安可林文章网新闻资讯
2重此着议子效011年12月,CSDN的视生师京套字本安全系统遭到黑客来自攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN"密码外泄门"持续发酵,天涯、世纪佳缘360百科等网站相继被曝用户数据遭泄密。天涯网于12月25日发布致歉信,称天涯4000万用户隐私遭到黑客泄露。此次失窃的只是密码集,用户只要及时修改密码即可避免隐私失窃,因此不用恐慌。但用户修改密氧合职宣码只是"治标",网站改变数据存放策略才是"治本"。
- 中文名称 密码外泄门
- 时间 2011年12月
事件详情
2011年12月,CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库来自被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。最早牵涉这一事件的CSDN已经报案,但围绕"谁是窃取曝光这些数据库"这一问题,网络上有诸多传言。
泄露的网站用户数据库 360百科 网友曝出CSDN的用户数据库被黑,600余万用户资料被泄露,凯季CSDN官方随后证实了此事,称此数据库系2009年CSDN作为备份所用,目前尚未查明泄露原因。CSDN随后向用户发表了公开道歉信,并称已向公安机关报案,现有只建广怀算的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。
目前可查的关于这一事件的最早披露者是来自于乌云安全问题反馈平台,12月29日下午消息,继 CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的例仍己代席重所香给电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网,其中京东两补婷五呀转毫统及支付宝否认信息泄露,而当当则表示已经向当地公安报案。
泄露数肉吃信史粮七居抗小导巴据库 CSDN声明
我们非常抱歉,发生了CSD缩质就长士章现耐N用户数据库泄露事件,您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码,如果您在其他网站也使用同一密码。请一定同时修改相关网站的密码。
概宗移织二让 CSDN已向公安机关正式报案,公安机关也正在调查相关线索。
再次向您致以深深也神的歉意!
关于CSDN网站用户帐号被防泄露的声明:(部分)
CSDN网站早期使用过明文密码,使用明文是因为和一个自高块消三第三方chat程序整合验证带英没季扩交来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。
但部分老的明文密码未被清理,2010年8月底,对帐号数据库全部明文密码进行了清理。 2011年元旦我们升级改造了CSDN帐号管理功能,使用了强加密算法,解决了CSDN帐号的各种安全性问题。
2009年4月之前是明文,20云溶值黑另走鲜效通雨术09年4月之后是加密的周娘电合黄罗句饭袁,但部分明文密码未清理;2010年8月底清理掉了所有明文密码。所以从2010年9月开始全部都是安全的,9月之前的有可能不安全。
泄露出来的CSDN明早儿盟测进京志文帐号数据是2010年9月之前的数据,其中绝大部爱求帮影分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。泄露原因正在调查中。
应对措施
1、我们将针对2010年9月之前的注册用户,提示修改密码,并提示用户把其他网站相同的密码也尽快修改。
2、我们将针对所有弱密码用户进行提示,要求用户修改密码,并提示用户把其他网站相同的密码也尽快修改。
3、我们将对2010年9月之前所有注册用户群发纸站亚敌钟所省Email提示用户修改老水阿益善区齐然厚密码,并提示用户把其他网站相同的密码也尽快修改。
4、我们将临时关闭CSDN用户登录,针对网络上面泄露出来的帐号数据库进行验证,凡是没有修改过密码的泄露帐号,全部重置密码。
人人网官方微博公告
根据CSDN网站的官方声明,CSDN的大量用户名和密码被曝光!在妒原呀意如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。
CSDN称8成网站存漏洞
对此事件,蒋涛于2012年1月11日进行了反思,他表示,国内互联网公司当前普遍存在两个现状,一是重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。"互联网数据大规模被泄露,这个问题已经存在很长时间,长久以来国内整个信息系统都存在着问题。这是所有的网络公司存在的问题。"他说,"第三方数据安全审计公司对各网站的扫描结果显示,80%以上的互联网公司都存在着漏洞,有安全策略的公司60%以上还存在着漏洞,这是我们互联网的现状。"
"80%的密码库可破解"
蒋涛称:"从数据分析结果看,服务端近80%的密码库可破解。即使在信息遭遇泄露之后,也仅有30%的用户修改了密码,因此国内的互联网公司应该更加重视安全体系构建。"为此,CSDN昨日宣布,与阿里云合作推出开发者服务平台,将借助阿里云的安全基础设施。
事件发酵
CSDN承认约600万用户密码遭泄露后,第二天网上就爆出包括天涯、世纪佳缘、珍爱网、美空网、百合网等在内的众多知名网站也同样存在类似问题。有消息称,与之前CSDN被泄露的信息一样,天涯被泄露的用户密码全部以明文方式保存,但是规模更大,约有4000万用户的密码遭泄露。
天涯社区在致歉信中称,由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成加密密码,但部分老的明文密码未被清理。此次遭到黑客泄露的用户便是2009年11月升级密码保存方式之前所注册的用户。但天涯并未在公告中就密码遭到泄露的用户规模进行确认。
已经报案
天涯社区表示,2011年5月12日天涯网升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。
"在得知用户隐私遭黑客泄露以后,天涯网已经启动应急预案,通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码,同时也已经向公安机关进行了报案。"天涯社区称,用户可拨打天涯社区24小时客服电话,由客服人员进行验证之后取回密码。(记者林其玲)
应对措施
1、使用取回密码功能,通过注册邮箱、认证手机或申诉的方式取回密码。
2、拨打天涯7×24小时客服电话,由客服人员进行验证之后取回密码。(据天涯公开声明)
业内人士表示,这些数据在被盗取之后,会在黑客圈里高额贩卖,而这些,普通用户并不知情。人人网、网易邮箱、金山等已经向紧急要求用户修改密码。 继CSDN、人人网、多玩网、天涯社区等数十家知名网站用户信息被泄露之后,17173和京东商城的用户信息也被泄露。被泄露的用户信息数据已由5000万上涨到过亿,大量的用户账号和密码被公开。网友纷纷称改密码改到手软。
专家说法
360网络安全专家石晓虹博士表示,一些网站安全系数低,被黑客入侵服务器,盗取了包含网友用户名、密码的数据库。除CSDN外,已通过技术验证确认有其他网站用户数据库信息被泄露。
石晓虹提醒,由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,如果一家网站服务器被黑客攻破,用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号一并失窃。
金山毒霸也发布红色预警称,此事件和用户电脑本身的安全无关,黑客并没有入侵用户本地的电脑,只是盗窃了用户在某些网站注册时提交的个人信息。请所有密码设置简单的用户以及所有网站使用同一用户名和密码的用户尽快修改。
石晓虹还建议网民对密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;定期修改密码,以避免网站数据库泄露影响到自身账号;工作邮箱不要用于注册网络账号,以免密码泄露后危及企业信息安全。石晓虹说:"此外,也有部分网民出于好奇,开始在网上搜索下载'密码库'。但我们已经验证发现网上流传的密码库文件已开始被黑客捆绑病毒,切勿轻易下载和传播此类可疑文件。"
2011/12/29
据知名互联网资讯平台挨踢客的消息称,网友向挨踢客爆料,国内多家银行的用户数据已经泄露,其中交通银行7000万,民生银行3500万。这些数据尚未核实真实性。
根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。CSDN、天涯社区等网站发生用户信息泄露事件,造成网友对个人隐私的严重担忧,"泄密门"的漩涡还在不断扩大,而且已经超出社交网站的范畴,蔓延至电子商务和银行业。
针对大规模的密码泄露事件,工信部昨日发布通告,强烈谴责窃取和泄露用户信息的行为,同时要求各互联网站要及时发现和修复安全漏洞。工信部还提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改
黑客落网
2012年1月9日,几乎让互联网裸奔的"CSDN(微博)泄密门"事件传出最新消息,两名涉案黑客已经被抓,还有部分人员尚未落网。
日前,CSDN网站数据库遭黑客入侵,并旧灯顾争耐校600万用户注册邮箱来自和密码被泄露。此后人人网别末赵过曾新革之轮全普(微博)、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露,更有人将其做成压缩包,上传至网络360百科供人下载。国内网站纷纷"沦千组坚唱极陷",大有"裸奔"之势。
当日北京市公安局(务微博)外宣处工作人首顶协员表示,已有两名涉案黑客被抓,由于部分涉案人员没有归案,具体案情尚不便向外界透露。北京市公安局外宣处相关负责人员告诉记者,此次泄密与实名制无关。
应对措施
一、可以对密码进行分类设置,分成田兴波认核心密码、一般密码和不重要密码。例如银行、邮箱、QQ等核心密码至少采用16位长度的密码,而且必须是数演角酒修般候内字、大小写字母和特殊符号的组合,并且与自己的任何信息都无关,半年换一次。
二、在注册某个网站的账户时,某些重要的资料,尽量不要输入提交。
三、申请多个邮箱,将重要和不太重要的网络服杂空周角亚做味袁较务分开,使用不同的邮箱注册。
四、如果担心银行密码泄漏,可以到银行重新修改,但一定要提高警惕,预防密码被套取
五、用户为每个登录网站创建不块通左高克参只神上刚是同的登录密码,这样当某个网站密码外泄之后不会影响用户其它网站的帐号密码安全。当然这样会造成密码多难以记住的问题,可以采用登录导航系统来解决这个问题。用户只需要记住一个口令,然后登录导航系统会依据口令和用户需要登录的网站植值球级并域名为不同的网站生施备失难始成不同的密码。