互联网黑客近来侵入公司IT系统太成功了，以至于对大多数此类事件人们都懒得评论。但是，难有案例像拍卖网站eBay上周所公布的入侵事件那样令人震惊。

该公司公布称，在今年2月末至3月初对其数据库的一次入侵中，黑客获取了几名员工的登录授权。黑客由此掌握了1.28亿eBay活跃用户的姓名、地址、电话号码、电子邮箱地址以及密码。

eBay表示，其在两周前才知晓这次入侵事件。因此，现在它要求活跃用户重设个人密码，希望对事件作出补救——这可能是互联网历史上最大规模的数据泄露之一。

eBay承认此事之后，其全球客户有理由向eBay提出一些尖锐问题。为何eBay花了至少两个月时间才发现公司遭到网络攻击？在发现此事之后，为何又过两周才通知给客户？

令人担忧的是，eBay看来试图淡化该事件。它强调，黑客仅仅获取了“少量”员工的登录授权——但仅仅盗取一套员工登录信息就可以危害到一家公司。它坚称，集团的贝宝(PayPal)在线支付平台没有被攻破。但几百万客户的个人数据失窃，可能给近几个月来发生在银行和其他公司的网络盗窃打开方便之门。

无论eBay数据失窃案具体情形如何，它都导致我们提出有关数字经济脆弱性的更广泛问题。毕竟，如果资金充足的大牌互联网公司都容易发生这类数据库遭袭事件，那么这理应引起全球商业界的深思。

有两个问题值得特别注意。第一，尽管很多公司都意识到网络攻击的风险，但很少有公司建立完善的系统来发现此类攻击。

一项由电信集团Verizon发起的对数据失窃的著名调查显示，在超过70%的事件中，涉事公司是由外部人告知（而并非通过内部系统）才知道自己遭到了攻击。这表明，有太多公司所依照的原则是，他们只是可能会、而不是一定会受到伤害。

第二个令人担心的问题是，公开宣布自己遭到网络攻击的公司太少了，因为它们害怕公司声誉和股价受损。这导致政府和私人部门很难对网络罪犯的具体攻击行动发起共同回击。

没错，有些公司愿意公开身份，以帮助政府追查黑客。上周美国司法部(DoJ)起诉5名中国军官盗取多家美国公司的知识产权时，就是如此。

美国司法部在起诉过程中，公布了据称遭到中国人攻击的多家美国公司的名称。但愿意站出来承认遭攻击的公司仍非常少。互联网咨询机构曼迪昂特(Mandiant)去年发布报告称，有141家美国公司遭到了中国人民解放军(PLA)的网络攻击，但未提及这些公司的名称。其中大多数公司仍拒绝公开宣布遭攻击的事。

在美国和欧洲，企业领导人仍未对网络攻击的风险予以重视。对企业网络安全领域管理不当的老板们，现在再也找不到借口了。各企业必须更认真地防范和应对这些风险。

eBay发生数据泄露事件

eBay正要求近1.28亿活跃用户全部重新设置密码，此前这家零售网站透露黑客能从该网站获取密码、电话号码、地址及其他个人数据。

该公司表示，对这次网络攻击的调查显示，“没有证据”表明黑客攻破了该集团旗下的PayPal在线支付服务——PayPal的客户数据与eBay的客户数据是分开存储和加密的。

该公司表示，黑客得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。

针对eBay的这次网络攻击是流行零售网站出现网络安全问题的最新一例，此前塔吉特(Target)和雅虎(Yahoo)的电子邮件服务也曾出现过这种问题。

塔吉特已经解除了首席执行官的职务，该公司正因这次泄密事件而面临集体诉讼。此次泄密事件在今年一季度为该公司带来了1800万美元的净损失（2600万美元的总成本有一部分得到保险赔偿）。

eBay表示该公司会就重设密码一事联系用户。这次泄密事件发生在今年2月底和3月初，eBay是在大约两周前发现这一泄密事件的。该公司并未说明有多少用户受到此次事件的影响。

eBay还表示，黑客获取了“少数”员工登录授权，令他们能够访问该公司的企业网络。

硅谷网络安全公司Adallom的泰尔•克莱因(Tal Klein)指出，在这次网络攻击中，黑客找到了一种低成本而又十分容易的方法——使用员工授权。他表示：“eBay表示‘少数’员工授权泄露，这是一种极具误导性的声明，和风险大小没任何关系。”

“关键在于，要攻破任何一家企业，我需要多少员工授权？答案是只需要一个就够了。”

这次对eBay的攻击显示出，即使是拥有强大网络安全团队、过去从未遭遇数据泄露的成熟网站也很脆弱。

消息来源：FT中文网