12 月 21 日,国内最大的程序员社区 CSDN 上 600 万用户资料被公开,同时黑客公布的文件中包含有用户的邮箱账号和密码。
昨日,继 CSDN 信息安全出现之后,网上更是传出包括人人网、开心网等多家互联网公司的用户被公开的消息,不过上述公司均对此予以否认。随后,包括 360 和金山都相继发布警告,通知相关用户尽快更新密码。
或成史上最大信息泄露事件
12 月 21 日,360 安全卫士在微博披露:“今日有黑客在网上公开了 CSDN 网站用户数据库,包括 600 余万个明文的注册邮箱账号和密码。CSDN 是国内最大的程序员网站,请广大程序员务必重视并尽快修改密码,包括 CSDN 账号密码,以及采用相同注册邮箱和密码的其他网络账号,如邮箱、微博、购物网站、聊天软件等账号,以免蒙受盗号损失!”
晚间,CSDN 就在其官方网站上贴出了相关的公开道歉信,公开信中披露,目前泄露出来的 CSDN 账号数据基本上是 2010 年 9 月之前的数据,泄露原因正在调查中。
在此次事件中,CSDN 此前采用的明文密码方式被认为可能是 “罪魁祸首”。CSDN 还在这封道歉信中透露,CSDN 网站早期使用过明文密码,使用明文是因为和一个第三方 chat 程序整合验证带来的,后来的程序员始终未对此进行处理。一直到 2009 年 4 月当时的程序员修改了密码保存方式,改成了加密密码,但是直至 2010 年 8 月底 CSDN 才清理掉所有明文密码。采用明文密码是一个相对低端的模式,很容易就被黑客破解。
在 CSDN 用户数据库泄露后,有消息称人人网、开心网、世纪佳缘等网站的用户数据库或被相继公开,一时之间一场“密码危机”被推向高潮。
对此,上述网站方面也做出了相应的回应。人人网方面表示:“人人从上线开始就没有记录明文密码。在此事件后,人人网立刻采取对用户账户的安全保护措施,利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级,防止账户被盗。如果用户的人人网账号密码和 CSDN 或其他网站一致,建议马上修改密码,以免账号被盗。在 CSDN 或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改。”
随后记者致电同样出现在被泄露名单中的开心网。开心网方面表示,目前尚未接到关于用户密码泄密的问题,不过公司方面也在关注此事的发展。
“CSDN 这次大规模的用户信息泄露,可能会给包括支付宝在内的类似公司造成一些困扰,因为不排除用户用同样的邮箱和密码同时注册多个网站。”支付宝方面表示,“我们正在将获得的资料和支付宝用户进行核对,如果发现有相同会及时做出相关的保护措施。”
网络安全问题再受拷问
上百万的用户信息被黑客泄露,众多网友纷纷在第一时间修改了相关用户名密码,不少网友和业内人士也在质疑相关网站所采用的安全模式问题,。
据此前 360 发布的《2011 年上半年互联网安全报告》,黑客窃取网站数据库的危害已远远超过盗号木马。因为如果一家网站服务器被黑客攻破,成百上千万用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号也一并失窃。
值得注意的是,接近年末互联网的安全问题也接踵而至。此前爆发的微博、MSN 大面积盗号事件,其攻击方式均为黑客“拖库”后试探盗号的。11 月上旬,MSN 就曾经遭遇到大面积的账号被盗事件。当时不少用户发现自己的账户出现异常情况,其中有些是自己账号无法登录,系统提示“密码错误”,有些则是用户收到好友突然发来借钱的消息。
不仅如此,最近一直在推行实名制的新浪微博也遭遇了相同的情况。本月中旬有多数网友反映自己的微博账号疑似被盗用,在登录新浪微博时,出现需要更改密码才可登录的情况。新浪微博对此表示,通过排查发现近期多起账户被盗现象。
上述事件都是因为注册账号时用同一邮箱或是密码所致。目前可供用户使用的互联网服务很多,基本都通过用户邮箱注册。用户可能在不同的网站注册时,会设置相同的密码。导致一旦某个网站的密码被盗,多个网站的账号均可能被盗。
360 方面表示,网络服务商应重视并加强对用户数据的安全保护,除了修复网站和服务器系统漏洞外,还应注意对用户数据进行加密存储,把黑客攻击的风险降到最低。金山也在相同时间发布了预警公告,并否认了公司员工为首个网上传播的网民。
