揭互联网密码失控面纱:泄密事件突破黑客底线

摘要: 当谁都能下载到几个最受欢迎网站的用户密码库时,中国互联网这个看起来人们曾经可以说悄悄话、购物、存储照片、私人信件的虚拟世界正在揭开最后一层危险的面纱。 近半个月以来

当谁都能下载到几个最受欢迎网站的用户密码库时,中国互联网——这个看起来人们曾经可以说悄悄话、购物、存储照片、私人信件的虚拟世界正在揭开最后一层危险的面纱。

近半个月以来,CSDN、天涯等网站的用户密码库陆续被爆出被破解并在网上流传。一场公民个人信息的安全危机爆发。

这看上去只是一个偶然事件,但安全圈内人士判断,CSDN网站几年前就已被攻破,只是这种在“地下”流通的东西,现在普通的人就能够拿到而已。这可能拉出来一个更加复杂的链条。本报接触的国内安全圈的人士称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。

安全厂商奇虎360的一位程序员称,此次事件已经突破了以往黑客界的底线——只炫耀比技术或者挣点小钱,不流传不散播。

黑色圣诞

2011年的12月25日注定是一个不安的圣诞节。

中国开发者技术在线社区CS-DN数据库被泄露的消息爆出,用户的明文邮箱和密码被不加密地挂在网上,网民可以下载。

真正的爆发,是在圣诞节之前四天的12月21日上午10点左右,一个QQ用户在一个安全领域的相关QQ群称,自己掌握了CSDN的数据库,随后又发了一条链接——迅雷的共享链接。迅雷的这个链接是只有安装了迅雷软件的用户才能去下载。CSDN的数据库在迅雷里第一次传播。

奇虎360的一位程序员对本报称,起初他并没有太在意,以为是个玩笑,中午去吃饭之前试了一下,结果真的下载成功。他用程序统计了一下,共有600多万行,全部都是明文的邮箱和密码,是“泛ID”,即也可以用来登录京东、凡客或者任何什么用该邮箱做用户名的网站。

在检验这个库的真实性之后,该安全厂商程序员删除了密码库。

但令他震惊的是,金山公司的一位员工韩某,网名为“hzqedison”的却选择了另一种做法,在迅雷快盘上分享了完整数据包,该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。

事态就此升级。“泄密门”当事者“hzqedison”于22日晚发表微博承认传播一事,并向广大网民致歉。

金山公司对此事的解释是,其间hzqedison将部分网上流传密码库分发给同事自查不慎被外人所获知,已迅速删除,仅被个别同事下载。

金山毒霸的一位反病毒工程师李铁军(微博)对本报称,其间韩某将部分网上流传密码库分发给同事自查不慎被外人所获知,且hzqedison在获知该链接已被外人获知后,迅速删除了该链接,据删除前统计,该链接仅被不超过5个同事下载,并未造成扩散——韩某并非传言中所谓黑客,不是元凶。

但在迅雷上,链接疯狂地被下载和传播。迅雷公司事后才开始全面清理泄密链接。

当然,中招的不只是CSDN,网上还爆出了天涯、世纪佳缘、珍爱网等知名网站也采用明文密码,用户数据资料被放到网上公开下载。

1月4日,《京华时报》第九版刊载了这样一条消息:从未参加网购的王先生同时接到了几大电子商务网站的货到付款快递,他没有下过订单,但他的名字、联系方式都是对的。问遍了周围的人,王先生也没有找到下单的人。

“臭小子”的帖子

在此次泄密事件中,CSDN、天涯以及很多小网站的明文密码库的总数已达七八千万。除此之外,还有很大一部分是密文数据库,比明文密码库要多很多。

此后,CSDN对此事的解释是,网站早期使用过明文密码(就是保存密码或网络传送密码的时候,用的是可以看到的明文字符,而不是经过加密后的密文),使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。

事实上,一直到2009年4月,CS-DN的程序员才修改了密码保存方式,改成加密密码。但部分老的明文密码未被清理,2010年8月底,CS-DN对账号数据库全部明文密码进行了清理。2011年元旦,CSDN升级改造了CSDN账号管理功能,使用了强加密算法,账号数据库从 Win-dowsServer上的SQL Server迁移到了Linux平台的MySQL数据库,才算初步解决了CSDN账号的各种安全性问题。

也就是说,2009年4月之前CS-DN上用户的信息都是明文密码库,2009年4月之后是加密的,但部分明文密码未清理。2010年8月底清理掉了所有明文密码——CSDN称,从2010年9月开始全部都是安全的,9月之前的有可能不安全。

本报接触的国内安全圈里很多人都称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。这次,用户的密码库被下载后被证明大约有20%是真实的,其余则是很久以前的,很多账号和密码已经不再使用。

此后陆续被爆出的天涯、7k7k等众多公司的库也并非最新信息,早在12月4日时,这些就在“乌云网”上公布过。乌云网是为黑客向企业提交漏洞搭建的平台,很多黑客会在乌云网上提交漏洞。

一个自称“臭小子”的注册用户发布了一个漏洞标题为《中国各大站点数据库曝光(腾讯的也有)》的漏洞报告,描述为“用户资料大量泄露”,危害等级“高”。

“臭小子”的帖子一发出来没多久立刻就让乌云网的安全爱好者们炸了锅——10点半,网名为“zerack-er”的安全爱好者第一个对“臭小子”的行为进行了评论,并且贴出了《中华人民共和国刑法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》的相关规定。

安全爱好者“xsser”则认为“臭小子”的做法很必要——不放出来网络公司们就意识不到安全的重要性,企业会以为设置个强密码就安全了。“xsser”称企业的这种做法为“把脑袋放沙子里”的鸵鸟行为。

是的,安全爱好者们有的赞成“臭小子”,有的则认为没有必要贴出来,这样做是给自己找麻烦,也是太爱炫了。

不过,所有做安全的程序员都知道,网络世界没有绝对的安全!因为“道高一尺,魔高一丈”!

被抛弃的底线

CSDN的用户信息库被爆出泄露让乌云网负责人感觉这次实在“有点快”——按照他的经验,尽管CSDN网站几年前就已被攻破,但这种在“地下”流通的东西现在居然普通人就能拿到,也足以令他感到震惊——用户的密码库被泄露和扩散得这么快。

在他看来,在网络这个虚拟世界里,掌握了这些密码的人事实上拥有了至高无上的权力——在黑客面前,其实你早就是裸体的。“库这个东西就像内裤,你可以有,但不必在大庭广众之下证明你有”……而当内裤被公之于众时,互联网上最丑恶的一面也展露在公众面前。

被泄露密码库的网站名单中几乎没有出现大网站,但由于很多用户在各个网站注册时使用的都是同一个邮箱和密码,因此泄密事件让整个业界风声鹤唳——美团网在发现网络上有泄密的事件之后也给相关很多用户发去了提醒短信,告诉那些现在被泄露用户尽快修改美团的密码。

一位曾经做过黑客的资深人士透露,2005年,要攻破一个网站其实只需要10分钟。而今天,即便是采用一种号称无法被破解的加密方法——MD5方式,黑客们只要有时间和精力,两三个人花上两个星期也能破解。

一切看起来失控了。

这些被泄露出来的用户资料尽管大部分被证明已经不再使用——仅有20%有效,但如此大规模的泄露在中国互联网历史上还是首次。

乌云网负责人告诉本报,这次的密码事件传播得如此之快出乎他的意料。不过,在他看来,此次的泄露是“偶然中的必然”。

是的,众多网站的用户资料库被“拖”(拖走,黑客行话,即被拷贝)是早就发生的事情。这些被拖走的“库”有两种命运,一种是黑客只是为了炫耀技术而攻击,也不为了赚钱,只是自己做截图后与其他黑客比技术时用作证明。另一种则是被一些黑客用来“挣点小钱”——卖给需要这些用户联系方式的公司,或者自己窃取用户账户里的资产。

以前黑客界也有着一些最基本的游戏规则,他们中的一些人遵循“盗亦有道”的原则,包括不在公众场合描述网络攻击的细节,不向未成年人传授或培训黑客技术,妥善保存可能带来社会风险的用户资料等等。

但是现在,已经无法确定究竟前一种黑客人多,还是后一种黑客是主流。前者被称为“白帽子”——安全工程师、安全研究员和安全技术爱好者,这些“白帽子”大多有自己的工作,他们找到别的网站的漏洞,就提交到乌云网上去。

黑客和白帽子

一个简单的逻辑是,一份隐私库在最初被“拖”走的时候,黑客花的时间和精力最大,库的价值也越高越宝贵——除非他用这个东西获取到足够的资源和利益,否则他不会公开或泄露。慢慢地这个东西越来越多的人有了,人越多在小圈子里流动的就越多,也越不可控——当这个库最后被公布出来时,就意味着已经被卖得太广了。

此前,“白帽子”们提交的漏洞大多得不到网站管理员的重视,乌云网的创立初衷之一就有让他们与网站间建立一个沟通平台的意思。

现在,这些提交漏洞的白帽子已经渐渐开始得到网站的重视和尊重——他们甚至可以通过提交漏洞得到一些公司赠送的小礼物,大多是T恤衫、笔、水杯等等纪念品,是一种象征性的奖励。在乌云网站上,你可以看到的是,连腾讯都向白帽子赠送过“礼物”。

不过,乌云平台已经在2011年12月29日因“系统升级”而无法访问。

乌云网负责人称,最近频繁披露的安全事件及带来的影响表明,一方面企业的整体安全建设还不够完善,同时也反馈出乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。

而在深究此次密码泄露问题上,互联网资深分析师洪波(微博)称,不能排除是有个别黑客在针对实名制采取的一种方式。

不愿意透露姓名的中国最早期的黑客之一宋某估计,此次事件应该最少有三个人参与,其中至少有一个人是想试图提醒网民,如果真实的信息被泄露,将是多么可怕的一件事。

在乌云网负责人看来,此次泄密事件正在给人们一个教训:互联网不安全。

是的,只有做安全的人才知道网络世界多么的不安全。

泄密事件发生后,奇虎360公司对本报称,网站数据库泄露的主要原因在于网站漏洞被黑客利用,用户电脑再安全也无济于事。奇虎360通过该公司安全检测平台发现,国内仍有83%的网站存在漏洞,34%为高危漏洞。

时间: 2024-09-30 05:06:54

揭互联网密码失控面纱:泄密事件突破黑客底线的相关文章

数据泄密事件频发 但密码仍有生命力

美国<华尔街日报>网络版今天刊登题为<尽管数据大盗盛行 但密码仍有生命力>(Despite Data Thefts, the Password Endures)的评论文章称,虽然密码技术存在种种弊端,而且引发了诸多数据泄密事件,但由于其成本低廉.使用简单的特点,还是获得了普通大众的青睐.更何况,对于已经习惯了密码的用户来说,要转用全新的技术并非易事. 以下为文章全文: 密码噩梦 二十世纪六十年代初,当费尔南多·卡巴托(Fernando Corbató)在麻省理工学院创造出第一个电脑

当当称被盗源于CSDN互联网泄密事件,被盗用户可获全额赔偿

当当称被盗源于CSDN互联网泄密事件 已冻结账户余额及礼品卡,用户可获全额赔偿 继去年12月当当网用户信息被盗后,当当网再次爆出用户信息被盗事件.近日,有媒体报道当当网多名注册用户账户被篡改密码,无法正常登录,账户内的余款也被莫名其妙消费.对此,当当网于3月19日发表声明称,在3月19日至3月21日紧急冻结所有当当网账户余额及礼品卡. 进展 被盗用户可获全额赔偿 对于用户账号被盗刷事件,当当网于3月19日发布声明称,3月19日至3月21日,紧急冻结所有当当网账户余额及礼品卡.在此期间,当当网用户

Dropbox泄密事件仍在蔓延 一家成人网站被爆掉80万帐号密码

上周黑客在暗网相继泄漏了 Dropbox 和 Last.fm 两家公司的上亿条账号密码,暴露了互联网公司在保护用户信息上的严重缺陷.但现在这场"泄密事件"仍没有停止的迹象,最新的消息是黑客团队泄漏了色情网站 Brazzers 近 80 万条用户账号密码. 这个被黑客公布在暗网上的数据库包含条 928072 个账号的信息,其中包括 790724 个不同的电子邮箱地址以及许多用户名和明文密码. 在接受The Next Web采访时,Brazzers的公关经理Matt Stevens说:&q

盘点2012十大信息泄密事件

伴随着云计算.物联网和移动互联网概念的火热,不平凡的2012年终于步入了尾声.这一年大数据的出现更让网络信息安全成为了众矢之的.经明朝万达统计,2012年见诸媒体的信息泄密事件超30起,而这仅是冰山一角,事件本身带来的损失.对行业及社会的负面影响等均让人不安加揪心.此次,明朝万达根据事件的影响性评选出"2012十大信息泄密事件",亚马逊.江苏银行.苹果.三星.1号店及上海市卫生局等泄密案例入选,望大家以儆效尤,做好信息安全保护工作.   点击图片查看大图     2012年1月,亚马逊

CSDN创始人称泄密事件遭上市公司栽赃

CSDN创始人蒋涛( 腾讯科技配图)腾讯科技讯(乐天)12月28日消息,在知名网站CSDN证实600万数据库泄漏后,CSDN创始人蒋涛昨日公开指出遭遇上市公司栽赃,并公布被曝库数据重合度对比,其目标直指人人公司.CSDN创始人谈密码泄密事件(腾讯科技配图)此前,人人网发布公告指出,数据泄露报道和言论纯属谣言.人人网自建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露.人人网还提醒所有与CSDN相同账号密码的互联网用户及时修改密码.在人人网声明后,蒋涛作出回应,称密码

触目惊心:2015十大最具影响力的数据泄密事件

2015年,是数据安全事故频发年,也是数据安全防护技术高速发展的一年.回顾整个2015,产业信息化.数字化.网络化进程加速,互联网+已然成为一种不可逆的趋势,互联网.云计算.大数据带来更新式革命,然而新趋势下的数据安全状况变得越发严峻.Verizon最新发布的<2015数据泄露调查报告>显示,500强企业中超半数曾遭受过黑客攻击,来自中国的数据安全问题更加触目惊心,福布斯上榜的中国企业中,大多数企业都曾经不同程度遭受过攻击或出现数据泄露,特别是一些掌握大量民众个人信息的通信运营商及金融领域.明

专访知道创宇:我们最先定性12306泄密事件

元旦临近.春节将至,火车票预订进入旺季,但是在12月25日上午,一则关于中国铁路购票网站12306的漏洞报告出现在了国内某知名漏洞公布平台上,该报告称12306网站存在"用户资料大量泄漏"的高危漏洞,一时间引起网民的极度恐慌和业界的广泛关注.不过让人费解的是,不同的互联网公司或安全公司对该事件却有着截然不同的解读.业内专家表示,明明很单纯的一件互联网安全事件,却被各大公司利用作为炒作自身产品或攻击对手产品的工具,实在有违做安全的初衷.而无辜的网民在无数份所谓"权威报告&quo

分享从此次泄密事件中学到的网站经营之道

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 从上周开始大大小小的泄密事件贯穿了互联网的跨年生涯,从2011年到2012年好像一夜之间互联网安全成为了一大热门的话题,从国内几大知名论坛的泄密到游戏平台的泄密等引起了国内的泄密事件高潮,那么作为一名站长我又从中学到了哪几点网站经营之道呢,今天将它写出来,希望能够对经营网站的朋友们一些帮助.本文文笔不是很好,请大家见谅. 一.站长反映应及时,

2014国内外数据泄密事件大盘点

Verizon发布了<2014年度数据泄露调查报告>,报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄漏事件.报告数据显示:由于数据库原因产生的信息泄漏高达25%.盘点2014年发生在国内外的数据泄密事件,探寻其背后的深层技术原因.实际上还有许多泄密事件,或正在调查,或无从确认,或无法公开.可以预见,2015年可能出现更为严重的泄露事件. FreeBuf科普:什么是赛博 赛博一词源于希腊语,意指在掌控或管治方面是很有技能的人.动物和任何东西.美国东西方研究所与莫斯科国立大学情报