密碼外泄門

密碼外泄門

2011年12月,CSDN的安全系統遭到黑客攻擊,600萬用戶的登錄名、密碼及信箱遭到泄漏。隨後,CSDN"密碼外泄門"持續發酵,天涯、世紀佳緣等網站相繼被曝用戶數據遭泄密。天涯網於12月25日發布致歉信,稱天涯4000萬用戶隱私遭到黑客泄露。此次失竊的只是密碼集,用戶只要及時修改密碼即可避免隱私失竊,因此不用恐慌。但用戶修改密碼只是“治標”,網站改變數據存放策略才是“治本”。

事件詳情

泄露的網站用戶資料庫 泄露的網站用戶資料庫

2011年12月,CSDN、多玩、世紀佳緣、走秀等多家網站的用戶資料庫被曝光在網路上,由於部分密碼以明文方式顯示,導致大量網民受到隱私泄露的威脅。最早牽涉這一事件的CSDN已經報案,但圍繞“誰是竊取曝光這些資料庫”這一問題,網路上有諸多傳言。

網友曝出CSDN的用戶資料庫被黑,600餘萬用戶資料被泄露,CSDN官方隨後證實了此事,稱此資料庫系2009年CSDN作為備份所用,目前尚未查明泄露原因。CSDN隨後向用戶發表了公開道歉信,並稱已向公安機關報案,現有的2000萬註冊用戶的賬號密碼資料庫已經全部採取了密文保護和備份。

泄露資料庫 泄露資料庫

目前可查的關於這一事件的最早披露者是來自於烏雲安全問題反饋平台,12月29日下午訊息,繼 CSDN、天涯社區用戶數據泄露後,網際網路行業一片人心惶惶,而在用戶數據最為重要的電商領域,也不斷傳出存在漏洞、用戶泄露的訊息,漏洞報告平台烏雲昨日發布漏洞報告稱,支付寶用戶大量泄露,被用於網路行銷,泄露總量達1500萬~2500萬之多,泄露時間不明,裡面只有支付用戶的賬號,沒有密碼。已經被捲入的企業有京東(微博)商城、支付寶(微博)和噹噹(微博)網,其中京東及支付寶否認信息泄露,而噹噹則表示已經向當地公安報案。

CSDN聲明

我們非常抱歉,發生了CSDN用戶資料庫泄露事件,您的用戶密碼可能被公開。我們懇切地請您修改CSDN相關密碼,如果您在其他網站也使用同一密碼。請一定同時修改相關網站的密碼。

CSDN已向公安機關正式報案,公安機關也正在調查相關線索。

再次向您致以深深的歉意!

關於CSDN網站用戶帳號被泄露的聲明 :(部分)

CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程式整合驗證帶來的,後來的程式設計師始終未對此進行處理。一直到2009年4月當時的程式設計師修改了密碼保存方式,改成了加密密碼。

但部分老的明文密碼未被清理,2010年8月底,對帳號資料庫全部明文密碼進行了清理。 2011年元旦我們升級改造了CSDN帳號管理功能,使用了強加密算法,解決了CSDN帳號的各種安全性問題。

2009年4月之前是明文,2009年4月之後是加密的,但部分明文密碼未清理;2010年8月底清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的,9月之前的有可能不安全。

泄露出來的CSDN明文帳號數據是2010年9月之前的數據,其中絕大部分是2009年4月之前的數據。因此可以判斷出來的泄露時間是在2010年9月之前。泄露原因正在調查中。

應對措施

1、我們將針對2010年9月之前的註冊用戶,提示修改密碼,並提示用戶把其他網站相同的密碼也儘快修改。

2、我們將針對所有弱密碼用戶進行提示,要求用戶修改密碼,並提示用戶把其他網站相同的密碼也儘快修改。

3、我們將對2010年9月之前所有註冊用戶群發Email提示用戶修改密碼,並提示用戶把其他網站相同的密碼也儘快修改。

4、我們將臨時關閉CSDN用戶登錄,針對網路上面泄露出來的帳號資料庫進行驗證,凡是沒有修改過密碼的泄露帳號,全部重置密碼。

人人網官方微博公告

根據CSDN網站的官方聲明,CSDN的大量用戶名和密碼被曝光!如果您的人人網賬號密碼和CSDN或其他網站一致,建議您馬上修改密碼,以免賬號被盜。

CSDN稱8成網站存漏洞

對此事件,蔣濤於2012年1月11日進行了反思,他表示,國內網際網路公司當前普遍存在兩個現狀,一是重視業務,二是缺乏安全意識,對於數據安全和系統安全認識不夠。“網際網路數據大規模被泄露,這個問題已經存在很長時間,長久以來國內整個信息系統都存在著問題。這是所有的網路公司存在的問題。”他說,“第三方數據安全審計公司對各網站的掃描結果顯示,80%以上的網際網路公司都存在著漏洞,有安全策略的公司60%以上還存在著漏洞,這是我們網際網路的現狀。”

“80%的密碼庫可破解”

蔣濤稱:“從數據分析結果看,服務端近80%的密碼庫可破解。即使在信息遭遇泄露之後,也僅有30%的用戶修改了密碼,因此國內的網際網路公司應該更加重視安全體系構建。”為此,CSDN昨日宣布,與阿里雲合作推出開發者服務平台,將藉助阿里雲的安全基礎設施。

事件發酵

CSDN承認約600萬用戶密碼遭泄露後,第二天網上就爆出包括天涯、世紀佳緣、珍愛網、美空網、百合網等在內的眾多知名網站也同樣存在類似問題。有訊息稱,與之前CSDN被泄露的信息一樣,天涯被泄露的用戶密碼全部以明文方式保存,但是規模更大,約有4000萬用戶的密碼遭泄露。

天涯社區在致歉信中稱,由於歷史原因,天涯社區早期使用過明文密碼,2009年11月修改了密碼保存方式,改成加密密碼,但部分老的明文密碼未被清理。此次遭到黑客泄露的用戶便是2009年11月升級密碼保存方式之前所註冊的用戶。但天涯並未在公告中就密碼遭到泄露的用戶規模進行確認。

已經報案

天涯社區表示,2011年5月12日天涯網升級改造了天涯社區用戶賬號管理功能,使用了強加密算法,解決了天涯社區用戶賬號的各種安全性問題。

“在得知用戶隱私遭黑客泄露以後,天涯網已經啟動應急預案,通過站內簡訊、Email等一切有效聯繫手段通知用戶儘快修改個人密碼,同時也已經向公安機關進行了報案。”天涯社區稱,用戶可撥打天涯社區24小時客服電話,由客服人員進行驗證之後取回密碼。(記者林其玲)

應對措施

1、使用取回密碼功能,通過註冊信箱、認證手機或申訴的方式取回密碼。

2、撥打天涯7×24小時客服電話,由客服人員進行驗證之後取回密碼。(據天涯公開聲明)

業內人士表示,這些數據在被盜取之後,會在黑客圈裡高額販賣,而這些,普通用戶並不知情。人人網、網易信箱、金山等已經向緊急要求用戶修改密碼。 繼CSDN、人人網、多玩網、天涯社區等數十家知名網站用戶信息被泄露之後,17173和京東商城的用戶信息也被泄露。被泄露的用戶信息數據已由5000萬上漲到過億,大量的用戶賬號和密碼被公開。網友紛紛稱改密碼改到手軟。

專家說法

360網路安全專家石曉虹博士表示,一些網站安全係數低,被黑客入侵伺服器,盜取了包含網友用戶名、密碼的資料庫。除CSDN外,已通過技術驗證確認有其他網站用戶資料庫信息被泄露。

石曉虹提醒,由於許多網民的信箱、微博、遊戲、網上支付、購物等賬號設定了相同的密碼,如果一家網站伺服器被黑客攻破,用戶的常用信箱和密碼泄露後,可能導致網上支付等其他重要賬號一併失竊。

金山毒霸也發布紅色預警稱,此事件和用戶電腦本身的安全無關,黑客並沒有入侵用戶本地的電腦,只是盜竊了用戶在某些網站註冊時提交的個人信息。請所有密碼設定簡單的用戶以及所有網站使用同一用戶名和密碼的用戶儘快修改。

石曉虹還建議網民對密碼分級管理,信箱、網上支付、聊天賬號等重要賬號要單獨設定密碼;定期修改密碼,以避免網站資料庫泄露影響到自身賬號;工作信箱不要用於註冊網路賬號,以免密碼泄露後危及企業信息安全。石曉虹說:“此外,也有部分網民出於好奇,開始在網上搜尋下載‘密碼庫’。但我們已經驗證發現網上流傳的密碼庫檔案已開始被黑客捆綁病毒,切勿輕易下載和傳播此類可疑檔案。”

2011/12/29

據知名網際網路資訊平台挨踢客的訊息稱,網友向挨踢客爆料,國內多家銀行的用戶數據已經泄露,其中交通銀行7000萬,民生銀行3500萬。這些數據尚未核實真實性。

根據網友提供的部分信息截圖,泄露數據的銀行包括交通銀行、民生銀行、工商銀行等,數據包含了用戶的姓名、卡號、密碼等敏感信息。CSDN、天涯社區等網站發生用戶信息泄露事件,造成網友對個人隱私的嚴重擔憂,“泄密門”的漩渦還在不斷擴大,而且已經超出社交網站的範疇,蔓延至電子商務和銀行業。

針對大規模的密碼泄露事件,工信部昨日發布通告,強烈譴責竊取和泄露用戶信息的行為,同時要求各網際網路站要及時發現和修復安全漏洞。工信部還提醒廣大網際網路用戶提高信息安全意識,密切關注相關網站發布的公告,並根據網站安全提示修改密碼。提高密碼的安全強度並定期修改

黑客落網

2012年1月9日,幾乎讓網際網路裸奔的“CSDN(微博)泄密門”事件傳出最新訊息,兩名涉案黑客已經被抓,還有部分人員尚未落網。

日前,CSDN網站資料庫遭黑客入侵,600萬用戶註冊信箱和密碼被泄露。此後人人網(微博)、天涯社區、百合網等眾多知名網站數千萬網友個人信息相繼被泄露,更有人將其做成壓縮檔,上傳至網路供人下載。國區域網路站紛紛“淪陷”,大有“裸奔”之勢。

當日北京市公安局(微博)外宣處工作人員表示,已有兩名涉案黑客被抓,由於部分涉案人員沒有歸案,具體案情尚不便向外界透露。北京市公安局外宣處相關負責人員告訴記者,此次泄密與實名制無關。

應對措施

一、可以對密碼進行分類設定,分成核心密碼、一般密碼和不重要密碼。例如銀行、信箱、QQ等核心密碼至少採用16位長度的密碼,而且必須是數字、大小寫字母和特殊符號的組合,並且與自己的任何信息都無關,半年換一次。

二、在註冊某個網站的賬戶時,某些重要的資料,儘量不要輸入提交。

三、申請多個信箱,將重要和不太重要的網路服務分開,使用不同的信箱註冊。

四、如果擔心銀行密碼泄漏,可以到銀行重新修改,但一定要提高警惕,預防密碼被套取

五、用戶為每個登錄網站創建不同的登錄密碼,這樣當某個網站密碼外泄之後不會影響用戶其它網站的帳號密碼安全。當然這樣會造成密碼多難以記住的問題,可以採用登錄導航系統來解決這個問題。用戶只需要記住一個口令,然後登錄導航系統會依據口令和用戶需要登錄的網站域名為不同的網站生成不同的密碼。

相關詞條

相關搜尋

熱門詞條

聯絡我們