CSDN密码事件升级 金山员工自曝泄密全过程
来源:
发布时间:2011/12/27
浏览次数:0
我的密码被盗了吗?这已成为2011年末中国网民最关心的问题之一。
近日,有网友爆出,在CSDN用户数据库泄露事件中,最早在迅雷(微博)公开提供数据库下载的人为金山毒霸的员工。昨日(12月26日),金山网络发表声明,承认相关资料传播人确为其公司员工,但同时表示,该员工并非窃取数据的黑客,也不是最早泄露用户数据的人。
“事件绝对不是金山引起的,是竞争对手背后捣鬼,我们已经掌握了始作俑者的部分资料。”金山网络公关部门相关负责人向记者表示。
当事人之辩
12月22日,有网友接力传播QQ截图、图像显示,有QQ用户曾于21日下午2时许,在QQ群内发布CSDN数据包的迅雷快传链接;12月23日凌晨,一名ID为hzqedison的新浪微博用户承认,其本人是该文件的上传者,并表示道歉;其后,金山网络迅速发表声明,表示金山员工并非在网络上被“千夫所指”的黑客。
对此,涉嫌“泄密”的当事人韩斌(化名)讲述了事情的全过程。
韩斌表示,12月21日下午2时许,他在一个网络安全相关的QQ群内,看到了CSDN用户账号密码的迅雷下载文件,由于他本人也是一名技术人员,并且是CSDN注册用户,因此他马上将该文件下载,以查阅自己的账号是否被盗。
“果然在里面查到了我的账号,我的很多同事也是这个网站的注册会员,我想把这份东西共享给他们,如果他们查到自己的账号被泄,好快去更改密码,于是把QQ群内要用迅雷专用工具下载的链接,转化成了迅雷快传的下载链接,并且发到了一个朋友圈内的QQ群里。”
令韩斌大吃一惊的是,仅仅过了不到10分钟,他所发布的相关内容就被人截图,并发布在了专业安全网站“乌云”(wooyun.org)上,“据我猜测,我把东西发在QQ群里后,又有人在不同的QQ群内转播,所以才会传播出去”。
“我当天就删掉了迅雷上的文件,但没想到事情会影响得这么大,很快有人策划新闻,也有水军来转发、骂我,我怀疑这是有公司故意为之的。现在连我父母都打电话问我,我只能告诉他们我确实没有做过这样的事,我很爱我的工作,真的不想失去它。”韩斌的话语断断续续,声音微微发颤。
记者发现,早在12月4日,专业安全网站“乌云”(wooyun.org)上,就有ID为“臭小子”的用户发布了一份“中国各大站点数据库曝光 (腾讯的也有)”的漏洞概要,截图中包括CSDN相关数据库。
将持续发酵
继CSDN后,天涯、开心网(微博)、多玩、世纪佳缘(微博)、珍爱网、美空网、百合网、178、7K7K等知名网站也被网友爆出采用明文密码,用户数据资料被放到网上公开下载,天涯网已公开承认部门用户密码被盗。
昨日,更有网友爆出,金山毒霸的用户数据遭黑客“拖库”,对此,金山网络公关部门相关负责人向《每日经济新闻》记者表示,金山网络否认此事,并指出该传言为无稽之谈。
“有竞争对手在捣鬼,我们现在已经在配合公安相关调查此事,并且掌握了一定的证据,为了不妨碍调查进展,暂时无法公布这些证据。”该负责人表示。
对此,一位不愿具名的安全行业资深人士指出,黑客盗取网站用户信息目前已经形成了一套相关产业链,由于国内部分网站信息安全意识薄弱,未将用户的名文信息进行加密,并且保护措施不力,最终酿成恶果。
“现在黑客传上网络的,可能已经是辗转几手被出售过,并且价值已经被用尽了的信息,也就是说,这一部分用户数据可能在几个月甚至更早以前已经被泄露了。”该人士称。
他同时指出,泄密事件将造成持续连锁反应。“以前有公司要给网民发垃圾邮件,还要去购买有效用户的信息,现在他们完全不用买了,我估计在未来一段时间内,中国网民将会接收到大量的垃圾邮件。此外,也会有部门用户存在银行密码被盗用的危险。同时,如果有商业公司在知道竞争对手相关负责人的网络惯用ID情况下,通过数据库查询到了他的密码,那么还将有一些商业机密外泄的可能。”他说。
现在看来,12月21日CSDN社区被泄露的600万数据只不过是沧海一粟。
当天,互联网安全专家,赵明(化名)从相关人员的讨论中得到一个迅雷下载链接,在下载这个文件时,迅雷右边的相关推荐里列出了7k7k2000万、多玩儿800万数据,他立刻同时下载。目前这个列表还在不断扩大,天涯社区、嘟嘟牛、178、人人网(微博)都进了推荐清单。
事实上,互联网信息泄露一直都存在。就在此前,有消息称,当当(微博)网存在设计缺陷或逻辑错误,大量用户资料或因此泄露;而去年12月底,360也被爆出网民的账号密码、浏览记录、购物信息泄露。近年来,越来越密集的互联网信息泄露事件也让国内的互联网公司重审互联网安全,更为可怕的是,外界担心,CSDN密码泄漏恐引连锁反应。
昨日,有消息称,新浪微博恐遭攻击,部分用户密码被盗。对此,新浪发表公开声明,称新浪微博并未受攻击,是部分用户因使用和其他网站相同账号密码,导致其微博账号不安全。新浪微博也在第一时间推出了短信报警功能。绑定手机的用户可以设置接收报警短信。一旦账号出现异地登录、昵称或密码被改,系统都会免费给用户发送短信提醒,确认是否本人操作。此外,新浪微博还推出了登录保护和账号锁定功能。
针对使用明文密码太低级的指责,网易邮件事业部副总经理莫子睿对《每日经济新闻》表示,网易作为国内最大的邮件运营商,网易的密码是加密保存,不是明文的。据了解,目前网易拥有4.3亿注册用户,目前网易方面也采取了多种应对措施,针对已遭到泄露用户的邮箱账号,群发邮件,告诉用户爆库事件,并提醒用户修改密码,绑定手机,注意账户安全。
支付宝(微博)相关负责人士则对《每日经济新闻》表示,与一般的互联网社区网站不同,为了保障用户的密码安全,支付宝推出了专门的密码安全控件。该安全控件实现了在SSL加密传输基础上对用户的关键信息进行再次多重加密。