天涯泄密案已报警 亡羊补牢漏洞仍存
http://msn.finance.sina.com.cn 2011-12-27 02:07 来源: 21世纪经济报道陈承
“我们已经第一时间向海南省公安厅、海口市公安局报了案,警方表示已经立案”,12月26日,天涯社区市场部公关经理初蒙向本报表示。
12月25日,国内著名网络论坛天涯社区被爆泄露了其4000万用户的个人数据,其中包括用户名、密码和注册邮箱等敏感内容。这是继12月21日,知名IT网络社区CSDN被指泄露600余万用户信息后,第二家被网站官方确认已泄露部分用户未加密密码的国内著名网站。
“4000万这一数值是黑客提供的下载文件中标识的,就目前核查的情况,实际数据低于这一数字。” 初蒙说。
“目前可证实此前明文保存用户密码并已部分泄露的国内网站为CSDN和天涯社区”,资深IT人士龙威廉对本报称,“人人网、多玩网等其它网站目前也有疑似用户数据库文件在网上传播,但现在尚未得到证实。”
祸起“拖库”?
“我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一”,从12月26日开始,天涯社区在网站首页挂出致歉函,承认其部分用户个人信息已遭泄露。
“由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”,天涯社区市场部公关经理初蒙书面回复本报时称,“2010年之后,我们升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。”
初蒙并未透露导致天涯社区部分用户个人信息泄露的具体原因,只是表示:“关于此次数据被盗事件发生的动机、手段及波及的规模,我们会积极配合公安机关、政府监管部门的调查和取证,调查进展请关注有关部门的通报或说明。”
据龙威廉分析,此番CSDN和天涯的数据库泄漏事件,极有可能祸起一种专业的黑客攻击手段——“拖库”。
“黑客通过查找网站漏洞、然后‘挂马’的方式,非法将网站的数据库导出,接着导入黑客自己的数据库或在网上公布供他人下载”,龙威廉称,“黑客并没有入侵用户本地电脑,因此此事件和用户电脑本身的安全无关,所以普通用户也无法事先知晓或防范。”
国内某知名手机维护软件研发公司的员工陈先生也对本报称,国内网站目前多数没有专业的密码管理手段,也没有针对该领域的行业标准:“国内网站都是各自设置自己网站的密码安全策略,所以才导致网站泄露明文保存用户信息和密码的情况。”
陈先生分析,据他了解,即使部分网站对用户帐户和密码进行加密保存,仍有可能被黑客以暴力破解的方式对数据进行解密。“国内网站相关人员普遍对密码学研究不透彻,缺乏针对加密算法的安全性研究。”
漏洞仍存
尽管网站所属地公安机关已立案调查,但至发稿时,相关网站泄露的用户帐户密码信息仍在网上疯传。
本报记者通过搜索引擎等方式,轻易搜索到了CSDN社区、天涯社区和人人网疑似泄露文件的P2P种子,并可通过下载软件正常获得。其中后两者以压缩包的形式,将用户名、注册邮箱和密码内容用。txt记事本文件的格式明文保存。
疑似CSDN社区的泄露文件,则以.sql数据库文件的形式明文保存。IT人士称,一般用户只要用相关软件打开该数据库文件,同样可轻易获得泄露的用户名、注册邮箱和密码信息。
“通过查询,我发现自己的帐号信息也被泄露了”,上海一位姚姓培训师向本报记者表示对此“非常震惊”,“泄露的注册邮箱、用户名和密码,也正是我在京东、新蛋等电商网站上所使用的,一旦他人通过泄露的文件提前获取了相关信息,那么我在电商网站上保存的姓名、住宅地址和联系电话等内容,可能已经被别人获得了。”
此外,今天新浪官方发布公告称,在对数据进行研究后发现,“极小部分用户因使用和其他(泄露用户信息文件)网站相同帐号密码,可能导致其微博(http://weibo.com)帐号不安全”。
第三方机构艾瑞的统计数据显示,在国内所有下载软件市场中,迅雷的月度覆盖用户数超过九成。迅雷副总裁王珊娜对本报表示,此前迅雷已将上述泄露文件进行屏蔽,用户无法通过迅雷下载相关内容。
“我们在第一时间从CSDN官方得到了相关文件的链接,之后立刻在迅雷下载平台对该文件进行了屏蔽,并对迅雷网盘、迅雷快传等网络工具也进行了快速处理”,王珊娜称。
不过记者试验发现,有心人士仍可绕开迅雷使用其它流行的P2P软件正常下载泄露的用户信息文件。
实名制隐忧
“以前国内也发生过一些网站泄密情况,但直接公开这么多网站的密码,这还是第一次”,龙威廉说。他透露,此前黑客盗取网站用户数据库后,一般的做法都是隐秘地在网站上兜售相关文件以获取利益。
而此次国内数家著名网站遭到大规模泄密事件,其时机相当微妙——此前,北京市刚刚下发通知,要求微博网站开展实名制管理,十多天后,上海相关部门也宣布率先开展对新注册用户微博真实信息的要求,并从12月16日开始试行。
“这次CSDN泄露的数据库文件,通过解压缩后可以发现,其文件最后修改日期是2011年10月16日”,龙威廉称。而据了解,此前两个月,网络并未出现上述文件。
龙威廉分析,目前泄漏的信息主要是用户名、邮箱、密码,如果采用网站实名制,则用户的真实姓名、身份证号码、生日、出生地区等隐私信息将有可能泄漏,犯罪分子可以使用非法获取的身份证等信息进行诈骗等犯罪活动,冲击国内的信用体系。
这方面,率先实行网络实名制的韩国已有过教训。韩国专栏作家金宰贤本月在《FT中文网》撰文称,2011年7月,韩国SK通讯旗下的韩国三大门户网站之一的Nate和社交网站“赛我网”遭到黑客攻击,约3500万名用户的信息外泄,而泄露的用户信息包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。