CSDN泄密事件升级360称超1亿用户密码遭遇泄露

admin

　中国互联网史上最大泄密事件的影响仍在进一步扩大。继12月21日上午，有黑客在网上公开CSDN网站的用户数据库，导致600余万个注册邮箱账号和与之对应的明文密码泄露之后，昨天，又有天涯、新浪微博、腾讯QQ、人人、开心网等知名网站的用户称密码遭网上公开泄露。来自奇虎360的最新监测发现，目前网上公开暴露的网络账户密码超过1亿个。

　　天涯社区

　　公开致歉已经报案

　　“我在天涯的账号已经被黑，无法登录。”昨天，著名编剧宁财神在微博上宣布自己的天涯账户被盗，无法使用。除了宁财神，龙猫蓓、A弄月公子、蕊小蕊、东方_chi等众多新浪微博用户都称发现自己的天涯账号于近几日被盗。

　　更严重的是，密码被盗后，账户被黑客用来恶意发帖或进行诈骗。新浪微博用户“成都电台陈露”表示，他的天涯账号被盗后，被人用来在天涯的“情感天地”发了很多广告，导致助理版主将他的账号直接封掉，而他无法和天涯社区的相关版主进行沟通，澄清广告并不是自己所发，也无法要回账号，十分着急。

　　对于天涯用户账号“被泄密”的规模，互联网漏洞报告平台“WooYun”昨天对外宣称，根据他们的监测，天涯社区有4000万用户的明文密码（即用户密码什么样，网站数据库就存成什么样）已泄露，“WooYun”漏洞报告平台还公布了天涯被泄露的部分用户密码信息截图。

　　昨天，天涯社区在网站首页挂出公告，称天涯已就用户数据泄露一事向公安机关报案，目前尚未确认具体的泄露数据规模及原因，但应该低于网上盛传的4000万这一数字。可以确定的是，天涯社区与CSDN用户数据库泄露事件如出一辙，这次天涯社区遭公开的用户密码，同样是以明文方式来保存的。天涯方面表示，此次被盗的数据为2009年之前的备份数据，2010年之后，公司升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了用户账号的各种安全性问题。天涯方面还通过微博、邮件、手机短信、客服中心、媒体呼吁等多种渠道向用户公开致歉，并将有针对性地提醒和帮助用户更新或找回密码，尽可能地将用户损失降至最低。

　　“此次用户数据被泄露虽然不是针对天涯社区一家网站，但确实给我们敲响了警钟。”天涯社区总裁邢明呼吁互联网同行、相关监管机构及政府部门直面互联网诚信及安全问题，共同携手为建立一个可信任的互联网环境努力。

　　新浪微博

　　数据加密并未被盗

　　除了CSDN和天涯，昨天，许多腾讯QQ、新浪微博、人人网用户也反映自己的账户和密码被公开在网上，甚至有的账号还被用来诈骗。还有网友称新浪微博用户资料疑似被泄露，并公布了疑似被盗的新浪微博数据库下载地址，该网友上传的数据库文件显示，共有超过476万个用户账户和密码被泄露。

　　昨天，新浪微博对此回应称，新浪微博用户账号信息采用加密存储，并未被盗。经核实，网友上传的数据绝大部分不是新浪微博账号，“极小部分新浪微博用户因使用和其他网站相同的账号密码，可能导致其微博账号不安全。新浪已对这部分用户做了保护，并提醒所有用户尽快进行账号安全设置”。

　　人人网昨天也澄清称，自建站以来，人人网从未以明文方式存储用户的账号和密码，没有任何用户数据通过人人网对外泄露。但由于部分用户使用同一个用户名和密码来注册其他网站，所以其人人网账户也有被盗的风险，人人网提醒所有与CSDN相同账号密码的互联网用户及时修改密码。

　　腾讯方面昨天发布声明称，已对泄密的QQ邮箱账号限制登录，请这部分用户登录时根据提示，在QQ安全中心使用密保工具箱来修改密码，同时建议用户定期修改密码，尽量不要在多个重要账户中使用雷同密码，避免账号被盗。

　　专家说法

　　明文密码是罪魁祸首

　　“都是明文密码惹的祸。”对于此次互联网泄密风波，360网络安全专家石晓虹指出，最不安全的数据保存方式就是直接存储明文，一旦数据库泄露，黑客就可直接掌握所有密码。有些网站由于用户数据安全意识欠缺，曾经明文保存过用户密码，近期被黑客公开的密码数据库大多属于此类情况。据他判断，这些数据库实际上已经泄露了一定的时间，只是在今年底被黑客密集曝光罢了。

　　互联网安全专家董朋鸣指出，在此次事件中，在黑客产业圈中被卖了多年的数据都被拿了出来，这至少证实了网络安全行业历年来的安全警告并非空穴来风，希望IT行业和用户的安全意识能通过这次事件有一个较大的提升。

　　石晓虹认为，在网络安全方面，国内立法相对还较为滞后，对黑客盗取网站数据的行为目前在法律上取证较难，犯罪成本相对较低，因此迫切需要加快信息安全立法。

　　上海律师协会信息网络与高新技术业务委员会主任商建刚表示，在互联网时代，每个网民都不应主动去搜集和偷窥他人的隐私。目前刑法修正案中对于盗取用户信息其实已有明确规定，偷窃、倒卖数据库属于违法行为，近年来国内已出现过多起因偷盗网游公司账号而受到法律惩处的案例。

admin

　前日有网友反映称CSDN的用户数据库被黑，642万余用户资料被泄露，CSDN网站证实了这一事故。

　　这两天网站数据库被黑事件急剧升温，天涯社区、开心网、世纪佳缘、百合网、美空网等网站的“密码集”也先后出现在网络上，受影响的网站预计达数十家。网易邮箱、人人网、开心网等常用邮箱和SNS网站都先后发出通知，建议用户修改密码。网友们戏称“互联网的冬至”来了。

　　专家表示，此次失窃的只是密码集，用户只要及时修改密码即可避免隐私失窃，因此不用恐慌。但用户修改密码只是“治标”，网站改变数据存放策略才是“治本”。

　　642万余网民中

　　23.5万人密码是“123456789”

　　有网友爆出CSDN的用户数据库被黑，642万余用户资料被泄露，CSDN官方随后证实了此事，称此数据库系2009年CSDN作为备份所用。CSDN随后向用户发表了公开道歉信，并称已向公安机关报案，现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。

　　令人深思的是,网络专家分析此次CSDN泄露的642万余个数据后得知,“123456789”竟然成了用户最常用的密码,用户数达到了235024位,占所有用户的3.66%；“12345678”是第二常用密码,用户数达212751位,占3.31%；“11111111”排名第三,用户数达76346位,占1.19%。

　　45%的用户选择了纯数字密码,12%选择纯字母密码,只有39%的用户选择数字+字母的组合密码。这样的密码设置,是否靠谱不言而喻。

　　近两日密码泄露愈演愈烈。继CSDN用户数据库泄露之后，黑客开始公开更多国内网站的用户数据库，先后有疑似多玩游戏、78、嘟嘟牛、猫扑等网站的用户资料出现在网上。

　　出事网站储存密码方式很原始

　　“我的信息谁做主?”众网友在质疑的同时也心存疑问,作为国内知名的网站,其数据库怎会如此脆弱。

　　济南市公安局历城分局网警大队中队长李玉森与电脑打交道30余年,拥有丰富的网络安全知识。他介绍,密码的存储和验证过程简单来说就是:用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)或和已经存储的密码比对(登录)。

　　“三个步骤都有可能遭到黑客的攻击。此次事件则是在第三个步骤中数据库被攻击。”李玉森说,网站数据库泄露多是因网站程序或服务器系统存在漏洞,被黑客入侵造成,安全术语为“拖库”。

　　“现在多数网站的数据库使用的是加密密码,黑客进入也很难破译。但不可思议的是,CSDN的数据库使用的竟然是明文储存密码。”李玉森说,明文密码就是直接将用户的密码存到数据库中,此种方式的安全性不言自明。

　　国内一家网站技术总监蓝葛亮说,国内知名网站的防火墙等技术都比较先进,可数据库采用明文密码,只要接触数据库的人就能够轻易获知,管理上的漏洞可见一斑。

　　账号或密码被盗 可能让你遭遇网络诈骗

　　中国互联网络信息中心此前发布报告显示,今年上半年,遭遇病毒或木马攻击的网民有2.17亿,占网民总数的44.7%；有账号或密码被盗经历的网民达1.21亿；另有8%的网民曾遇到过消费欺诈。

　　很多网友都用一个用户名和密码通行各网站,一旦一个账号密码泄露,就可能波及所有重要账号的安全。“网友所遭受的损失也可能被几倍放大。”曾经查办多起网络案件的李玉森对此非常担忧。 “比如不法分子在网络游戏中处理用户的虚拟财产、盗窃Q币等。”李玉森更担心的是，不法分子窃取用户的聊天账号进行网络诈骗。他们近期已接到多起类似的案件。

　　前些天,济南的王女士与远在贵州上学的儿子QQ聊天。儿子提到一个很好的同学突患重病,急需钱进行治疗。王女士没多问,给其汇过去7万元钱。后来她给儿子打电话,却被告知根本没这回事。“原来王女士儿子的QQ号被人盗走了。”李玉森说,此类网络诈骗案件侦破难度非常大。

　　专家建议 设置密码要分级

　　对于密码安全的问题，在中关村打拼多年的IT专家李尚指出，用户设置密码时要按使用频度和重要性不同来分级，比如论坛账号、游戏账号、支付账号的密码一定要分开，且都不要设置得太简单，这样才能避免一家网站密码失窃导致个人的整个网络安全都不保的情况。

　　此次CSDN事件后，有人写了一个小程序，统计了这次公布的6428632个密码，统计结果显示，有239万人的密码和别人存在重复，在所有密码中，123456789出镜率高居榜首。“有人说最简单的密码最安全，其实不对，最简单的最不安全。”

　　李尚同时指出，注册用户及时更改自己的密码只是“治标”的方法，而想要“治本”，需要CSDN等一系列网站立即改变数据存储策略，使用数据库加密功能对密码等敏感信息加密，“这个功能很多数据库都支持，不知道CSDN为什么就没用，这事也给其他网站一个警示，数据库加密刻不容缓。”据齐鲁晚报、南方日报等报道

admin

我的密码被盗了吗？这已成为2011年末中国网民最关心的问题之一。

近日，有网友爆出，在CSDN用户数据库泄露事件中，最早在迅雷公开提供数据库下载的人为金山毒霸的员工。昨日（12月26日），金山网络发表声明，承认相关资料传播人确为其公司员工，但同时表示，该员工并非窃取数据的黑客，也不是最早泄露用户数据的人。

“事件绝对不是金山引起的，是竞争对手背后捣鬼，我们已经掌握了始作俑者的部分资料。”金山网络公关部门相关负责人向 《每日经济新闻》记者表示。

当事人之辩

12月22日，有网友接力传播QQ截图、图像显示，有QQ用户曾于21日下午2时许，在QQ群内发布CSDN数据包的迅雷快传链接；12月23日凌晨，一名ID为hzqedison的新浪微博用户承认，其本人是该文件的上传者，并表示道歉；其后，金山网络迅速发表声明，表示金山员工并非在网络上被“千夫所指”的黑客。

对此，涉嫌“泄密”的当事人韩斌（化名）向《每日经济新闻》讲述了事情的全过程。

韩斌表示，12月21日下午2时许，他在一个网络安全相关的QQ群内，看到了CSDN用户账号密码的迅雷下载文件，由于他本人也是一名技术人员，并且是CSDN注册用户，因此他马上将该文件下载，以查阅自己的账号是否被盗。

“果然在里面查到了我的账号，我的很多同事也是这个网站的注册会员，我想把这份东西共享给他们，如果他们查到自己的账号被泄，好快去更改密码，于是把QQ群内要用迅雷专用工具下载的链接，转化成了迅雷快传的下载链接，并且发到了一个朋友圈内的QQ群里。”

令韩斌大吃一惊的是，仅仅过了不到10分钟，他所发布的相关内容就被人截图，并发布在了专业安全网站“乌云”（wooyun.org）上，“据我猜测，我把东西发在QQ群里后，又有人在不同的QQ群内转播，所以才会传播出去”。

“我当天就删掉了迅雷上的文件，但没想到事情会影响得这么大，很快有人策划新闻，也有水军来转发、骂我，我怀疑这是有公司故意为之的。现在连我父母都打电话问我，我只能告诉他们我确实没有做过这样的事，我很爱我的工作，真的不想失去它。”韩斌的话语断断续续，声音微微发颤。

记者发现，早在12月4日，专业安全网站“乌云”（wooyun.org）上，就有ID为“臭小子”的用户发布了一份“中国各大站点数据库曝光 （腾讯的也有）”的漏洞概要，截图中包括CSDN相关数据库。

将持续发酵

继CSDN后，天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也被网友爆出采用明文密码，用户数据资料被放到网上公开下载，天涯网已公开承认部门用户密码被盗。

昨日，更有网友爆出，金山毒霸的用户数据遭黑客“拖库”，对此，金山网络公关部门相关负责人向《每日经济新闻》记者表示，金山网络否认此事，并指出该传言为无稽之谈。

“有竞争对手在捣鬼，我们现在已经在配合公安相关调查此事，并且掌握了一定的证据，为了不妨碍调查进展，暂时无法公布这些证据。”该负责人表示。

对此，一位不愿具名的安全行业资深人士指出，黑客盗取网站用户信息目前已经形成了一套相关产业链，由于国内部分网站信息安全意识薄弱，未将用户的名文信息进行加密，并且保护措施不力，最终酿成恶果。

“现在黑客传上网络的，可能已经是辗转几手被出售过，并且价值已经被用尽了的信息，也就是说，这一部分用户数据可能在几个月甚至更早以前已经被泄露了。”该人士称。

他同时指出，泄密事件将造成持续连锁反应。“以前有公司要给网民发垃圾邮件，还要去购买有效用户的信息，现在他们完全不用买了，我估计在未来一段时间内，中国网民将会接收到大量的垃圾邮件。此外，也会有部门用户存在银行密码被盗用的危险。同时，如果有商业公司在知道竞争对手相关负责人的网络惯用ID情况下，通过数据库查询到了他的密码，那么还将有一些商业机密外泄的可能。”他说。

相关新闻

各大网站用户信息遭泄露 互联网企业忙应对

每经记者 谢晓萍 曹晟源发自北京、上海

现在看来，12月21日CSDN社区被泄露的600万数据只不过是沧海一粟。

当天，互联网安全专家，赵明（化名）从相关人员的讨论中得到一个迅雷下载链接，在下载这个文件时，迅雷右边的相关推荐里列出了7k7k2000万、多玩儿800万数据，他立刻同时下载。目前这个列表还在不断扩大，天涯社区、嘟嘟牛、178、人人网都进了推荐清单。

事实上，互联网信息泄露一直都存在。就在此前，有消息称，当当网存在设计缺陷或逻辑错误，大量用户资料或因此泄露；而去年12月底，360也被爆出网民的账号密码、浏览记录、购物信息泄露。近年来，越来越密集的互联网信息泄露事件也让国内的互联网公司重审互联网安全，更为可怕的是，外界担心，CSDN密码泄漏恐引连锁反应。

昨日，有消息称，新浪微博恐遭攻击，部分用户密码被盗。对此，新浪发表公开声明，称新浪微博并未受攻击，是部分用户因使用和其他网站相同账号密码，导致其微博账号不安全。新浪微博也在第一时间推出了短信报警功能。绑定手机的用户可以设置接收报警短信。一旦账号出现异地登录、昵称或密码被改，系统都会免费给用户发送短信提醒，确认是否本人操作。此外，新浪微博还推出了登录保护和账号锁定功能。

针对使用明文密码太低级的指责，网易邮件事业部副总经理莫子睿对《每日经济新闻》表示，网易作为国内最大的邮件运营商，网易的密码是加密保存，不是明文的。据了解，目前网易拥有4.3亿注册用户，目前网易方面也采取了多种应对措施，针对已遭到泄露用户的邮箱账号，群发邮件，告诉用户爆库事件，并提醒用户修改密码，绑定手机，注意账户安全。

支付宝相关负责人士则对《每日经济新闻》表示，与一般的互联网社区网站不同，为了保障用户的密码安全，支付宝推出了专门的密码安全控件。该安全控件实现了在SSL加密传输基础上对用户的关键信息进行再次多重加密。