扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
中国互联网最大规模的用户资料泄露事件正在进行时,自12月21日有黑客在网上公开了开发者技术社区CSDN用户数据库包括600余万个明文的注册邮箱账号和密码以来,上周末,又新增了十余家国内知名网站涉入密码外泄的消息。你的密码改了吗?已成为众多网民最流行的相互问候语。
事件回放
12月21日,黑客在网上公开了CSDN网站用户数据库。12月21日晚间,CSDN在其官网上发表声明承认有约600万用户密码遭到外泄,且绝大部分是早年留存的明文密码。
CSDN仅仅是一个开始,紧接着在国内著名的漏洞报告平台wooyun曝出一组截图,截图中显示,其中包括人人网、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网等数十家国内知名网站数据库可以通过讯雷下载。
25日,wooyun又曝出国内知名社区天涯论坛4000万用户账号密码邮箱明文保存的数据遭泄露。当晚,天涯论坛在其官方微博发表声明和致歉信称:“近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一。为确保您的隐私及账户安全,在此,我们恳请您尽快修改天涯社区相关账户的密码。”
尽管人人网、开心网、多玩网、猫扑等上榜的网站均对此予以否认,仅有天涯社区和CSDN表明已向公安机关报案。随着天涯用户密码遭到泄露,数据泄露的影响进一步扩大。也意味着大约超过5000万的用户数据库被泄露,同时被通过各种渠道扩散和被人下载。正如国内著名的开源社区Chinaunix创始人之一窦喆在其微博上所调侃:“手里没几个密码库,都不好意思和同事聊天,连前台都有几个密码库了,让我情何以堪。”
密码的外泄一时引发互联网上人人自危,互联网安全公司纷纷拉响红色预警。有网络安全专家表示,此次泄露源于黑客入侵这些网站的数据库服务器,盗取用户数据库等信息,其中包括注册邮箱、用户名、密码(多是密文、部分网站是明文),并将这些数据在互联网中进行传播。
蝴蝶效应
此次曝出的用户资料泄露事件,不过是冰山一角,网民之所以如此震惊,只不过是因为一直被蒙在鼓里罢了。有知情人士称,“很多网站的数据库不知道在黑市中被贩卖了多少次了”。
有安全专家指出,这些数据泄露会造成蝴蝶效应,当过千万级的明文密码、真实邮箱、网上常用ID暴露,如果有心人通过数据挖掘是能做出很多恐怖的事情的。你的密码使用习惯被人知道,如生日、喜欢的人、手机号码等等。你的ID和真实邮箱被泄露,那么你在网上所有的一切都有可能被人肉搜索,想想暗地里有一双双窥私的眼睛盯着你,随时可能给你致命一击,这是多么可怕的事情。
东软网络安全副总经理曹鹏在其微博上表示:“最近这个月大量的用户密码信息被不断曝光,再加上实名制和掺杂个人信息的网络发帖使得人肉搜索更加容易,口令账号被窃取就意味着个人信息泄露的源头会被打开,多套密码加上多个马甲看来还是有必要的,另外就是网络世界也需要谨言慎行了。自己前段时间网络交易差点被骗,最后通过人肉搜索逼迫无赖就擒。”
资深安全顾问张百川在微博上道出了此次事件网民恐慌的原因,“CSDN暴露的仅仅是程序员为主体的密码,群体少,且相当一部分人的关键应用用的是不同密码;但是多玩、天涯等网站的用户都是普通网民,安全意识很薄弱。也许,很多人的密码被用来尝试邮箱、相册等,以及各种“云”系统:云盘、云CRM、云……网络时代,安全是个大问题。”
众多网民习惯于一个密码“走天下”,也就是说在多个网站上注册都使用相同的密码,这其中也许包括了网银、QQ、邮件等私密的密码。此次事件的爆发,互联网掀起了改密码狂潮,也让众多网民过了一个最忙碌的“冬至”。
中国黑客教父、元老,知名网络安全专家,绿色兵团创始人,COG信息安全组织创建人龚蔚则表示,黑客一开始或许是出于炫耀目的而向外公布网站数据库,网站安全问题是历史累积的,累积到一定时间就会爆发。同时他表示,网络犯罪投入成本低,隐蔽性强,所以打击起来有难度。因此,网民要有自我保护意识,设置密码时尽量不要使用简单单词,也不要一个密码在多个网站使用。
目前,多个网站开始预警提醒用户注意账号安全,建议用户尽快修改密码。此外,还提示用户设置的密码不要过于简单,建议新密码采用数字和字母组合的方式以增强安全性。有专家建议,尽量避免使用相同的用户名和密码来注册所有的账户,并采用经常更改密码的方式,来规避不可预知的风险。
事件反思
解决此次事件所带来的麻烦,仅仅改密码就够了吗?尽管众多上榜的网站均否认数据库被泄漏,但通过此次事件让网民对网站的安全性提出了质疑。暂且不论这些的网站出于什么动机去明文存储用户的密码。明文存储密码本身就是个致命的安全错误。有不少网民对此表示愤怒,“明文存储密码简直是坑爹。”
深圳大成天下公司网络安全技术专家吴鲁加认为,此次事件是黑客攻击导致数据整体泄露的事件。由于的数据泄露,对企业和用户实实在在地产生了重大的影响。吴鲁加用木桶来比喻互联网。他说,互联网用户的隐私短板,不再取决于单一企业,而是取决于所有这些握有大量用户信息的企业中的最短板。
近年来,由于金钱利益的驱动及非法地下交易市场,黑客攻击目标从普通用户转向具有更多用户资料的企业数据库,数据库的安全防护也一直被列为企业IT部门的重要工作之一,但是防范措施和安全投入却参差不齐。
北京明朝万达科技有限公司董事长王志海一语道破目前众多互联网对安全不重视的弊端,“CSDN这次泄密不是技术问题,是态度意识问题。”同时他指出,目前大部分人面对安全顾问,习惯的反应是我没有什么系统或数据需要保护的。CSDN事件再次警醒,我们现在最缺的不是什么先进的安全技术,而是基本的安全意识。如果能够实实在在地把现有安全措施用上,绝大部分安全事件都不会发生。
百度PHP高级顾问惠新宸则指出,安全意识是一个程序员的基本素养,它应该成为你的本能,时时刻刻地灌注到你的每一行可能产生tainted string的代码中。而不应该假手,依赖于安全工程师。
知名信息安全专家彭泉给出了防范之道:“我觉得最简单的就是让黑客即使触及到数据库也无法“看懂”,即对用户名、密码、邮箱、身份信息全部加密,而且变形加密,然后可再配合数据分散存储。”他感叹到,到目前为止,还未有此事件涉及的公司公布或说明数据库泄露过程的技术审计结果,这是此事件最大的悲哀。
通过此次中国互联网最大的用户数据泄露事件暴露出这些网站在运用各种方式吸引用户,增加网站注册人数、提升人气的同时,完全忽视了安全的必要性,无疑是对用户信息安全的公然漠视。此次事件给众多互联网企业及网站敲响了警钟。最后引用知名网络安全专家Coolfire的话:“身为程序员,不否认自己也曾犯过同样的错,某些小小系统仍使用明文存储密码,成本是主要考量。程序、心态都一起升级吧。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者