趋势网(微博)讯:
(带有键盘的电脑屏幕)专家对德国联邦信息技术安全局的行为提出了批评
几百万被黑客攻击的在线账户,几百万对于德国联邦信息技术安全局(BSI)的询问。BSI令数百万的德国人大吃一惊。现在有专家对此提出了批判性的问题:BSI有必要作出这样的警告吗?这样的行为究竟是利是弊?这些数据又是否正确?
本周伊始,德国联邦信息技术安全局宣布大约有1600万的用户账户数据被泄露,引起了轩然大波,以至于BSI的服务器因忧心忡忡的公民发送的大量邮件而崩溃。
现在,人们开始对于联邦信息技术安全局的这一声称产生了怀疑。专业信息技术评论杂志《iX》称,几个他们编辑用于垃圾邮件收集的免费邮箱地址也名列BSI的数据收集之中。《iX》认为,包括Web.de和一些免费网络供应者的账户并没有被另作他用,数据无法从数据库中或者通过网络钓鱼的方式被进行拷贝。BSI认为来自邮件供应商的黑客是不可能的。那么被泄露的地址究竟从何而来?
这些地址和密码的收集究竟从何而来,联邦局并没有给出更加确切的说明。BSI在调查的同时保持沉默。《iX》的报道认为,大约1600万个被泄露账户的数据是BSI十分粗略的估计。
除此之外还存在一些针对于BSI行为的开放性问题
警告来得太迟了吗?
德国联邦信息技术安全局去年十二月份就已经知道了数据收集的存在,但是因为关于《数据保护 法》的诉讼被推迟,警告在几周之后才被公布。评论家认为,这有些太晚了。
他们认为,那些对于这些信息保密长达数周的人在另一方面容忍了这样的事实,即现在有犯罪者正利用这些登陆信息进行诈骗并且损害了一些人的利益。BSI在十二月的时候难道还不能做出一个普遍的,例如“请更改你的密码,我们有证据显示有大量的数据被盗用了!”这样的警告吗?
针对这些质问BSI的 新闻 发言人马蒂亚斯·盖特纳反问道,“如果当初做出这样笼统的警告会带来什么后果呢?而现在,因为人们可以自己进行安全检测,后果不会那么严重。”但是在普遍的警告后BSI也可以提供这样的检测。而且,一个更早的警告跟没有警告相比总是可以让更多的人及时修改自己的密码。
为什么没有英文的警告?
BSI数据库中大约有一半的E-Mail地址并不来自于德国。但是在网站上只有德语的信息。国外的使用者呢?很明显这不是BSI的任务,信息技术安全局一定也把这些信息告知了其合作组织。但是那些在德国居住又无法理解用德语表述的复杂说明的人该怎么办呢?
为什么没有通过邮件进行警告呢?
BSI的观点是,那些涉及到数据被盗的邮件用户之后将会通过E-Mali收到警告;但是并没有涉及的人不会受到任何提示。这听上去很符合逻辑,但是电子邮件可能因为错误的输入,服务器故障或者一些其他的问题无法到达。就像海泽安全(Heise Security)所评论的,“因为许多原因,单单一封电子邮件的警告是不够的,为什么不通过邮件的方式呢?”
繁琐的三步查询是必要的吗?
为了完成BSI提供的检测,使用者必须首先在检测界面上输入自己的电子邮件地址,并记下一个代码,在收到电子邮件后用这个代码与之进行比较,同时为了检测这封签字邮件的真实性,用户还必须从网页上下载一个GPG的证书。
这个过程其实可以更加简单:将E-Mail的地址输入BSI的表格后通过邮件获得一个代码,人们把这个代码输入到BSI的网站上,然后在浏览器上就可以看到检测结果。这不是完全安全的路径,但是已经足够安全,而且使用起来更加便捷。
进
店
进
店
进
店
