|
12月21日上午,大型综合性IT门户网站CSDN遭到黑客攻击,CSDN网站的用户数据库被公开在网上。其中包括600余万个注册邮箱账号和与之对应的明文密码,此事引起业界一片哗然。 CSDN确认事故发生,并表示已经报案,向用户致歉。
1 CSDN表示已向公安机关报案
2 成都一知情者称两年前已遭泄露
3 CNBETA、CNZZ、ENET硅谷动力、百合网、珍爱网、开心网、YY、酷6.....网友爆料多家网站或有同样问题
“我的两个都在里面,还帮我找回了2001年注册的帐号。”昨日,四川IT茶馆创始人王佳伦,在微博上说起自己在国内著名中文IT技术社区CSDN上注册的账号,有些啼笑皆非。
王佳伦所言的“里面”,是指昨日有黑客在网上公开了CSDN网站部分用户数据库,包括600余万个注册邮箱账号和与之对应的明文密码。CSDN在其官方网站及微博上确认了这一事故。
黑客公开数据库
600余万用户资料挂上网
CSDN创立于1999年12月,是Chinese software develop net的缩写,又称中国软件开发联盟,是大型综合性IT门户网站。公开资料显示,其会员囊括了中国地区百分之九十以上的优秀程序员。
昨日上午,有黑客在网上公开了CSDN网站的用户数据库,其中包括600余万个注册邮箱账号和与之对应的明文密码,此事引起业界一片哗然。
成都晚报记者获知消息后登录CSDN,发现登录页面跳转为一则CSDN passport升级通知,直到17时许,登录页面才恢复正常。
成都本地一位圈内人士告诉成都晚报记者,这事他早就知道,因为很多账号是2009年就被盗的。对于此说法及此次资料泄漏事件,成都晚报记者多次私信蒋涛及范凯欲采访,但对方没有回应。
CSDN确认泄露
向所有用户深深致歉
不过,昨日16时36分,CSDN在其新浪微博上称:“对于CSDN用户账号密码数据库被泄露一事,经过初步分析,该库系2009年CSDN作为备份所用,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。”
CSDN还表示,目前他们已向公安机关报案,“CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。”
CSDN创始人蒋涛在新浪微博上称,“非常惨痛的安全教训,向所有用户深深致歉。”
曾用明文保存密码
创始人悔称“非常愚蠢”
昨日20时41分,CSDN发出《致CSDN会员的公开道歉信》,称该网站早期使用过明文密码,后来的程序员始终未对此进行处理,“2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月清理掉了所有明文密码。”
CSDN平台开发总监范凯则在微博上解释:“CSDN曾经用明文保存密码,但我来CSDN以后已经全部改成SHA加密,目前系统是安全的。但我来CSDN之前被泄露出去的帐号需要立即修改密码。”
蒋涛转发这条说明并称,当年由于“非常愚蠢”的原因保存,“再次沉痛致歉”。据了解,蒋涛1991年毕业于四川大学计算数学与应用软件专业,曾在巨人集团、金山公司任职,领导开发了金山词霸,金山游侠等产品。
○补救
CSDN恳请用户修改密码
CSDN在公开信中称,“我们恳切地请您修改CSDN相关密码,如果您在其他网站也使用同一密码,请一定同时修改相关网站的密码。”
CSDN方面表示,2010年9月前注册的账号,建议修改密码;2010年9月以后注册的账号,不必修改密码,但邮箱有泄露可能性;2011年1月以后注册的帐号,帐号,密码和邮箱都非常安全。
“历史遗留的安全隐患从2011年元旦起已经全部解决。”公开信还称,如果账号被盗,使用忘记密码功能,系统会重置密码,将新密码发到注册邮箱;或者给管理员发邮件,请管理员帮助找回帐号。
○反应
有用户还是觉得不满
尽管CSDN已经做出回应,但许多用户对明文保存的行为还是觉得很不满。“蒋总,应该系统全部统一重置用户密码,我刚去看到有人已经用我的帐号发了两篇blog了,要等用户自己修改密码,这得出多大乱子!”网友“大鱼儿_”说。
蒋涛表示,他们已经关闭注册用户登录,等待重置所有相关用户密码完成,预计今日早上恢复登录。不过昨晚有用户表示,目前还是可以登录。
事件在发酵
网友爆料
多家网站或有同样问题
CSDN事件似乎还在发酵,昨日有网友爆料,多家电商存在同样隐患。
昨日16时左右,网友“潇洒小姐燕子”在微博上列出一长串名单,除了CSDN,有同样问题的大网站还有CNBETA、CNZZ、ENET硅谷动力、百合网、珍爱网、开心网、YY、酷6等,“当然这些是目前已知的,未知的估计更多。”
有好事网友随后将名单“分类”:程序员类、宅男类、纯洁男女类。
“潇洒小姐燕子”上传了一个类似数据库的东西作为证据,不过成都晚报记者私信这名网友,对方没有回应。到记者昨晚截稿时,被点名的网站均没有对此回应。
IT人士警示
别用一个密码
通行所有网站
互联网安全问题再次浮上水面。金山网络反病毒工程师李铁军在微博上称“太杯具了,太多人密码通用了。”他表示他随便从某网站泄露的帐号信息里挑了个gmail账号,拿密码登录成功,然后,看到了更惊人的东西,这个gmail账号绑定了N个B2C网站的帐号。“再次呼吁各位网民:不要用一个密码通行所有网站,这就相当于你的所有锁共用一把钥匙,后果你自己想吧。”他说。
(本文来源:四川新闻网-成都晚报作者: 王兴渠) |
|