現(xiàn)有的法律措施大多是進(jìn)行事后約束,這并非簡單立法即可解決的問題。如果出現(xiàn)訴訟,一般會(huì)形成集體訴訟,但在管轄權(quán)和賠償程度上還有許多難題需要解決。打開任意一個(gè)“https://”開頭的網(wǎng)站,就意味著你打開了一個(gè)使用了SSL安全協(xié)議的網(wǎng)站。 這一協(xié)議被用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù),加密數(shù)據(jù)以隱蔽被傳送的數(shù)據(jù)。而作為該協(xié)議的一種實(shí)現(xiàn)形式,OpenSSL是應(yīng)用最廣泛的SSL服務(wù)軟件。
簡單地說,OpenSSL為你在網(wǎng)站上輸入的各種賬號密碼加了一把虛擬的“鎖”。這把“鎖”如今被全球三分之二以上的網(wǎng)站使用。
而就在4月9日,OpenSSL爆出了本年度最嚴(yán)重的安全漏洞。利用該漏洞,黑客坐在自己家里的電腦前,就可以實(shí)時(shí)獲取到所有“https://”開頭網(wǎng)址的用戶登錄賬號密碼,包括網(wǎng)銀、電子郵件等信息。
因影響巨大,該漏洞被曝光者命名為“heartbleed”,意為“心臟出血”。
4月10日,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布通報(bào),稱由于OpenSSL應(yīng)用極為廣泛,包括政府、高校網(wǎng)站以及金融證券、電子商務(wù)、網(wǎng)上支付、即時(shí)聊天、辦公系統(tǒng)、郵件系統(tǒng)等諸多服務(wù)提供商均受到漏洞影響,直接危及互聯(lián)網(wǎng)用戶財(cái)產(chǎn)和個(gè)人信息安全。
年度最嚴(yán)重安全漏洞
OpenSSL的歷史可以追溯到Eric Young所打造的SSLeay。雖然來自美國約翰霍普金斯大學(xué)的Matthew Green曾經(jīng)將其譏諷為一個(gè)“教你自學(xué)大數(shù)除法”的項(xiàng)目,但在此之前,加密算法曾經(jīng)由美國政府牢牢控制。
多年的積累加上熟悉的特性使OpenSSL順利走向普及,而我們?nèi)缃癫艅倓偨佑|到其中不為人知的深層漏洞。
據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào),OpenSSL是一款開放源碼的SSL服務(wù)軟件,用來實(shí)現(xiàn)網(wǎng)絡(luò)通信的加密和認(rèn)證。該軟件囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議,并提供了豐富的應(yīng)用程序供測試或其他目的使用。
國家信息安全漏洞共享平臺(tái)(CNVD)分析,受到該漏洞影響的產(chǎn)品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暫不受影響。綜合各方測試結(jié)果,國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時(shí)聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認(rèn)證等服務(wù)器受到漏洞影響,此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。
CNVD成員單位奇虎360安全專家石曉虹博士表示,OpenSSL此漏洞堪稱“網(wǎng)絡(luò)核彈”,因?yàn)橛泻芏嚯[私信息都存儲(chǔ)在網(wǎng)站服務(wù)器的內(nèi)存中,無論用戶電腦多么安全,只要網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號和密碼。
在CNVD的綜合評級中,這一漏洞被評為“高危”。
一些統(tǒng)計(jì)數(shù)據(jù)也可以顯示這一漏洞可能造成的巨大影響。奇虎360對國內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描,發(fā)現(xiàn)其中有11440個(gè)網(wǎng)站主機(jī)受該漏洞影響。4月7日、4月8日期間,共計(jì)約2億網(wǎng)民訪問了存在OpenSSL漏洞的網(wǎng)站。
而由于OpenSSL是Apache和NGINXWeb兩大服務(wù)器的默認(rèn)SSL / TLS證書,專家估計(jì),全球多達(dá)三分之二的“安全”網(wǎng)站很容易通過這一漏洞受到攻擊。
事實(shí)上,攻擊的苗頭已經(jīng)出現(xiàn)。國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào)稱,目前互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊利用代碼,預(yù)計(jì)在近期針對該漏洞的攻擊將呈現(xiàn)激增趨勢,對網(wǎng)站服務(wù)提供商以及用戶造成的危害將會(huì)進(jìn)一步擴(kuò)大。
與此同時(shí),OpenSSL在今年4月7日推出了OpenSSL 1.01g,修復(fù)了這個(gè)漏洞。目前,國內(nèi)大量網(wǎng)站正在緊急通過更新軟件來修復(fù)漏洞。
然而,此時(shí)距該款缺陷軟件推出的2012年3月12日已兩年有余,是否有賬號信息被竊取尚無法評估。
誰該對信息泄露擔(dān)責(zé)
如果用戶登錄了一個(gè)使用了該缺陷協(xié)議的網(wǎng)站,導(dǎo)致信息被盜并產(chǎn)生損失,誰應(yīng)該對損失負(fù)責(zé)?這是接下來我們可能要面臨的問題。
互聯(lián)網(wǎng)法律專家、中國政法大學(xué)傳播法中心研究員朱巍認(rèn)為,該事件涉及的法律責(zé)任包括兩個(gè)方面:一是竊取信息者,即黑客的法律責(zé)任;二是存在漏洞服務(wù)器因漏洞造成用戶損失的責(zé)任。前者我國刑法及相關(guān)司法解釋有明文規(guī)定,后者則較為復(fù)雜。
“據(jù)資料顯示,該漏洞早在兩年前就曾顯現(xiàn),黑客可以非法獲取存在漏洞服務(wù)器高達(dá)64K數(shù)據(jù),這些數(shù)據(jù)已經(jīng)足夠獲取個(gè)人包括財(cái)產(chǎn)數(shù)據(jù)在內(nèi)的敏感信息。”朱巍向《法制日報(bào)》記者分析。
他介紹,在網(wǎng)絡(luò)交易中,交易網(wǎng)站有義務(wù)保護(hù)用戶信息安全,這是源自“用戶協(xié)議”的約定和交易誠信責(zé)任組成部分。一旦導(dǎo)致用戶受損,網(wǎng)站應(yīng)承擔(dān)包括違約責(zé)任、侵權(quán)責(zé)任在內(nèi)的民事法律責(zé)任。
“不過,網(wǎng)站也可能有抗辯理由,主要有三種,分別為免責(zé)條款的抗辯、不可抗力的抗辯和已盡到提示義務(wù)的抗辯。”朱巍說。
對此,中國政法大學(xué)知識產(chǎn)權(quán)中心特約研究員趙占領(lǐng)認(rèn)為,關(guān)于不可抗力這一條抗辯理由爭議最大。
“這個(gè)漏洞被發(fā)現(xiàn)以前造成的損失,網(wǎng)站是否要負(fù)責(zé)?這個(gè)問題可能還需要討論。因?yàn)檫@不是網(wǎng)站自己的漏洞,只是網(wǎng)站采用了這種國內(nèi)外通用的協(xié)議標(biāo)準(zhǔn),而這種協(xié)議標(biāo)準(zhǔn)本身就存在漏洞,這對于網(wǎng)站來說是無法預(yù)料的。這到底算不算不可抗力,我現(xiàn)在也不能確定。”趙占領(lǐng)對《法制日報(bào)》記者表示。
朱巍則認(rèn)為,在此次事件中,不可抗力的抗辯并不成立。“病毒、漏洞或黑客攻擊在網(wǎng)絡(luò)世界中廣泛存在,其破壞和出現(xiàn)頻率也無法預(yù)計(jì),一般理論認(rèn)為,在一定程度上,網(wǎng)站可以依據(jù)不可抗力進(jìn)行免責(zé)。不過,在本事件中,SSL漏洞在兩年前就已經(jīng)出現(xiàn),在長達(dá)兩年的時(shí)間內(nèi),網(wǎng)站未盡到合理注意義務(wù),因此不能以不可抗力免責(zé)。”
而對于在漏洞被發(fā)現(xiàn)之后仍給用戶造成的損失,則沒有太多爭議。趙占領(lǐng)認(rèn)為,如果網(wǎng)站在漏洞發(fā)現(xiàn)之后沒有及時(shí)采取措施,導(dǎo)致用戶損失進(jìn)一步擴(kuò)大,網(wǎng)站毫無疑問地要承擔(dān)賠償責(zé)任。
若發(fā)生損失如何維權(quán)
即便發(fā)生損失后用戶存在維權(quán)空間,但被問及是否有成功案例時(shí),多名接受《法制日報(bào)》記者采訪的專家均沒有給出肯定答案。
“實(shí)踐中我聽說的起訴案例只有一個(gè),現(xiàn)在還沒有判:浙江一個(gè)酒店開發(fā)的酒店Wi-Fi管理、認(rèn)證系統(tǒng),因存在漏洞而導(dǎo)致用戶信息泄露,被起訴至法院,前不久剛立案,結(jié)果現(xiàn)在還沒出來。”趙占領(lǐng)介紹。
而大多數(shù)案件都未能走到起訴這一步。
趙占領(lǐng)分析,主要原因在于取證太困難,一般用戶根本沒辦法證明信息是通過哪個(gè)渠道泄露的,因?yàn)橐话阌脩舻倪@些信息在很多地方都可以看到的,所以很難證明。唯一的辦法就是等公安機(jī)關(guān)立案,查到犯罪嫌疑人,查清到底是哪個(gè)渠道泄露的。
他介紹,一旦查清,如果是網(wǎng)站自身或者內(nèi)部員工泄露,刑法修正案(七)有規(guī)定“非法泄露公民個(gè)人信息”的犯罪。之前,電信公司和支付寶公司泄露用戶信息的案例就是屬于這種。而如果是網(wǎng)站被動(dòng)泄露的,情況則如上文所述,更加復(fù)雜。
趙占領(lǐng)認(rèn)為,現(xiàn)有的法律措施大多是進(jìn)行事后約束,這并非簡單立法即可解決的問題。
“像目前的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、侵權(quán)責(zé)任法等都有相關(guān)的規(guī)定,但并不能解決民事賠償中的取證難題,因此也很少有受害者提起訴訟。”趙占領(lǐng)認(rèn)為,這種困境歸根于我國的電子證據(jù)認(rèn)定有很大的缺陷。
對于OpenSSL漏洞事件,朱巍提出,如果出現(xiàn)訴訟,一般會(huì)形成集體訴訟,但在管轄權(quán)和賠償程度上還有許多難題需要解決。