昨日有黑客在网上公开了CSDN网站部分用户数据库,包括600余万个注册邮箱账号和与之对应的明文密码。
事件发展
1 CSDN表示已向公安机关报案
2 成都一知情者称两年前已遭泄露
3 CNBETA、CNZZ、ENET硅谷动力、百合网、珍爱网、开心网、YY、酷6.....网友爆料多家网站或有同样问题
“我的两个都在里面,还帮我找回了2001年注册的帐号。”昨日,四川IT茶馆创始人王佳伦,在微博上说起自己在国内着名中文IT技术社区CSDN上注册的账号,有些啼笑皆非。
王佳伦所言的“里面”,是指昨日有黑客在网上公开了CSDN网站部分用户数据库,包括600余万个注册邮箱账号和与之对应的明文密码。CSDN在其官方网站及微博上确认了这一事故。
黑客公开数据库
600余万用户资料挂上网
CSDN创立于1999年12月,是Chinese software develop net的缩写,又称中国软件开发联盟,是大型综合性IT门户网站。公开资料显示,其会员囊括了中国地区百分之九十以上的优秀程序员。
昨日上午,有黑客在网上公开了CSDN网站的用户数据库,其中包括600余万个注册邮箱账号和与之对应的明文密码,此事引起业界一片哗然。
成都晚报记者获知消息后登录CSDN,发现登录页面跳转为一则CSDN passport升级通知,直到17时许,登录页面才恢复正常。
成都本地一位圈内人士告诉成都晚报记者,这事他早就知道,因为很多账号是2009年就被盗的。对于此说法及此次资料泄漏事件,成都晚报记者多次私信蒋涛及范凯欲采访,但对方没有回应。
CSDN确认泄露
向所有用户深深致歉
不过,昨日16时36分,CSDN在其新浪微博上称:“对于CSDN用户账号密码数据库被泄露一事,经过初步分析,该库系2009年CSDN作为备份所用,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。”
CSDN还表示,目前他们已向公安机关报案,“CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。”
CSDN创始人蒋涛在新浪微博上称,“非常惨痛的安全教训,向所有用户深深致歉。”
曾用明文保存密码
创始人悔称“非常愚蠢”
昨日20时41分,CSDN发出《致CSDN会员的公开道歉信》,称该网站早期使用过明文密码,后来的程序员始终未对此进行处理,“2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月清理掉了所有明文密码。”
CSDN平台开发总监范凯则在微博上解释:“CSDN曾经用明文保存密码,但我来CSDN以后已经全部改成SHA加密,目前系统是安全的。但我来CSDN之前被泄露出去的帐号需要立即修改密码。”
蒋涛转发这条说明并称,当年由于“非常愚蠢”的原因保存,“再次沉痛致歉”。据了解,蒋涛1991年毕业于四川大学计算数学与应用软件专业,曾在巨人集团、金山公司任职,领导开发了金山词霸,金山游侠等产品。
补救
CSDN恳请用户修改密码
CSDN在公开信中称,“我们恳切地请您修改CSDN相关密码,如果您在其他网站也使用同一密码,请一定同时修改相关网站的密码。”
CSDN方面表示,2010年9月前注册的账号,建议修改密码;2010年9月以后注册的账号,不必修改密码,但邮箱有泄露可能性;2011年1月以后注册的帐号,帐号,密码和邮箱都非常安全。
“历史遗留的安全隐患从2011年元旦起已经全部解决。”公开信还称,如果账号被盗,使用忘记密码功能,系统会重置密码,将新密码发到注册邮箱;或者给管理员发邮件,请管理员帮助找回帐号。
反应
有用户还是觉得不满
尽管CSDN已经做出回应,但许多用户对明文保存的行为还是觉得很不满。“蒋总,应该系统全部统一重置用户密码,我刚去看到有人已经用我的帐号发了两篇blog了,要等用户自己修改密码,这得出多大乱子!”网友“大鱼儿_”说。
蒋涛表示,他们已经关闭注册用户登录,等待重置所有相关用户密码完成,预计今日早上恢复登录。不过昨晚有用户表示,目前还是可以登录。
事件在发酵
网友爆料多家网站或有同样问题
CSDN事件似乎还在发酵,昨日有网友爆料,多家电商存在同样隐患。
昨日16时左右,网友“潇洒小姐燕子”在微博上列出一长串名单,除了CSDN,有同样问题的大网站还有CNBETA、CNZZ、ENET硅谷动力、百合网、珍爱网、开心网、YY、酷6等,“当然这些是目前已知的,未知的估计更多。”
有好事网友随后将名单“分类”:程序员类、宅男类、纯洁男女类。
“潇洒小姐燕子”上传了一个类似数据库的东西作为证据,不过成都晚报记者私信这名网友,对方没有回应。到记者昨晚截稿时,被点名的网站均没有对此回应。
IT人士警示
别用一个密码通行所有网站
互联网安全问题再次浮上水面。金山网络反病毒工程师李铁军在微博上称“太杯具了,太多人密码通用了。”他表示他随便从某网站泄露的帐号信息里挑了个gmail账号,拿密码登录成功,然后,看到了更惊人的东西,这个gmail账号绑定了N个B2C网站的帐号。“再次呼吁各位网民:不要用一个密码通行所有网站,这就相当于你的所有锁共用一把钥匙,后果你自己想吧。”他说。
12月21日,国内最大的程序员社区CSDN上600万用户资料被公开,同时黑客公布的文件中包含有用户的邮箱账号和密码。
昨日,继CSDN信息安全出现之后,网上更是传出包括人人网、开心网等多家互联网公司的用户被公开的消息,不过上述公司均对此予以否认。随后,包括360和金山都相继发布警告,通知相关用户尽快更新密码。
或成史上最大信息泄露事件
12月21日,360安全卫士在微博披露:“今日有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱账号和密码。CSDN是国内最大的程序员网站,请广大程序员务必重视并尽快修改密码,包括CSDN账号密码,以及采用相同注册邮箱和密码的其他网络账号,如邮箱、微博、购物网站、聊天软件等账号,以免蒙受盗号损失!”
晚间,CSDN就在其官方网站上贴出了相关的公开道歉信,公开信中披露,目前泄露出来的CSDN账号数据基本上是2010年9月之前的数据,泄露原因正在调查中。
在此次事件中,CSDN此前采用的明文密码方式被认为可能是 “罪魁祸首”。CSDN还在这封道歉信中透露,CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码,但是直至2010年8月底CSDN才清理掉所有明文密码。采用明文密码是一个相对低端的模式,很容易就被黑客破解。
在CSDN用户数据库泄露后,有消息称人人网、开心网、世纪佳缘等网站的用户数据库或被相继公开,一时之间一场“密码危机”被推向高潮。
对此,上述网站方面也做出了相应的回应。人人网方面表示:“人人从上线开始就没有记录明文密码。在此事件后,人人网立刻采取对用户账户的安全保护措施,利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级,防止账户被盗。如果用户的人人网账号密码和CSDN或其他网站一致,建议马上修改密码,以免账号被盗。在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改。”
随后记者致电同样出现在被泄露名单中的开心网。开心网方面表示,目前尚未接到关于用户密码泄密的问题,不过公司方面也在关注此事的发展。
“CSDN这次大规模的用户信息泄露,可能会给包括支付宝在内的类似公司造成一些困扰,因为不排除用户用同样的邮箱和密码同时注册多个网站。”支付宝方面表示,“我们正在将获得的资料和支付宝用户进行核对,如果发现有相同会及时做出相关的保护措施。”
网络安全问题再受拷问
上百万的用户信息被黑客泄露,众多网友纷纷在第一时间修改了相关用户名密码,不少网友和业内人士也在质疑相关网站所采用的安全模式问题,。
据此前360发布的《2011年上半年互联网安全报告》,黑客窃取网站数据库的危害已远远超过盗号木马。因为如果一家网站服务器被黑客攻破,成百上千万用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号也一并失窃。
值得注意的是,接近年末互联网的安全问题也接踵而至。此前爆发的微博、MSN大面积盗号事件,其攻击方式均为黑客“拖库”后试探盗号的。11月上旬,MSN就曾经遭遇到大面积的账号被盗事件。当时不少用户发现自己的账户出现异常情况,其中有些是自己账号无法登录,系统提示“密码错误”,有些则是用户收到好友突然发来借钱的消息。
不仅如此,最近一直在推行实名制的新浪微博也遭遇了相同的情况。本月中旬有多数网友反映自己的微博账号疑似被盗用,在登录新浪微博时,出现需要更改密码才可登录的情况。新浪微博对此表示,通过排查发现近期多起账户被盗现象。
上述事件都是因为注册账号时用同一邮箱或是密码所致。目前可供用户使用的互联网服务很多,基本都通过用户邮箱注册。用户可能在不同的网站注册时,会设置相同的密码。导致一旦某个网站的密码被盗,多个网站的账号均可能被盗。
360方面表示,网络服务商应重视并加强对用户数据的安全保护,除了修复网站和服务器系统漏洞外,还应注意对用户数据进行加密存储,把黑客攻击的风险降到最低。金山也在相同时间发布了预警公告,并否认了公司员工为首个网上传播的网民。
