密码风暴,成了年底网民最关心的话题之一。
12月21日上午,有黑客在网上公开了开发者技术社区CSDN网站的用户数据库,包括600余万个注册邮箱账号和与之对应的明文密码被泄露。CSDN是中国最大的开发者技术社区,会员囊括了中国九成以上的优秀程序员。
CSDN表示,经过初步分析,该库系2009年CSDN作为备份所用,由于未查明原因被泄露,特向所有因此受到影响的用户致以深深的歉意。
CSDN称目前已向公安机关报案,公安机关也正在调查相关线索。同时,CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。
一波未平,一波又起。国内知名的社区网站天涯网26日也发布致歉信,称天涯部分用户隐私也遭到黑客泄露。
天涯社区在致歉信中称,由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成加密密码,但部分老的明文密码未被清理。此次遭到黑客泄露的用户便是2009年11月升级密码保存方式之前所注册的用户。但天涯并未在公告中就遭遇泄密的用户规模进行确认。
新浪微博、腾讯QQ、人人网、开心网等知名网站的用户也称密码遭网上公开泄露。新浪微博对此回应称,新浪微博用户账号信息采用加密存储,并未被盗。
经核实,网友上传的数据绝大部分不是新浪微博账号。
腾讯发布声明称,已对泄密的QQ邮箱账号限制登录,请这部分用户登录时根据提示,在QQ安全中心使用密保工具箱来修改密码,同时建议用户定期修改密码,尽量不要在多个重要账户中使用雷同密码,避免账号被盗。
人人网称,自建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露。对于近日发生的CSDN网站大量账号密码被盗事件,人人网立刻采取对用户账户的安全保护措施,利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级,防止账户被盗。目前网上可供下载的人人网用户数据经过测试并非人人网账户信息。
此轮泄密事件波及甚广,被称为中国互联网史上最大的泄密事件。
360网络安全专家石晓虹接受记者采访时称,早在12月4日,一个署名为“臭小子”的黑客在乌云漏洞平台宣称,自己掌握了中国各大站点的用户数据库。
12月21日开始,CSDN等多家网站数据库相继在网上公开。事后人们发现,CSDN数据库的大小和“臭小子”贴图中的200507KB大小完全一致,金山等30余家网络服务商数据库泄露的消息并非空穴来风。
石晓虹说,一般而言,网站数据库泄露是由于网站存在漏洞,黑客入侵服务器后把数据库下载到自己电脑中。
360网站安全检测数据显示,国内83%的网站存在安全漏洞,其中34%属于高危级别,极易被黑客入侵窃取数据库。
攻破这些网站,黑客的目的何在?石晓虹说,此次事件应该是黑客炫耀或恐吓网民,因为一旦数据库在网上公开,每个人都能够免费下载,黑客就无法通过交易转让数据库获利。
瑞星安全工程师王占涛告诉中国青年报记者,没有被黑客攻击过的大网站不多,只不过这次黑客是把密码公开了。“以前黑客都是拿这些资料卖钱的,这次事件没有经济利益的驱动”,因为这些社区并不涉及网银和网上支付等工具。
石晓虹说,网银和网上支付等涉及金融信息的服务商在安全机制方面相对更严格一些,但如果用户在其他不安全的网站上泄露了常用的注册邮箱和密码,同样可能影响网上支付账号的安全(前提是使用了相同的注册邮箱和交易密码)。
互联网专家方兴东则认为,这次大规模的网站泄露密码或许跟微博实名制有关。他认为,反对实名制的黑客,通过泄露各大网站的密码,告诉大家实名制是不安全的。如果把身份证号这样的信息都交给一个网站,这个网站可能没有能力保护用户信息的安全。
韩国是实行网络实名制的国家,但最近一些网站因为密码泄露而放弃了实名制。方兴东说,“实名制虽然是趋势,但实行起来还是一个系统工程。”
对于广大用户来说,如何保护自己的密码安全呢?石晓虹说,分级管理密码,重要账号(如常用邮箱、网上支付、聊天账号等)单独设置密码;定期修改密码,可有效避免网站数据库泄露影响到自身账号;工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。