金山泄密門

金山泄密門

金山泄密門起源於2011年12月21日,金山公司一名員工被疑從中國CSDN網站泄露出600萬用戶明文密碼,隨後網際網路多家網站被曝用戶密碼泄露事件,有報導甚至指出受害用戶上億,金山泄密門引發了網際網路用戶對密碼安全的恐慌。

事件簡介

2011年12月21日,有黑客在網上公開了CSDN網站(中國軟體開發聯盟)用戶資料庫,包括600餘萬個明文的註冊信箱帳號和密碼。

12月22日,網上曝出人人網、天涯、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網、178、7K7K等知名網站也採用明文密碼,用戶數據資料被放到網上公開下載。此次事件導致五千多萬用戶的用戶名信箱密碼遭到泄露。由於金山毒霸員工疑為隱私泄露源頭,金山自身資料庫也疑遭泄露,因此該事件被網友稱為金山泄密門

事件起因

金山公司員工的迅雷快傳頁面金山公司員工的迅雷快傳頁面

在CSDN用戶資料庫泄露事件中,最早在迅雷公開提供資料庫下載的是防毒公司金山毒霸的員工產品經理,其迅雷ID為hzqedison,他在12月21日把CSDN用戶資料庫上傳到了迅雷快傳(會員分享),該資料庫下載連結隨即在各大黑客論壇和QQ群中迅速傳開。
22日,“hzqedison”在其個人微博上發表致歉聲明,表示他在一個聊天群里看到CSDN的資料庫的迅雷下載地址,離線下載了該檔案來檢查自己賬號是否被泄露。為了讓同事們也檢查,才做了分享貼到同事群里。5分鐘後,該地址截圖被發到了烏雲漏洞平台上,得知後立即將迅雷分享地址刪除,且從未將資料庫檔案外泄。同時,稱該事件有某公司背後在推動,故意抹黑金山公司。

hzqedison的聲明立即引起CSDN策劃總監質疑,金山毒霸作為一家安全公司,在得知某些網站數據泄漏後,非但沒有提醒用戶不要下載,反而對泄密資料進行傳播,這不但有違安全公司的起碼準則,傳播泄密資料也涉嫌違法,並質問金山公司作為一家安全公司將泄密資料放在網上傳播究竟是何目的。

事件進展

截止2011年12月25日,360安全衛士官方微博發布紅色安全警報稱,CSDN、嘟嘟牛178遊戲網等多家網站近期被黑客公開用戶資料庫,已有超過5000萬用戶賬號和密碼在網上公開擴散。與此同時,金山等網路安全企業也啟動了紅色安全預警,

CSDN已發表聲明公開道歉,要求相關用戶立即修改密碼,還表示已向公安機關正式報案。

360公司還緊急推出了密碼安全鑑定器,許多網際網路企業也已通過各種方式提醒用戶修改密碼。360網路安全專家石曉虹指出,除CSDN外,已經通過技術驗證確認有其他網站用戶資料庫信息被泄露。

12月25日下午,天涯社區被爆料遭到黑客攻擊,4000萬用戶密碼遭到黑客泄露,與之前CSDN被泄漏的信息一樣,天涯被泄漏的用戶密碼全部以明文方式保存。同時,人人網、多玩網、貓撲、17173等網站相繼傳出被盜用的訊息。涉及用戶賬號安全的數據總量已達數億。

泄密內容

2011年12月,多家安全機構發布常見“弱密碼”榜單,“5201314”領銜國內最爛、最易被破解的密碼,而使用“123456”、“000000”、“111111”、“888888”的網民也不在少數。為便於記憶,大部分用戶存在一個密碼通行多個網站的習慣,甚至使用相同的信箱註冊不同網路服務,並且使用完全一樣的登錄密碼。黑客們只要拿到一個網站的用戶資料,就可以打開大多數其他網站的服務。

在驚恐自己的賬戶信息甚至個人信息有可能被泄漏的同時,有細心的網友發現了一些“木訥沉悶”的“宅男”“宅女”們心中的小柔情,網友戲稱某程式設計師因為CSDN用戶密碼泄露找到了真愛,因為發現暗戀的人把自己的名字寫進了TA的密碼里。
網友“mipengchong”:他暗戀了她好幾年,不敢表白。後來,他下載到一份CSDN泄露的用戶名密碼名單,習慣性的查找她的信箱,發現她使用的是iLOVE加自己名字的拼音作為密碼,感動得無以復加時電話響起,她在電話那頭顫抖著說:傻瓜,我看到了你的密碼。
網友“天涯浪子0714”:暗戀的女孩原來在一單位工作,下載到一份csdn的資料庫,直接查到她的賬號,密碼居然是我從前的手機號碼,我給她打了個電話,她在那頭哭了。

各方回應

CSDN網站

金山員工致歉信截圖金山員工致歉信截圖

2011年12月21日,CSDN在網上發表了致歉聲明,聲明中稱CSDN網站早期使用過明文密碼,後來的程式設計師始終未對此進行處理。2009年4月程式設計師修改了密碼保存方式,改成了加密密碼。聲明中表示,CSDN帳號資料庫從2010年9月開始全部都是安全的,9月之前的有可能不安全,泄露原因正在調查中。

金山公司

關於金山網路員工所謂涉嫌CSDN密碼庫黑客事件聲明

今日(12月23日)網上有傳言稱金山網路員工hzqedison為CSDN密碼庫黑客,經過認真詳細調查,結果如下:

1、hzqedison絕非傳言中所謂黑客,事實上hzqedison也是在12月21日中午密碼庫事件爆發後1個半小時,從微博、迅雷等公開渠道間接獲得此前已廣泛流傳的密碼庫;

2、hzqedison在通過公開渠道獲得該密碼庫後,也絕無主動進行傳播,事實上hzqedison生成的分發連結僅供身邊少數同事自查,但不慎被外人獲知;

3、hzqedison在獲知該連結已被外人獲知後,迅速刪除了該連結,據刪除前統計,該連結僅被不超過5個的同事下載,並未造成擴散;

4、根據目前掌握的情況,早在12月4日,一位ID為“臭小子”的黑客就已將密碼庫公開到漏洞網站烏雲網上。

5、金山網路已將所掌握的情況主動向公安機關反饋,全力配合追查黑客。

人人網

根據CSDN網站的官方聲明,CSDN的大量用戶名和密碼被曝光。如果您的人人網賬號密碼和CSDN或其他網站一致,建議您馬上修改密碼,以免賬號被盜。

官方回應

國家網際網路應急中心12月22日發布的《關於CSDN中文社區用戶賬號密碼泄露的安全公告》指出,網上泄露的CSDN用戶資料庫為2009年4月前的用戶資料庫,用戶賬戶密碼採用明文存儲。CSDN在2009年4月已經升級系統,使用加密方式保存用戶賬戶密碼信息,因此最新的用戶資料庫尚未發現類似安全問題。儘管如此,國家網際網路應急中心已經要求CSDN儘快採取應對措施,查找並修復系統安全隱患,規範網站管理措施,對用戶提供應急處理協助。

防盜指南

1、請注意在上述有關網站(但不僅限於)及時更改密碼,以防被破。
2、請將與上述網站(但不僅限於)中註冊信息相同的其他網站一併修改密碼,以防被破。
3、請注意設定較為複雜的密碼,在不同網站儘量用不同的註冊信息。
4、不要在多個賬號上使用同一密碼。

相關詞條

相關搜尋

熱門詞條

聯絡我們