揮下に置いたところもあった。一部の小規模ウェブサイトは、ハッカーに「保護料」として毎月1万～2万元を支払っている。

「実際、ハッカーが必要としているのは肯定だ」前述のセキュリティ業界のエンジニアは記者に対し、Wuyunプラットフォームでは、脆弱性を報告するハッカーに企業が奨励としてポイントを与えると語った。ハッカーも発見した脆弱性を喜んで無私無欲に提出するため、好循環が生まれます。

何をするか

「将来的には、すべてのウェブサイトが五雲脆弱性のようなプラットフォームと協力するべきだ」江涛氏は、将来的には国内のセキュリティとテクノロジーのコミュニティが孤立しないようにすべきだと提案した。

CSDNはあらゆる面で損失を補い始めました。 1月11日、CSDNとAlibaba Cloudはウェブサイトのセキュリティに関する戦略的協力を開始しました。江涛氏によると、CSDNはAlibaba Cloudのメールボックスを使用し、それを他のメールボックスから分離することで、1つのメールボックスが漏洩して「街全体が失われる」という状況を回避するという。さらに、Alibaba Cloud が提供するその他のサービスも受けられます。

「我々はセキュリティに優れた企業と協力すべきだ」と江涛氏は述べた。百度、アリババ、テンセントなどの大企業や一部のゲームメーカーを除き、CSDNを含む多くの国内インターネット企業はセキュリティエンジニアの専門チームを立ち上げるだけの力を持っていない。

江涛氏は記者団に対し、CSDNは自社のセキュリティ戦略を強化し、ウェブサイトの非中核データを中核データから分離し、貴重なデータのインターフェースを削減し、セキュリティ部門に情報システムのレベル保護を申請し、情報セキュリティ監督管理部門から関連する管理を受け入れていると語った。さらに、CSDN は、データ情報が内部に漏洩するのを防ぐために、対応するセキュリティ監査メカニズムも導入します。

原題: 機密漏洩容疑者2名を拘束: 昼はエンジニア、夜はハッカー

キーワード: 漏洩、容疑者 2 人、昼間労働者、エンジニア、違法行為、現実、合法、認識、無関心、ウェブマスター、ウェブサイト、ウェブサイトの宣伝、金儲け