科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全调查始末:中国互联网最大规模用户资料泄露事件

调查始末:中国互联网最大规模用户资料泄露事件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2011年12月21日,中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件全面爆发。本文回顾了这次系列事件的始末及各方反应,探讨了网络安全和网络实名制问题。

来源:每日经济新闻 2012年1月6日

关键字: 数据库泄露 密码泄漏 网站安全

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  2011年12月21日,北京望京地区某酒店内正在召开的“CSDN微峰会”,因为CSDN总裁蒋涛的突然离席而中断。刚致完开场白,蒋涛的手机铃声猛然响起来,接完这个紧急电话后,蒋涛神情凝重地“逃离”了现场,耳边还回荡着电话中员工的那句话:“蒋总,网站600多万注册用户信息被黑客曝光!”

  与现实场景相对的虚拟网络世界里,CSDN网站中超过600万个注册邮箱账号和对应的明文密码数据库已经被曝光。这还不是最严重的,成为众矢之的的 CSDN泄露的600万密码只是沧海一粟,与其一道被“爆库”的还包括网易、人人、天涯、猫扑、多玩等多家大众网站及部分机构网站。

  自此,中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件全面爆发。

  风篇:泄密旋风

  蒋涛没有想到,2011年这个圣诞节成了中国黑客的狂欢日,随之而来的,是一场互联网界的噩梦。

  12月21日,360安全卫士在微博上披露,有黑客在网上公开CSDN网站用户数据库,包括600余万个明文注册邮箱账号和密码,请广大程序员(软件工程师)务必重视并尽快修改密码。CSDN创立于1999年12月,会员囊括了国内90%以上的优秀程序员。

  事实上,在360披露之前,CSDN数据的泄露就已经不是秘密。新浪某安全主管早在11月10日就透露,用户名密码泄露了的网站不只CSDN一家。

  据一位知情安全人士对 《每日经济新闻》记者透露,新浪还曾针对此事内部讨论过应对措施,包括如何加强用户现有密码的保护等。

  12月4日,专业安全网站 “乌云”(wooyun.org)上,就有ID为“臭小子”的用户发布了一份 “中国各大站点数据库曝光”的漏洞概要,其中就包括CSDN相关数据库。

  乌云在微博上称,“还觉得这些所谓的上市公司上市企业真的保护好了你提交的数据么?中国各大站点数据库曝光”。遗憾的是,除了少数安全圈人士,这则微博并没有引起太多用户的关注。

  有安全人士发现自己也“中招”了。在其注册使用的4个CSDN账号中,有两个账号名在盛大也注册使用,且密码同CSDN账号一致。通过对盛大通行证登录数据发现,4个账号都曾被尝试登录,其中有两个登录成功。

  作为国内IT技术社区CSDN的一把手,蒋涛清楚地认识到事态的严重性。他随即发表道歉声明,称外泄的CSDN账号数据基本上是2010年9月以前的数据,泄露原因正在调查之中。蒋涛也在第一时间同新浪、网易、腾讯等主要互联网公司取得联系,希望对方可以在第一时间内告知用户更改密码。

  12月22日,CSDN邀请了杭州安恒信息技术有限公司进行安全审计。资料显示,安恒信息曾被奥组委授予“奥运信息安全保障杰出贡献奖”。据一名当时参与审计的相关负责人士透露,安全审计组曾针对CSDN从外围进行了黑客模拟渗透机制,测试结果令人担忧,在不需要任何用户名、口令等的情况下,就能很容易地进入CSDN后台,并获取相关数据。“目前CSDN已经将相关技术漏洞修补完成。”该负责人士称。

  这次真正棘手的问题是,以往一向在黑客圈流传的内部数据被广大用户通过数据包下载而获得。

  “如果普通用户拿到这些信息,找一些认识人的密码,这是一件很可怕的事情。”蒋涛表示。

  事实证明,蒋涛的担忧并非没有道理。公开的数据包下载,也让好事者通过邮箱验证,成功进入别人的邮箱。

  12月28日,一名ID为“极品良粽”的用户在天涯论坛上曝料截图,其通过公开的数据包成功登录了演员董洁的邮箱及深圳卫视某员工的邮箱,还意外获知深圳卫视跨年演唱会的流程表中有关郎朗和韩庚的保险单。

  云篇:乌云是谁

  如果不是这起规模巨大的泄密事件,或许广大网民还不会如此迅速地知道这个叫做“乌云”的漏洞报告平台。

  从2011年12月4日最初的漏洞报告开始,原本名不见经传的乌云网,因近期一系列网站泄密事件而声名鹊起。该网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞。

  这是一个最初由几名从事安全行业的自愿者发起搭建的位于厂商和安全研究者之间的安全问题反馈平台,目前为非盈利。截至目前,共有500多位研究人员为120多个企业提交了接近4000个安全问题。

  据乌云相关负责人WooYun介绍,乌云平台最初招募了一些 “白帽子”(WhiteHat,即正面、合法的黑客,现实生活中的身份是安全专业人士——编者注),主要的安全研究人员包括互联网公司安全工程师、安全公司安全研究员以及安全技术爱好者,他们将发现的厂商漏洞问题提交乌云平台,由乌云平台告知厂商,乌云平台会事先设定一个月时间让厂商确认该漏洞以及修复问题,若一个月后厂商依然没有解决问题,乌云平台则将漏洞信息对外公布。

  “我们只是对白帽子前期的身份进行核实,而对于其反映的厂商情况,则需要厂商自己去核实。”WooYun表示。

  WooYun告诉《每日经济新闻》记者,他们发现,厂商对安全问题并不特别重视,采取的态度一般是忽略或者根本就矢口否认,而这也造成了越来越多的安全研究者不再主动向厂商提交安全问题。

  事实上,这种漏洞信息的披露是一把双刃剑。如果厂商没有足够重视而被黑客利用的话,可能会起反作用。这也意味着乌云平台的信息披露存在一定的风险,尤其在此次“泄密门”之后,乌云频频出击,身不由己地站上了风口浪尖。

  WooYun坦言,现有平台作业的确有不够完善之处,因此,12月30日,乌云网宣布暂时关站,进行系统升级。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章