 12月21日上午,一则关于黑客在网上公开了CSDN网站的用户数据库,其中包括600余万个注册邮箱账号和与之对应的明文密码的消息,被疯狂转载,随后,引起整个业界及数亿网民的关注。由于大部分用户在多个网站注册时采用了相同账号,天涯社区、百合网、人人网、开心网、珍爱网、世纪佳缘、多玩网、美空网等多家知名网站先后被卷入泄密风波,据估计,涉及人数达5000万人,中国互联网史上最大的信息泄露事件由此爆发。 1多家网站用户数据泄露 互联网深陷泄密门
“全中国的程序员都在疯狂地改密码。”网友“谢昊”的这条微博并不夸张,12月21日程序员的网上大本营被黑,600万条账号密码被黑客公开。 遭遇黑客的网站叫CSDN,号称“全球最大中文IT社区”,是国内程序员的聚集地。 当天下午,网上流传说,CSDN的用户数据库被黑,用户资料被泄露。网上一阵恐慌,一般人的账号密码认准后基本不会变,也就是拿到这份资料后,就可以随意登陆别人的邮箱、QQ、微博、豆瓣,甚至破解出银行密码。 网友“林磊”做了一下实验:“刚刚下载了那个文件,解压后两百多兆的文本,在里面搜了一下,自己的账号果然在里面,用户名、密码、邮箱全部都在,顿时一阵无名火起,这让我们还怎么相信国内的网站!” “太丢人。”IT人“鱼翅”说,这次泄漏事件一出,就跟程序员干不过黑客似的。有网友直接形容,这就像警察家里遭了贼,又好笑又紧张。 人人网变脸记 12月22日,网上开始流传人人网、多玩网、世纪佳缘等网站的用户信息也遭到泄露的消息,甚至出现了疑似人人网500万和多玩网800万的用户信息的链接。 但几家网站的相关工作人员均表示没有发现这样的情况,并表示“我们有强大的后台安全系统。 但很快,人人网变卦了,其官方微博发表通知,建议人人网账号密码和CSDN或其他网站一致的用户修改密码,并称其从未记录明文密码,不会泄露用户信息。 没过多久,人人网再次变脸,认为多名用户账号被盗,是黑客从CSDN网站泄露的数据中,试出人人网的用户名的密码。建议在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改”。 天涯60%用户密码被泄露 25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000万。与之前CSDN被泄漏的信息一样,天涯被泄漏的用户密码全部以明文方式保存,数量之大的确令人乍舌。 据天涯网相关负责人介绍,由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成了加密密码,但部分老的明文密码未被清理。此次遭到黑客泄漏的用户便是2009年11月升级密码保存方式之前所注册的用户,据悉,天涯网目前共有6000万注册用户,而此次泄漏的用户数量达到总数的60%以上。 新浪微博用户密码疑遭泄露 12月26日凌晨,新浪微博用户密码亦疑遭泄露,数据经用户验证有真有假。 0点19分,《看天下》杂志主笔陈劲松在其微博透露,新浪微博用户密码库已被泄露,并提供电驴下载地址。TechWeb下载后,经随机抽取验证,其中部分用户名、密码可以正常登陆新浪邮箱或新浪微博。亦有用户通过微博反映,此次泄露出来的数据库为假,用户名和密码基本都无法成功登陆。根据泄露文件显示,用户数据涉及微博4765896名用户。 新浪微博认证用户夏勇峰分析:“最大的可能是,数据中有些是从别的表里拿过来,有些完全伪造,应是喜欢添乱的无聊人士游戏之作。” 其他被爆“泄密”的网站回应
多玩网CEO李学凌表示,已关注到网上传闻,多玩正在排查,目前尚未看到有用户资料泄露。尽管网上已有多玩泄露的截图,但并不能证明是真实的。 7K7K发话:不存在泄露情况。7K7K总裁孙祖德在微博上表示:“在网传7K7K用户数据发生泄露的第一时间,7K7K的网站技术人员进行了分析和排查,并未发现注册用户信息泄露的情况。” 支付宝方面表示“CSDN这次大规模的用户信息泄露,可能会给包括支付宝在内的类似公司造成一些困扰,因为不排除用户用同样的邮箱和密码同时注册多个网站。”“我们正在将获得的资料和支付宝用户进行核对,如果发现有相同会及时做出相关的保护措施。” 360方面表示,网络服务商应重视并加强对用户数据的安全保护,除了修复网站和服务器系统漏洞外,还应注意对用户数据进行加密存储,把黑客攻击的风险降到最低。金山也在相同时间发布了预警公告,并否认了公司员工为首个网上传播的网民。 2你的密码是“123456789”吗?
上千万网民密码泄露,多个网站出现这些信息的下载链接,信息被肆意下载和转发…… 众多网友从360安全卫士弹出的窗口、邮件以及微博中获知该信息。“我的邮箱里涌进很多邮件,包括豆瓣网、丁香园等,手机上也收到了建议修改密码的信息。”济南市民高先生意识到,极隐秘的个人信息竟然被如此轻易地窃走。 虽然个别网站称自身信息并未泄露,但恐慌已在网友间蔓延。22日是冬至,却被网友戏称为“密码修改日”。“大家赶紧改密码,微博账号被盗,发了一堆乱七八糟的微博,头像还被改了,关注了几十个人,删都删不掉。”网友“丸子u”在微博中写道。 而令人深思的是,网络专家分析此次CSDN泄露的640余万个数据后得知,“123456789”竟然成为了用户最常用的密码,用户数达到了235024位,占所有用户的3.66%;“12345678”是第二常用密码,用户数达212751位,占3.31%;“11111111”排名第三,用户数达76346位,占1.19%。 45%的用户选择了纯数字密码,12%选择纯字母密码,只有39%的用户选择数字+字母的组合密码。这样的密码设置,是否靠谱不言而喻。 3金山毒霸否认员工是黑客
就在CSDN数据库600多万用户资料一夜之间被黑客曝光之际,金山网络安全专家迅速接受了媒体的采访表示,密码加密技术其实已经比较成熟,但是由于黑客已经收集了大量密码的明文和密文,并以此构建了庞大的数据库(在线密码字典),一些最简单的字串被许多黑客工具加到最简单的密码字典中,瞬间即可破解。 应当说,作为国内互联网知名的安全软件企业,能够在第一时间将此次事件告知广大网民,是件幸事,至少让网民看到了互联网用户安全机构所承担的社会责任感。同时,也为消费者心中树立了一个良好的企业形象,做了一次很好品牌宣传。 不过,随着事态的一步步向前迈进,当金山的工作人员成为此次媒介关注的焦点,直接被推到了风口浪尖时,其所树立的正面品牌形象在转瞬之间轰然倒塌。媒体与公众也由先前敬畏、信任变成了不满、敌视和责难。 22日有消息说,一个叫做“hzqedison”的微博用户或许分享过一个“CSDN-中文IT社区-600万.rar”的压缩文件,而这一压缩文件的内容实为“CSDN未经加密的600万用户资料”,其数据库下载链接在黑客论坛和QQ群中传开。 12月23日凌晨,金山毒霸官方微博发布声明承认,21日在迅雷提供CSDN数据库下载的发布者(迅雷ID:hzqedison),正是金山员工韩某。金山毒霸与“hzqedison”同时表示,“韩某并非所谓黑客”,此次600万用户账号和密码遭泄露,“并未造成扩散”。 金山声明中称,hzqedison是在12月21日中午密码库事件爆发一个半小时后,从微博、迅雷等公开渠道间接获得“此前已广泛流传”的密码库,他“无意识”地在迅雷生成链接,“供身边少数同事自查”,在获知该链接被外人获知后,便迅速删除了该链接。据删除前统计,该链接仅被不超过5名同事下载。金山还透露,一位ID为“臭小子”的人,早在12月4日就已将密码库公开到漏洞网站乌云网。 4我的信息谁做主?
接近年底,这场互联网泄密恐慌如多米诺骨牌般迅速传导。并且面对用户账号密码大面积泄露,各网站态度暧昧,值得揣味,除CSDN和天涯公开承认被攻击,表示道歉外,其他厂商无一例外都模糊回应,和公众玩起了“躲猫猫”。 密码泄露,这在当下真是够恐怖的。想上论坛、博客、微博发表言论要用密码登录;近乎天天都要用来跟亲友交流用的QQ、MSN等通讯软件需要密码;企业之间通过电子信箱传送商业文件,离不开账号密码;网上购物、结算更是离不开网银支付密码……网络离不开密码,而我们的生活早已离不开网络。在此语境下,“密码不密”所造成的后果,恐怕是毁灭性的:它能让我们的隐私不隐、机密不密,甚至自己的钱都不会是自己的。 “我的信息谁做主?”众网友在质疑的同时也心存疑问,作为国内知名的网站,其数据库怎会如此脆弱?此次事件,之所引人关注,不光是其泄露的用户信息数量之大史无前例,更因为CSDN网站会员被泄露的600多万账号以及国内知名社区天涯的密码对应的都是明文密码,也就是说是这些密码并未经过后台的再次加密处理,普通人只要下载就都能看懂,并可直接通过他人的账号进行登录。 令人费解的是,用户在网站注册时,往往填写密码用*号代替直接显示,而且网站还都宣称在后台会高度加密。同时CSDN网站会员囊括了中国地区90%以上的优秀程序员,应该有着最强势的优势资源,可为什么这么一个行业内的顶尖网站,后台的保护措施却简陋而脆弱? 虽然CSDN与天涯均称,此次泄露的数据库是2009年前使用的,2009年后网站已改用加密密码,“但这更说明网站管理上可能存在漏洞。”网络安全专家说。 回过头来想想,如果连金山公司的员工的都能轻而易举的获得大量的用户资料,那么,在利益的驱动下,我们又有什么理由不去相信黑客们可以通过频频攻击,也轻而易举地获得其他用户的账号、密码,而将这笔宝贵的互联网信息资源暗自兜售给其他不法分子,使得众多网民在精神和经济上蒙受重大损失。 即便没有任何黑客攻击,网站的工作人员自己就已全部知晓用户数据,这样薄弱的安全性,怎能让广大用户放心上网?实名注册? 5互联网产业高速发展带来的恶果
“我无法想象这些大网站无法保障我的信息安全,我的邮箱、支付宝、QQ都使用了相同的密码,这意味着黑客可以肆意去攻陷我的在线帐户”,这段话正是大多数普通用户心理的真实写照,在他们看来网站保障用户信息安全是理所当然的义务,普通用户可能会对在线服务失去信心。 问题的核心是没有人知道自己是否受到影响,普通人并不会像程序员建立数据库导入SQL文件然后查询,也不知道自己日常使用的网站资料安全是否完备。通常被曝光的数量往往远大于真实存在的数量,没有人知道自己的账号、密码、电子邮件、信用卡密码会不会被放在信封。 这些账号信息可能会对用户的关联帐户产生巨大危害,并且这样的危害基本是无法阻止的,因为大多数人对邮件使用了相同密码,你如果能够通过登陆及邮件更改密码,那么恭喜你,因为那些恶意攻击者也可以。 更大的危害是,泄漏的用户数据可能被有心的黑客用作建设密码破解数据库(彩虹表),帮助恶意黑客们更有效攻陷在线帐户。甚至他们会基于此建立更有效的方式,利用社会工程学来突破传统保护系统的封锁。 先发展后治理,终究带来无可挽回的后果。其实这也正是我国互联网产业发展的一种通病,但这只是造成用户信息泄密乱象的主观原因,其客观原因则是“互联网产业信息安全监管”落后。 6实名制与密码泄漏之反思
在全球范围内,韩国是首个强制推行网络实名制的国家,从2007年7月起,每天访问人数超过30万的35家主要韩国网站率先推行实名制,要求网民用真实姓名和身份证号注册并通过验证后,才能在各网站上发帖和跟帖,时至今日,几乎所有的韩国网站都要求用户用真实姓名和身份证号码进行注册。 出乎意料的是,在韩国推行网络实名制后不久,这些网站便接连遭受黑客攻击,其中,在今年7月份发生的韩国门户网站Nate和社交网站Cyworld被黑事件成为至今发生的规模最大的网民信息被盗案件,约3500万用户的名字、电话号码、地址、身份证号码等信息被公布。 而如今,国内上演的这一幕网民信息被盗的戏与发生在韩国的如出一辙,而且这幕戏还将持续。北京、上海、天津、广州、深圳五个城市的微博客网站近期将试行微博客新增账号以真实身份信息注册。微博客用户以真实身份信息注册及比对认证只在后台进行,用户在前台可以使用真实身份,也可以选择网名、昵称等,网站充分尊重个人意愿。 不难看出,这次发生的大规模网民信息被盗事件已然不是偶然的,而是蓄谋已久的,幕后操纵者想要的不仅仅是网民的私人信息,而是造成网民恐慌,发起对网络实名制的挑战。 谁来保障实名制之下网民的信息安全? 不可否认,面对如今裹挟着真实与谎言、精华与糟粕的网络信息洪流,网络实名制是一张很好的过滤网,对改善互联网环境,促进互联网诚信、健康地发展有着积极的推动作用。但实名制实施的基础必须是网民信息安全,正如实名制管理新规中要求的那样:建立健全用户信息安全管理制度,保障用户信息安全,严禁泄露用户信息。 大量网民账户与密码的泄露,无疑再次对中国互联网的信息安全漏洞敲响了警钟。如何提高网络安全技术,加强信息管理,确保网民信息安全才是时下的当务之急。很显然,如何在保证网络应用的前提下,最大程度地建立并完善网络个人信息的保护制度,无疑不容忽视。 |
|
|
“全中国的程序员都在疯狂地改密码”
开心网表态:建议改密码。紧随人人网之后,开心网也发出提示。这条于22日13时02分发出的微博称:“鉴于多家网站爆出用户资料被黑客公布的消息,开心网建议广大用户:如果有网站用户名与密码被盗,请及时更改其他网站上的用户名和密码。黑客会用盗来的用户名和密码来探测其他网站,如果用户在不同网站上使用的用户名和密码都相同,一旦泄露一个,其他的也容易被探测出来。”
一面是实名制,一面是信息被盗,是偶然还是必然?
