AD
法治周末实习生 罗聪冉
一个由大学生创业上线的IT项目,据说累计已为全球37个国家和地区、超过1万名客户提供服务,力争要做“最贴心的主机托管解决方案”的虚拟主机商,突然“失踪”了。
近日,多名使用保罗主机的用户向法治周末记者反映,其使用的保罗虚拟主机莫名消失、无法访问,存储其中的个人数据也无法再找回。
法治周末记者了解到,保罗主机于2010年由湖北经济学院学生罗百顺创建,经过发展,成为武汉未镭云字节网络服务有限公司旗下IDC品牌,提供独立服务器租用托管、VPS、虚拟主机等业务,在美国、香港、韩国均有服务器节点。
如此“国际化”的公司,到底怎么了?
保罗频发云事故
所谓虚拟主机,也叫“网站空间”,是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等)功能。
10月8日,一位“倒霉”的保罗主机使用者张宇(化名)向法治周末记者透露,之前,因为了解到保罗主机“速度快”“功能稳定”,于是,2015年6月14日,他购买了保罗主机的网站空间和域名。
“可真使用时,我却发现,保罗主机的稳定性不是很强,先后出现过网站空间无法访问、后台管理界面没有域名管理入口等问题。前几天登录的时候,又发现后台管理中购买的虚拟主机消失了。”张宇说。
按照以往的惯例,张宇再次向官方售后提交工单(即网络服务商为用户提供售后服务采用的一种问题反馈形式)。官方回应称:“我们将马上为您创建新的机器。由于之前韩国主机遭受攻击,我们尝试找回客户的全部数据,但是出现了部分客户数据丢失的情况,如果您在本地有网站数据,我们可以为您重新装机并协助您恢复主机。”
可7天后,张宇的主机仍然处于没有恢复的状态。“我已经不抱希望了,准备购买新的云主机了。”张宇有些无奈。
法治周末记者为此加入了“保罗站长交流群”QQ群,这里汇集了三百多名使用过保罗主机的用户。群公告显示,“目前存在的问题,暂时的解决方法是具体问题具体提交工单,至于能否解决暂时只能先拼下人品,群内暂时无权威人士可以就主机或者域名问题作出肯定的回答”。
无独有偶,QQ用户“花雨”向记者反映,自己的主机也出现过首页打不开、打开后没有主机管理的问题。
“花雨”表示,在向服务商反映情况后,虽然解决了主机问题,但还是丢失了两个月的数据。而对于“花雨”遭遇的“不幸”,服务商给他的回复,却是由于用户个人没有做好备份管理。
10月初,在记者登录其官网时看到,保罗主机与未镭云、xeepi等国内外服务商又整合升级为PacificIDC品牌,原先的保罗主机客户将全部转移由PacificIDC管理。
“花雨”认为,或许因为合并,保罗主机现在正处于混乱时期,所以即使出了问题,也迟迟无人解决。
服务商称数据丢失属“不可抗力”
对于这次韩国主机遭到攻击导致用户数据丢失事件,近日,保罗主机创始人罗百顺向法治周末记者表示,数据丢失通常分为两种情况,一种是不可抗力因素造成的丢失,包括物理性的硬件服务器的损坏、同机房客户操作非法信息等,这种情况造成的客户数据丢失,是服务商和用户共同担责;第二种是因公司管理不善造成的数据丢失,公司承担全部责任。
“虚拟主机作为一个托管平台,是不能保证客户数据信息100%安全的。”罗百顺表示,“这次事件的起因属于不可抗力因素,是因为某个用户违反了服务条例管理内容,而造成同机房其他用户受到牵连。而具体原因还需作进一步了解。”
法治周末记者又联系到PacificIDC官网销售客服Kate,他本人回应,此次事件是韩国主机的客户因为发包(黑客使用服务器或肉鸡对另外的主机进行数据包攻击,在术语中叫做“发包”)被攻击,导致其他用户的主机无法正常使用。
对于上述说法,游侠安全网创始人、中国首席信息安全官负责人张百川向法治周末记者解释:“不可抗力因素的出现,确实会导致用户信息安全无法保障。”
然而,对于Kate的说法,张百川认为,虽然发包的攻击力强大,但纯粹的数据包导致的是拒绝服务,而拒绝服务不会导致用户数据丢失,这与部分用户已丢失数据的事实是不相符的。
记者就此异议,尝试再次联系PacificIDC相关负责人,但截至发稿前,未得到对方回应。
服务商免除其责任的格式条款无效
根据PacificIDC官网服务水平协议规定,因战争、破坏、火灾、运输中断、黑客、病毒、第三方软件故障等原因,或关联以上因素导致的连接失败或连接受阻的情况,客户不享有任何赔偿。
而类似以上格式条款,在多家云服务商网站都可看到。七朵云服务条款中提到,“请阁下定期备份主机的重要数据,我们不对不可抗力的因素引起的数据丢失赔偿”;阿里云KVStore故障赔偿规则里也指出,因为不可抗力以及意外事件引起的、用户疏忽等原因导致的无法正常使用,不在阿里云故障赔偿范围。
“不可抗力是指‘不能预见、不能避免和不能克服的客观情况’,而作为虚拟主机,很可能会受到黑客攻击,是属于网络服务商应当可以预见的事情,网络服务商更应当为防止这种黑客攻击,提供必要的安全措施和维护。”对于以上网络服务商所提供的服务条款,北京市盛峰律师事务所主任律师于国富如此认为。
根据我国合同法第40条规定,提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。
记者从保罗主机的服务承诺中看到,保罗主机为用户提供了免费的每日异地备份服务,并声称“您无需担心您的数据丢失”“可以随时通过提交工单向我们提出恢复昨日数据的要求”。然而,从用户接受记者采访的上述反馈看,保罗似乎并未履行这样的承诺。
“如果虚拟主机提供商没有尽到必要的义务,从而导致了主机被轻易攻破,提供商应承当赔偿责任。”于国富谈道。
中国政法大学知识产权中心特约研究员赵占领也持相同观点。他指出,网络服务商应有证明自己的义务,比如,证明自身采取过记录措施、管理措施、防范被第三方攻击等必要的措施,然后可按照合同法,来判断自身是否尽到信息保护的义务。
记者从PacificIDC官网上看到,PacificIDC将引进智能路由平台,24小时自动发现丢包、拥堵和潜伏问题;并显示将会提供顶级DDoS防护,来应对日益频繁的威胁。
法治周末记者也从阿里云客服处了解到,阿里云为云主机用户提供了“云盾”保护。其中,包括最高5G的DDoS防护能力;模拟黑客攻击,评估出重大安全漏洞等。同时,阿里云服务器存储采用了大规模分布式存储系统,每份数据提供三份副本,当单份数据损坏后,可实现数据的自动拷贝。
“不同的网络服务商所能提供的保护措施也不相同,从60分到99分,差异很大。”张百川表示。
用户及时备份成关键
除了网络服务商自身应提高职责意识外,在中科院信息工程研究所高级工程师仇新梁看来,用户也应规范自身使用行为。
“因为数据本身具有不可靠性,因此,有时候会很难找到虚拟服务器数据丢失的原因,到底是由于管理员操作失误,还是遭受外来攻击,亦或是用户自身行为导致,都不好确定。”鉴于此,仇新梁认为,应当加强用户与网络服务商之间的约束力,对安全问题的责任认定再进行清晰的界定,厘清双方的职责义务;同时,网络服务商应提升自身的稳定性和可靠性,满足用户的基本使用要求,而不是让用户时刻担忧数据安全问题。
不幸中的万幸:在张宇向官网提交工单的第8天,张宇在保罗后台上的已购订单中,又看到了自己购买的虚拟主机。
“而至于数据是否也被恢复,我已经懒得再去验证。”张宇坚定地说道,“以后绝不会再用保罗主机了!”
据记者了解,因网站空间事故频发而导致用户信息丢失的事件常有发生:早前,美橙互联技术人员因重启了服务器,造成整台云主机数据丢失;盛大云也曾因物理服务器磁盘损坏,导致个别用户数据丢失,并就此事件发出通告,“建议您在云主机之外,也做好数据备份”。
记者发现,通过以“云服务”“宕机”为关键词所检索出的链接,大多是购买过云服务的用户遇到宕机现象叫苦不迭、发誓再不购买的内容——在网站空间安全事故频发、网络服务商又无法确保数据安全的情况下,用户又应怎样做到“自保”?
“倘若遭遇不可抗力攻击,服务商本身也是受害者。”张百川表示,“当网站受到攻击,数据库会被破坏,这时便需要从备份里面恢复数据库,为避免个人数据发生丢失,用户做好及时备份才是关键。”
对于“自保”策略,业界人士也曾表态,用户不应将数据安全的保障寄托在服务商上,个人也应做好数据备份,不断保持备份数据的更新,并定期测试这些备份数据的完整性;如果数据十分重要,还得将数据放在不同的服务器上,做好防灾预案的准备。
