分享更多
字体:

谁动了你的“密码”

http://msn.finance.sina.com.cn 2011-12-31 08:14 来源: 中国经营报

  李立

  黑客还没有收手的迹象。

  2011年12月22日曝出程度员专业网站CSDN600万用户个人信息遭泄露。随后惨遭毒手的是天涯,被曝出用户资料外泄的,还涉及人人网、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网等多家网站。

  除此之外,腾讯、新浪、网易等门户网站被传中招。不断有消息传出,QQ、新浪微博(http://weibo.com)登录异常,163邮箱账号被人植入后门。在业界看来,这些连锁反应更像是泄露事件的后遗症。但对于牵涉其中的网站们来说,解决方案不仅仅是提示网友修改密码那么简单。

  被泄露数据并不“新鲜”

  2011年12月21日,360安全卫士通过微博预警,称有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文(账号密码未被加密,以原有字符状态保存和传输)的注册邮箱账号和密码。

  作为国内最大的程序员网站,360提醒广大程序员务必重视并尽快修改密码,包括CSDN账号密码,以及采用相同注册邮箱和密码的其他网络账号。

  随即网络上展开了对此“黑客”的追剿。有网友爆料称21日下午,有人在QQ群内发布CSDN数据包的迅雷快传链接。

  据金山网络提供的信息称,早在12月4日,专业安全网站“乌云”(wooyun.org)上,就有ID为“臭小子”的用户发布了一份“中国各大站点数据库曝光”的漏洞概要,其中就包括CSDN相关数据库。

  但是从目前的迹象看,乌云上ID为“臭小子”也很难被界定成始作俑者。据信息安全的业内人士透露,此次泄露的数据实际并不新鲜,已经是圈子里倒手多次的数据。并非行业中“秘密”。尽管目前还很难揣测黑客的真实目的,但是通过连环泄露事件,就算是黑客示威,也是给业内的信息安全敲响警钟。

  2.3亿密码被攻克

  据金山网络安全工程师对密码包的统计结果,CSDN泄露的600万密码只是沧海一粟,此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号,但预计受影响的用户将在千万级别。

  据一位业内人士根据目前流传的密码包统计,与CSDN一道被曝库的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站,还包括至少16家大型商业银行、21家证券机构,以及至少19家政府机构网站。

  人气网站天涯社区也被曝用户数据库被公开,涉及的用户量据称有4000万之多。

  “4000万这一数值是黑客提供的下载文件中标识的,就目前核查的情况,实际数据低于这一数字。”天涯市场部公关经理初蒙接受《中国经营报》记者采访时表示。据其介绍,此次被盗的数据为2009年之前的备份数据。2010年之后,天涯升级了用户账号管理功能,使用了强加密算法。

  随后,被传有用户数据泄露的人人网也发布声明,否认现在网上可供下载的用户数据是其账户信息,表示:“其建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露”。不过鉴于“近日发生的CSDN网站大量账号密码被盗事件,人人网立刻采取对用户账户的安全保护措施,利用站内通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级,防止账户被盗”,并“提醒所有与CSDN相同账号密码的互联网用户及时修改密码”,“对于少数媒体、组织和个人恶意造谣并且诋毁人人网品牌形象的行为,人人公司将采取法律手段保护自己的合法权益”。

  但2011年12月28日,CSDN创始人蒋涛通过微博对此表示异议:“某上市公司忙着造假库往外扔,栽赃其他公司,想摆脱被曝明文库的证据”,“某网说它的500万用户数据泄漏是与CSDN库碰撞引起,它从来没有存明文,对比我们的曝库642万数据,和它重合度只有27958,怎么碰撞?后面就出现和它重合度92%的新浪微博库,这回是真的碰撞了,这就是互联网上市公司的水平”。

  被忽视的信息安全

  “表面上看是明文密码的问题,但实际上是多数网站从来没有真正重视过信息安全,”业内人士向记者透露。“一般设站点初期不会考虑安全上的投入,只有当出过事情譬如信息泄露、站点被攻击的时候才会去考虑安全投入。”

  实际上,2011年黑客已经屡次示威。在此之前,MSN曾遭遇到大面积的账号被盗事件,相当一批用户无法登录。腾讯QQ被黑,用户突然收到好友借钱的事件也常有发生。索尼也经历了历史上最严重的数据泄露,索尼PlayStation被迫短暂关闭,花费超过1.71亿美元处理其数据泄漏所带来的后果。“刷库”事件屡次上演,据公开报道Groupon、世嘉、宏基,甚至是国际货币基金组织等知名机构都曾遭遇入侵,并造成上千万的客户资料泄露。

  目前的情形是,2011年的年末,网友人人自危,忙着改密码。另外一面,网站们在忙于撇清与泄露事件的关系。但是有一点不可回避,防守不够,黑客们才有机可乘。乌云网相关负责人在接受记者采访时透露,“天涯和CSDN都没有听说有安全团队,之前乌云上披露过一些他们的安全问题,但是都没有人去负责处理。”

分享更多
字体:

网友评论

以下留言只代表网友个人观点,不代表MSN观点更多>>
共有 0 条评论 查看更多评论>>

发表评论

请登录:
内 容: