黑客曾经在网上公开了 CSDN 网站的用户数据库,其中包括600余万个注册邮箱账号和与之对应的明文密码。由于许多用户采用了相同账号密码,人人网、开心网、百合网、珍爱网、世纪佳缘 、51CTO、CNZZ、eNet、UUU9、多玩网、美空网等众多网站随即被卷入泄密风波,业界普遍认为此次事件是中国互联网史上最大信息泄露事件。
令人感到蹊跷的是,这份文件中泄密的600多万账号对应的都是明文密码,也就是说,是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候,填写密码时都用*号代替并没有直接显示,而且网站还都宣称在后台会高度加密。据悉,CSDN 网站会员囊括了中国地区90%以上的优秀程序员,那这份明文密码文件该如何解释呢?目前该网站还未作出回应。
“网站的安全意识十分不到位,”金山网络安全专家李铁军对此向记者表示,密码加密技术其实已经比较成熟,但是由于黑客已经收集了大量密码的明文和密文,并以此构建了庞大的数据库(在线密码字典),“一些最简单的字串被许多黑客工具加到最简单的密码字典中,瞬间即可破解。”据悉,这样的匹配成功率高达93%。
CSDN 官方22日发表声明表示,经过初步分析,遭黑客泄露的数据是2009年 CSDN 作为备份所用,目前不知泄露原因,CSDN 表示已向公安机关报案,公司要求“2009年4月以前注册的账号,且2010年9月之后没有修改过密码”的用户立即修改密码。
但有安全领域人士猜测,目前泄密的资料可能只是一小部分,更多的数据或已被黑客转手卖钱。该人士透露,这些数据在黑客圈中所谓的“黑市”里销售,一个打包“产品”甚至可以叫价上百万元,有人会利用该信息进行诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利,而一旦数据没有价值了就会被抛出,但是对于普通用户来说,完全被蒙在鼓里。
大量用户数据被公开后,据统计结果显示,有239万人的密码和别人存在重复。在所有密码中,最简单好记的“123456789”使用率最高,有23.5万人在使用;其次为“12345678”有 21万多人使用;“11111111”有7万多人使用。总之,使用相同数字或者相同字母如“aaaaaaaa”等安全性极差的密码的网民大有人在。
李铁军指出,不少网民在众多网站中都是“一号通”,一旦一家网站用户数据被暴露,则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。“在这份名单中有的邮箱是与在线支付系统相关联的,”李铁军建议为避免财产损失,网民尽快修改安全性更高的上网密码。
层出不穷的用户个人信息被泄事件,敲响了网络信息隐私保护的警钟。有评论人士认为,2000多万用户的程序社区网站也被黑,那么还有没有值得信任的网站?倘若改了密码过两天又被暴露出来该怎么办?
用户在注册一些网站的时候,其实是单方面提交了个人身份信息,但是网站有没有相应的保障十分值得商讨。而网站会不会在没有法律依据的情况下,因为利益驱动而将用户个人信息擅自交给“第三方”?而“第三方”又会将用户的个人信息如何处理呢?一旦泄密责任该由谁来承担,又能承担多大的责任?这些都是法律风险所在。
有法律人士指出,关键还在于没有配套法律,目前的司法实践中,如果用户仅以密码被泄露、侵害隐私权索赔的话,因为举证不易难以得到赔偿。而企业掌握了大量客户个人资料,说给谁就给谁,说泄露就泄露,用户没有一点话语权,就承担了很大的风险。
600万用户的密码泄露了!12月21日,有黑客在网上公开了 CSDN 网站用户数据库,包括600多万个注册邮箱账号和密码。CSDN 是程序员社区网站,其用户达到了2000万。因为不少人习惯在多个网站上使用相同账号和密码,所以这次泄密可能导致很多人的邮箱、网银等被破解。
目前网络用户注册制度的大隐患,你在网站上录入的个人信息越多,对你造成的威胁就越大。”
其实,外国也有网站大规模泄漏用户信息的。比如,2008年韩国电子商务网站Auction 的1800万名用户信息外泄,泄露的用户信息非常详尽,据称泄密几乎牵涉到了所有韩国网民。当前世界各国的各类网站在用户信息注册方面,也存在类似问题,用户单方面向网站提交一些个人身份信息,就承担了很大的风险,网站有没有相应的保障?一旦泄密又应承担多大的责任?网站会不会在没有法律依据的情况下,将个人信息交给“第三方”?“第三方”会不会滥用公民的个人信息?这些都是法律风险所在。
这次 CSDN 的大规模泄密,网站只需要发封道歉书,而用户的关联网上银行、支付宝如果被黑,还得“举证”是因为 CSDN 泄密引起的,否则难以获赔。目前的司法实践中,如果用户仅以密码被泄露索赔的话,几乎一分钱都得不到。
这里还要谈一下饱受批评的美国《爱国者法案》,该法第210条和第211条规定:执法部门可以在“未经司法审查”的情况下,要求网络运营商提供客户的详细信息。而美国宪法第四条修正案规定:公民的人身、住宅、文件和财产不得受无理搜查和扣押。所以,美国警方在搜查取证前,必须取得法官的令状;否则,取得的证据将是无效的。但这种严格程序影响了911之后的反恐工作,所以才有了《爱国者法案》的“特别授权”。但这个法案却引发了用户的恐慌。人同此心,心同此理:运营商掌握了大量客户个人资料,说给谁就给谁,说泄露就泄露,用户没有一点话语权,自然不会放心。
所以,针对眼下层出不穷的互联网泄密事件,立法者首先要确定:网站注册用户有哪些权利?谁有权调阅用户资料?一旦泄密有何责任?
CSDN 网站600万用户密码泄露,和以往类似事件一样,凸显了用户的权利贫困与运营商的责任缺失。在这个链条中,用户处于底层,他向网络运营商提交账号、密码等个人信息,也就等于将自己赤裸裸地交付给对方,这既是义务,也是信任。但一些网络运营商辜负了用户的信托,一是技术层面,日常运行中的安全保障工作有懈可击;二是管理层面,应急处理能力左支右绌。而在此前提下,还强加给用户一些额外的义务,加大了权利与义务、权力与责任之间不平等的鸿沟。
用户信息泄密事件不是第一起,也不会是最后一起。立法者必须从频发的事件中得出教训,要想让用户尽到义务,必须首先保护用户的权利,让运营商及管理方负起切实的法律责任。
日前,中国软件开发联盟600多万用户注册邮箱账号和与之对应的明文密码(没有经过加密可以直接看懂的密码)一夜之间被黑客曝光,统计显示有239万人的密码和别人存在重复,如“123456789”有23.5万人在使用;“12345678”有21万多人使用;“11111111”有7万多人使用。
一般用户在网站注册的时候,填写密码时都用*号代替并没有直接显示,而且网站还都宣称在后台会高度加密。对于泄露的明文密码文件,目前还没有网站作出回应。
网络安全专家表示,由于黑客已经收集了大量密码的明文和密文,并以此构建了庞大的在线密码字典,一些最简单的字串被许多黑客工具加到最简单的密码字典中,瞬间即可破解。据悉,这样的匹配成功率高达93%。此外,不少网民在众多网站中都是“一号通”,一旦一家网站用户数据被暴露,则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。
虽然安全软件厂商一再督促网友要尽快更换密码提高安全系数,但是换了密码真的就能保证安全吗?为何一再强调高超加密的数据库泄露出来的居然是明文密码?谁来监管这些网站的后台?谁来为广大用户负责?
有网络专家称,黑客密码字典可瞬间破解简单密码
最先引爆该事件的是国内最大的程序员社区 CSDN (中国软件开发联盟)。21日上午,黑客在网上公开了 CSDN 网站的用户数据库,其中包括 600余万个注册邮箱账号和与之对应的明文密码。由于许多用户采用了相同账号密码,人人网、开心网、百合网、珍爱网、世纪佳缘、51CTO、CNZZ、 eNet、UUU9、多玩网、美空网等众多网站随即被卷入泄密风波。
令人感到蹊跷的是,这份文件中泄密的600多万账号对应的都是明文密码,也就是说是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候,填写密码时都用*号代替并没有直接显示,而且网站还都宣称在后台会高度加密。
有人会利用该信息进行诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利,而一旦数据没有价值了就会被抛出,但是对于普通用户来说,完全被蒙在鼓里。
大量用户数据被公开后,据统计结果显示,有239万人的密码和别人存在重复。在所有密码中,最简单好记的“123456789”使用率最高,有 23.5万人在使用;其次为“12345678”有21万多人使用;“11111111”有7万多人使用。总之,使用相同数字或者相同字母如 “aaaaaaaa”等安全性极差的密码的网民大有人在。
不少网民在众多网站中都是“一号通”,一旦一家网站用户数据被暴露,则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。“在这份名单中有的邮箱是与在线支付系统相关联的,”建议为避免财产损失,网民尽快修改安全性更高的上网密码。
据统计,国内几乎有50%的用户都是用纯数字做密码的,而其中只有10%到15%的用户设置了10位以上的密码。
涉及金钱和隐私的账号,应使用复杂的密码,要有字母、数字和符号混合。这样的密码应只在一个账户中使用。“银行密码因为只支持数字,不能使用电话号码、生日、门牌号这样外人可知的数字,否则很容易被破解。”
安全专家李铁军建议:
1.将自己日常使用的网络服务分为两类:重要的(网上支付和聊天账号等)和一般的。
2.使用至少2个邮箱来绑定或申请网络服务,并确保邮箱密码不重复使用。
3.重要服务用重要邮箱来申请,一般服务用次要邮箱来申请。二者绝不混用。
4.重要服务使用的密码,且不能和邮箱相同,尽可能不重复使用重要服务的密码,并定期更换,最好一两个月修改一次。
新浪微博官方账号@微博客服发布公告:近日有网站的用户账号信息发生泄露,如果您在微博上使用了和其他网站相同的登录邮箱和密码,为了确保账号安全,建议您尽快修改密码。此外,如果您设置的密码过于简单,也会增加账号被盗的风险。建议新密码采用数字和字母组合的方式以增强安全性。
目前可供用户使用的互联网服务很多,基本都通过邮箱注册。用户在不同的网站注册时,可能会设置相同的密码。这就导致一旦一个网站的密码被盗,就可能导致多个网站的账号都被盗。新浪微博相关负责人表示,近期发现的微博账号被盗现象,很多都是这个原因导致。为此,新浪微博已经通过多种途径提醒微博用户,如果同时使用多种类型的互联网服务,最好不要使用同一个密码,而且可以在个人接受的范围内尽可能将密码设置的复杂一些。
面对诸多安全问题,新浪微博推出了短信报警功能。绑定手机的用户可以设置接收报警短信。一旦账号出现异地登录、昵称被改或者密码被改的情况,系统都会免费给用户发送短信提醒,确认是否本人操作。如果不是用户本人操作,可以直接通过发短信“SD ”到1069019555605将账号进行锁定,从而确保账号安全。
此外,新浪微博还推出了登录保护和账号锁定功能。设置登录保护,可有效防止他人盗取帐号、发送恶意微博,保护好友不被恶意骚扰。设置后,如在设置保护地域外,需填写验证码完成登录。锁定账号后,账号受到锁定保护,他人无法登录,无法修改自己账号的密码及资料。
360安全卫士官方微博较早发布消息称,“今日有黑客在网上公开了 CSDN 网站用户数据库信息,包括600余万个明文的注册邮箱账号和密码”,一石激起千层浪。22日,此事急剧升温,嘟嘟牛、7K7K、人人网等网站的“密码集”也先后出现在网络上。
国家互联网应急中心运行部主任周永林表示,正在调查相关情况,但还未能核实清楚到底有多少网站牵涉其中,受影响的用户数量也尚不明确,其中不排除有虚假信息炒作。
国家互联网应急中心12月22日发布的《关于CSDN中文社区用户账号密码泄露的安全公告》指出,目前网上泄露的CSDN用户数据库为2009年4月前的用户数据库,用户账户密码采用明文存储。CSDN在2009年4月已经升级系统,使用加密方式保存用户账户密码信息,因此最新的用户数据库尚未发现类似安全问题。尽管如此,国家互联网应急中心已经要求 CSDN 尽快采取应对措施,查找并修复系统安全隐患,规范网站管理措施,对用户提供应急处理协助。
“由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,如果一家网站服务器被黑客攻破,用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号一并失窃。”360网络安全专家石晓虹博士说,目前除 CSDN 外,已经通过技术验证确认有其他网站用户数据库信息被泄露。
360公司还紧急推出了密码安全鉴定器,许多互联网企业也已通过各种方式提醒用户修改密码。
“不说别的,光QQ号我就有3次被盗经历,现在哪敢随便在网上注册信息。”
在计算机、智能手机等终端,随着开放系统越来越多,网络安全漏洞也层出不穷。
“首先对用户来说,要重视个人信息保护,在互联网上注册信息时尽量不要留下过多个人真实信息,密码的设置一定要有技巧。对于互联网企业来说,一定要加强管理和自律,加强日常运行中的安全保障工作并提高应急处理能力。”
“从政府层面来看,随着互联网产业快速发展,要高度重视各种新技术的运用可能带来的安全问题,加大对地下产业链的跟踪监测和打击力度。”他表示。
从网络运行到网络信息内容,每一环节的安全都关乎国家安全以及人民的基本利益。随着以互联网为代表的信息技术加快应用普及,广大网民的合法权益还需要相应的信息安全法律保护。
近日有网友反映 CSDN 的用户数据库被黑,600余万用户资料被泄露。随后CSDN证实这一事故,并将现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份,且临时关闭 CSDN 用户登录。
CSDN 的数据库被盗,也让不少网站开始打起“安全牌”。网易宣布其在人脸识别系统的核心技术上已经取得突破,明年上半年网易免费邮箱用户有望率先实现“刷脸登录”。网易相关负责人表示,这套人脸识别系统的识别率接近100%,几乎不会误判,也不会被照片欺骗,不但能够准确识别由于年龄、妆饰等原因导致的容貌改变,也能识别在不同环境和光线下的容貌差异。在实际使用中,用户可以选择在异地登录时要求人脸认证,或者短时间多次输错密码被锁定后进行人脸认证解锁,以提高账号的安全性。
CSDN 遭到黑客攻击,大量用户数据库被公布在互联网上,其中包括上百万个注册邮箱和密码。虽然 CSDN 已向公安机关报案,并发出通知要求相关用户修改密码,但事件持续发酵,更多网站被卷入其中。除 CSDN 外,人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网等多家知名网站也被指责存在用户数据泄露问题。有网友表示,猫扑,17173、多玩网、人人网、嘟嘟牛、7k7k、178游戏网等多家网站的会员数据库均已被盗,并且在网络上公布了下载地址。不过记者尝试后发现这些地址已经失效不能使用。
人人网、开心网等多家网站纷纷发布声明,表示并未发现用户数据泄露状况。人人网在其声明中称,自人人网上线以来就从未明文记录用户的账号信息和密码,人人网的用户数据库也经过多重加密,并未发现泄露状况,但建议人人网账号密码与其他网站相一致的用户尽快修改密码,以免因一个账号被盗而引起连锁反应。开心网、多玩网、新浪、腾讯等多家网站昨日也都纷纷发表声明,建议用户更换登录密码以回避被盗风险。
“用户信息存在风险的肯定不止CSDN一家。”网络安全专家石晓虹表示,目前除CSDN外,已经通过技术验证确认有其他网站用户数据库信息被泄露。而由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,如果一家网站服务器被黑客攻破,用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号一并失窃。
建议网民对密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码,并定期修改;工作邮箱不要用于注册网络账号,以免密码泄露后危及企业信息安全。除此以外,他还特别提示网民,切勿从网上轻易下载可疑文件,“由于一部分人出于好奇在网上搜索并下载所谓‘密码库’,已有黑客在这些密码库文件上捆绑木马和病毒”。
记者独家获得了多玩网会员数据库文件,涉及到的会员数量超过800万。记者随机选择了10名用户,使用该数据库中的密码登录,结果半数用户账户能顺利登录。一位“业内高手”给记者传来已在黑客圈中流行的多玩网会员数据库,记者随机抽取了2位用户的用户名和密码,并以此登录10余家其它网站,发现很多情况下都可以正常登录。也就是说,这位用户以同一个用户名和密码在多个网站注册,除了多玩网外,其他网站上的密码也全部泄露。
记者收到开心网发过来的邮件,提醒如果用户名和密码与CSDN一致的话,尽快修改密码。
不能给用户提供安全保障,又何能给用户以信心来使用你的网站服务呢?
而对于我们这些普通网民来说,除了修改CSDN相关密码,如果在其他网站也使用同一密码,那么赶紧去修改那些网站的密码。在设置密码的时候,采用大小写字母混搭的形式更为安全一些,尽量不要使用相同的邮箱、相同的网站注册不同的网络服务,尤其是一些重要性网站。
网站数据库泄露多是因服务器被黑客入侵造成,如网站程序或服务器系统存在漏洞,就可能被黑客在服务器植入脚本后门,从而窃取用户数据库文件,安全术语为“拖库”。专家同时表示,“拖库”是近几年来地下黑客产业非常流行的攻击方式,此前已有大批知名网站被“拖库”的传言,但一直没有被公开证实。
除CSDN外,当日,网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用了明文密码,并被泄露。明文存储密码的做法,这意味着只要能打开数据库文件的人,即使不是IT技术高手,也可以像查看记事本一样获取被盗用户的信息。明文存储用户密码的网站比例很难统计,因为不同网站有不同的管理机制,只有接触到网站数据库的人才知道具体情况。按照惯例,网站应该对用户数据库进行加密处理,把用户数据库泄露的风险降到最低。
更为严重的是,由于很多用户的用户名和密码在各个网站几乎一样,一旦有一个帐号密码泄露,就很可能波及所有重要帐号的安全,如网上支付、邮箱、聊天帐号等,而用户遭受的损失,也可能被几倍的放大。
由此,除了网站本身的抵御攻击能力遭受质疑外,网民的安全意识也再一次被敲响警钟。有人统计了这次公布的 6428632 个 CSDN密码,结果显示有239万人的密码和别人存在重复。在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。排名第二位的密码是12345678,使用它的人数也超过了20万。
“不要用一个密码通行所有网站,这就相当于你的所有锁共用一把钥匙,后果你自己想吧。” 多家网站也在事件发生后提示用户尽快就改密码。
金山毒霸官方微博发布声明,承认21日在迅雷提供CSDN数据库下载的发布者(迅雷ID:hzqedison),是金山毒霸产品经理韩某。
业内人士调查显示,最先泄露完整数据包的是一个名叫hzqedison的微博用户,他在迅雷快盘上分享了大小104.85M名为“CSDN-中文IT社区-600万.rar”的文件,后经下载证实确实为 CSDN 泄密数据包。而hzqedison发现事态严重性后,删除了该分享链接。
hzqedison通过微博表态称,自己看到某人发了 CSDN 数据库文件的迅雷下载链接,于是进行了处理,目前已将该文件删除。但他拒绝承认是自己最早泄露用户数据。金山公司相关人员则表示,此事是该产品经理在做分析工作时,操作不当造成的,并不像网上所说的那样,恶意传播。金山网络还强调,该员工上传密码库“绝无主动进行传播,事实上hzqedison生成的分发链接仅供身边少数同事自查,但不慎被外人获知。”金山还称已“掌握了始作俑者的部分资料,其他证据仍在搜集中,很快就会提交给警方。”
用户资料等数据包刚被盗取出来时,在黑客圈子里销售,价格非常昂贵。如一些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价,而买家多是被盗资料公司的竞争对手。黑客除了把数据打包牟利之外,还可以利用用户资料进行互联网诈骗,给用户发送垃圾邮件,如果被盗资料中有用户手机号码,则可以发送广告信息牟利。对于普通用户来说,个人信息遭泄露大多并不知情。
业内人士为此提醒普通用户定时更新自己互联网账号密码,并通过不同邮箱来注册自己不同等级的互联网账号。 从手机浏览器访问《生活宝典》 |
