央视网|中国网络电视台|网站地图
客服设为首页
登录

中国网络电视台 > 经济台 > 财经资讯 >

网络大泄密

发布时间:2012年01月16日 10:31 | 进入复兴论坛 | 来源:新世纪周刊 | 手机看视频


评分
意见反馈 意见反馈 顶 踩 收藏 收藏
channelId 1 1 1

  国内最大的程序员社区CSDN上600万用户资料被公开,同时黑客公布的文件中包含有用户的邮箱账号和密码,信息安全黑洞巨大。

  在迎接2012的最后几天里,中国的互联网世界上演了一出史上规模最大的泄密事件。

  从CSDN、天涯等论坛社区,到人人网、开心网、多玩网等多个社交、游戏网站,再到京东商城、当当网、淘宝网等电子商务网站,均牵涉其中。传闻还波及支付宝、工商银行[4.32 -0.46% 研报]、民生银行[6.22 -0.16% 研报]及交通银行[4.74 -0.42% 研报]等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。

  一时间,各大网站及互联网用户人人自危,“今天你密码泄露了吗”成为流行网络的问候语。创新工场旗下安全宝公司推出的用户密码查询框,在短短几天内查询数就超过了180万人次。

  国家互联网应急中心(CNCERT)发布的数据显示,截至2011年12月29日,国家互联网应急中心通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。

  财新《新世纪[13.42 -2.68% 研报]》了解到,泄密事件发生后,国家工业和信息化部已经启动应急预案,组织通信管理局、国家互联网应急中心及相关互联网企业和网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。

  但事实上,CSDN、天涯等多家网站的用户数据库被盗,已经不是最近才发生的事件,大爆发只是黑客集中的披露行为而引发——这些被抛出来的,只是几乎榨干了所有价值的过期数据库。

  大泄密

  “我们深表歉意建议修改密码”

  引爆整个事件的导火索,是CSDN用户数据库的“意外”曝光。2011年12月21日,有网友在微博上爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露——数据库正在网上快速扩散。

  CSDN的创始人蒋涛,也是当天在微博上看到了这条信息。“第一反应就是确认是不是真的。”蒋涛对财新《新世纪》记者回忆称,工程师从网上找到那个文件,“和我们的数据库比对下来,很不幸,确实大部分都是。”

  12月21日晚间,CSDN在其网站及官方微博上确认了数据库泄露一事:“近日发生了CSDN部分用户数据泄露事件,对此我们深表歉意,同时恳切地建议2010年9月之前的注册用户和没有修改过密码的用户,尽快修改密码。”

  通知用户的同时,CSDN紧急对下载源进行封堵。“微博扩散的速度太快了,这么多的账号在里面,如果数据库扩散到了几万、几十万人的手上,你都不敢想象它能被利用成什么样子。”蒋涛很快联系上了腾讯和迅雷,要求关闭和重置下载源。腾讯和迅雷也快速做出了响应。

  蒋涛承认:“到那个时候已经很难挡住了,虽然关掉了下载点,但是文件已经出去了,在点对点的传输上,就很难控制住了。”

  随后的几天,CSDN的数据库与其他后续爆出的数据库一道,依然在网上被疯传。在这期间,CSDN联系了QQ邮箱、网易邮箱等邮件厂商,一同发送邮件给用户提醒修改密码。“我们自己发送了200多万封,邮件厂商帮忙发了300多万封。”

  然而,潘多拉魔盒已经打开,CSDN数据库的泄露仅仅是个开始。“没想到后面的事情越来越大,已经到了不可收拾的程度。”蒋涛说。

  12月22日,知名IT博客“月光博客”披露,多玩网数据库泄露超过800万条信息,有大量用户名、明文密码、邮箱及部分加密密码。“经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。”

  同日,标注为“人人网500万用户资料”的文件开始在网上流传,嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上,涉及的用户信息总量超过5000万条。但人人网否认用户数据遭到泄露,他们在官方微博上提醒称,“如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。”人人网相关人员在接受采访时表示,提醒用户只是出于安全考虑。

  也是在同一天,360安全中心发布安全警报称,“鉴于目前已有超过5000万个用户账号和密码在网上公开扩散,特别是部分网民习惯为邮箱、微博、游戏、网上支付、购物等账号设置相同的密码,账号安全岌岌可危,广大网民应尽快修改重要账号的密码。”

  12月25日,泄密规模进一步扩大,网络上开始流传天涯论坛的用户数据库,信息总量超过4000万条。随后,这一新闻被天涯社区官方致歉信证实:由于历史原因,天涯社区早期使用明文密码,在2009年11月改成加密密码,但是部分老的明文密码库未被清理,黑客泄露的正是2009年11月升级密码保存方式之前所注册的用户。不过天涯社区并未在公告中对泄露的用户规模进行确认。天涯社区公关经理初蒙在接受财新《新世纪》记者采访时表示,确认用户信息遭泄露后,已经向海南省公安厅、海口市公安局报案,案件目前正在侦查之中。

  12月26日,网上又传出新浪微博的用户资料疑似被泄露,并公布了新浪微博数据下载地址。这个疑似数据库一共有约476万条账户和密码信息。

  此后,泄密事件继续发酵升级,传闻开始波及到电子商务及银行系统。12月27日,乌云漏洞报告平台披露京东商城的漏洞,“在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括姓名、地址、电话、Email等。”这一漏洞报告得到了京东商城方面的响应。

热词:

  • 支付宝
  • 注入漏洞
  • 验证分析
  • 天涯论坛
  •