事件經過
2011年12月21日,網際網路上傳出開發者社區CSDN遭黑客攻擊,600萬用戶帳號及明文密碼泄露,用戶資料被大量傳播。
之後CSDN先後在其官方網站上發布了聲明和公開道歉信解釋事件原因,稱已經向警方報案並提醒用戶更改密碼。
12月22日,網上傳言最早流出數據的是金山公司員工hzqedison,hzqedison後在其微博解釋說只是偶然在網際網路上發現後在內部共享時不慎導致數據大面積流出,對此向網民道歉。
12月23日6時36分,中央電視台新聞頻道《朝聞天下》節目報導了CSDN等多家網站用戶信息泄露的訊息。
12月23日,金山公司對金山員工hzqedison為CSDN密碼庫黑客的傳言發表聲明。 金山公司推出密碼泄露快速查詢工具。有律師質疑金山公司持有用戶數據提供公開查詢服務是否合法。
12月25日,事件繼續升級,烏雲漏洞平台再次爆出天涯社區4000萬用戶資料泄露,用戶明文密碼泄露。 後來天涯社區在網站上發表致歉信。
12月27日17時34分,中央電視台新聞頻道《新聞直播間》節目報導了天涯社區遭遇黑客攻擊,大量用戶帳號密碼泄露的訊息。天涯社區工作人員稱黑客攻擊可以確認,但泄漏數量並非傳言的4000萬那么多,天涯社區已就此事向公安機關報案,並通過微博、郵件、簡訊等渠道向用戶致歉。
12月28日,有黑客在烏雲漏洞平台提報京東商城網站存在用戶信息完全泄露漏洞,京東商城回應將馬上處理。
12月29日,京東商城發表聲明回應稱並未發現有安全漏洞存在,也沒有發現數據泄漏情況。
12月29日,傳言噹噹網1200萬完整用戶數據已經泄露,包括用戶真實姓名、註冊信箱、收貨地址、電話等信息。後噹噹網發表聲明稱:“經核查網路公布的信息僅有極小部分屬實,為此前黑客攻擊所竊取,已就此事向當地公安機關報案”。
12月29日,有訊息稱支付寶平台也遭泄露,但只包含用戶賬號名,不含其他信息。支付寶官方回應稱:賬號名並非私密信息,用戶資金安全不會受到任何威脅,並表示不會有人能竊取支付寶用戶的密碼等個人信息。
12月30日,先後爆出多家網站存在安全漏洞而數據泄露訊息的烏雲漏洞平台宣布,將進行網站升級調整漏洞處理流程及公開機制而暫時關站。
2012年1月4日,白帽黑客“張百川”在其個人部落格“遊俠安全網”上發布訊息表示新浪愛問存在SQL注入漏洞,利用漏洞可讀取資料庫內的約7000萬用戶帳號、明文密碼等信息,漏洞詳情發出前已通知新浪修復了該漏洞。新浪愛問知識人產品微博承認了存在漏洞,可能導致約30萬登錄過愛問的新浪賬號存在盜號風險。但安全軟體公司瑞星表示可能泄露的用戶數超過7000萬。
應對措施
2011年12月23日,網易信箱官方表示已通過多種渠道向CSDN泄露事件中信息被泄露的網易信箱用戶發出提醒修改密碼的通知。
2011年12月23日,迅雷公司稱已經在所有迅雷平台上全面禁止CSDN泄露數據的搜尋、下載和分享,防止違法涉密內容的傳播。並加強了對迅雷用戶帳號、密碼資料庫的保護工作。
2011年12月28日,中國工業和信息化部發布了“工業和信息化部關於近期部分網際網路站信息泄露事件的通告”,表示強烈譴責竊取和泄漏用戶信息的行為,稱事件發生後已立即啟動了緊急預案,組織相關單位了解事件情況、評估事件影響和危害、研究應對措施,並要求各網站加強安全工作,發生用戶信息泄露的網站做好善後工作向用戶發出警示。
2011年12月30日,中國網際網路協會召開“網站用戶信息保護研討會”,與會代表通報各自單位用戶信息安全情況,針對信息安全工作探討和提出建議,並呼籲業界提高社會責任感,加強用戶信息安全工作。
2011年12月31日,瑞星公司針對泄密事件發布網站密碼保護方案“瑞星網站密碼安全檢測系統”,網站管理員可免費註冊使用該系統對網站安全性進行深度檢測,並得出分析報告和修復建議。
此外還有多家網站先後通過網站、微博、電子郵件等渠道發布公告,提醒網民注意修改密碼確保全全。
調查和處理結果
2012年1月10日,北京市公安局外宣處工作人員表示已有兩名“CSDN泄密門”涉案黑客被抓,因仍有涉案人員未歸案,案情細節不便公布。並還表示此次泄密與實名制無關。
同日國家網際網路信息辦公布了近期一些泄露事件的查處情況:
CSDN和天涯社區網站曾在2009年被入侵併遭到數據泄漏,網站近期並未遭到攻擊,公安機關正在對事件進行追查。
京東商城網站確遭到入侵但數據未被泄露。犯罪嫌疑人要某(網名“我心飛翔”)於2011年4月發現京東商城網站存在安全漏洞,2011年12月29日要某在烏雲網發帖稱掌握了京東商城的漏洞,然後私下以公布漏洞為要挾向京東商城敲詐270萬元人民幣。要某因涉嫌敲詐勒索已被依法刑事拘留。
YY語音網站泄露經查為公司員工利用職務之便從公司內部備份資料庫所竊取,網站並未被入侵,事件正在處理中。
網上傳言的工商銀行等金融機構數據泄露的訊息為網友王某為提高網站知名度和自我炒作憑空捏造,王某已被公安機關予以訓誡。
網上流傳的新浪微博、開心網、7K7K網站、噹噹網、凡客誠品等網站泄露數據系有人利用網路遠程大規模猜解所破解,網站均未被入侵。實施破解的嫌疑人身份已被鎖定,公安機關正實施抓捕。
1.CSDN和天涯社區網站曾在2009年被入侵併遭到數據泄漏,網站近期並未遭到攻擊,公安機關正在對事件進行追查。
2.京東商城網站確遭到入侵但數據未被泄露。犯罪嫌疑人要某(網名“我心飛翔”)於2011年4月發現京東商城網站存在安全漏洞,2011年12月29日要某在烏雲網發帖稱掌握了京東商城的漏洞,然後私下以公布漏洞為要挾向京東商城敲詐270萬元人民幣。要某因涉嫌敲詐勒索已被依法刑事拘留。
3.YY語音網站泄露經查為公司員工利用職務之便從公司內部備份資料庫所竊取,網站並未被入侵,事件正在處理中。
4.網上傳言的工商銀行等金融機構數據泄露的訊息為網友王某為提高網站知名度和自我炒作憑空捏造,王某已被公安機關予以訓誡。
5.網上流傳的新浪微博、開心網、7K7K網站、噹噹網、凡客誠品等網站泄露數據系有人利用網路遠程大規模猜解所破解,網站均未被入侵。實施破解的嫌疑人身份已被鎖定,公安機關正實施抓捕。
事件影響
大規模的泄密事件影響了網民對中國網路信息安全的信心,可能讓網民對網上銀行、網上購物、實名制制度等事物採取牴觸情緒。 此外泄露的數據可能被黑客利用,造成財物損失、隱私泄漏、收到更有針對性的電話推銷和垃圾郵件等。 一些安全軟體公司也藉機製作針對性的軟體並推銷其安全產品。
各網站的聲明
• 新浪表示沒有微博賬戶信息泄露。
• 嘟嘟牛表示網上流傳的嘟嘟牛用戶資料和嘟嘟牛沒有任何關係。
• 7k7k表示未發現用戶信息泄露。
• 人人網:12月22日人人網官方微博表示人人網從未記錄過明文密碼。12月26日人人公司發表官方聲明稱“人人網自建站以來,從未以明文方式存儲用戶的賬號和密碼,沒有任何用戶數據通過人人網對外泄露,網上可供下載的人人網用戶數據經測試並非人人網賬戶信息”。
• 貓撲表示未記錄明文密碼,未涉及用戶數據泄露。
• 京東商城表示並未發現有安全漏洞存在,也沒有發現數據泄漏情況。
• 網易表示並無漏洞,沒有出現帳號信息泄露情況。
• 噹噹網表示僅有極小部分信息泄露,已向公安機關報案。
• 支付寶表示沒有任何用戶個人信息泄露。
網站數據泄露情況
已證實有數據泄露的網站
• CSDN
• 天涯社區
• YY語音
官方確認數據並未泄露的網站
• 中國工商銀行、交通銀行、民生銀行
• 新浪微博
• 開心網
• 7k7k
• 噹噹網
• 凡客誠品