行业动态 Industry dynamic
当前位置:首页 > 新闻中心 > 行业动态
网友称冬至为改密码日 密码外泄门持续发酵
发布日期:2011-12-23 阅读次数:657 字体大小: 标签:CSDN用户数据库600万用户改密码日

前日,有网友反映称CSDN的用户数据库被黑,600余万用户资料被泄露,CSDN网站证实了这一事故。

昨日,此事急剧升温,人人网、开心网、天涯社区、世纪佳缘、百合网、美空网等网站的“密码集”也先后出现在网络上,受影响的网站预计达数十家。网易邮箱,人人网,开心网等常用邮箱和SNS网站都先后发出通知,建议用户修改密码。这一天也被网友们戏称为“互联网的冬至”,“改密码日”。

网友称冬至为改密码日 密码外泄门持续发酵

专家表示,此次失窃的只是密码集,用户只要及时修改密码即可避免隐私失窃,因此不用恐慌。但用户修改密码只是“治标”,网站改变数据存放策略才是“治本”。

缘起

密码外泄紧急发布声明

前日下午,有网友曝出CSDN的用户数据库被黑,600余万用户资料被泄露,CSDN官方随后证实了此事,称此数据库系2009年CSDN作为备份所用,目前尚未查明泄露原因。CSDN随后向用户发表了公开道歉信,并称已向公安机关报案,现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。

事情发生后,CSDN展开了紧急处理程序,并在CSDN官方微博和官方网站针对此事做了公开道歉,并在声明中表示:“1.如果是2009年4月以前注册的帐号,且2010年9月之后没有修改过密码,请立即修改密码;2.如果是2009年4月以后注册的帐号,且2010年9月之后没有修改过密码,建议修改密码;3.如果是2010年9月以后注册的帐号,不必修改密码,但邮箱有泄露可能性。”

昨日,CSDN创始人蒋涛在微博上发布了最新的处理进展。他表示:“关于泄漏密码的处理进展:1.在CSDN上重置所有相关用户密码登录,并发邮件通知;2.联系国内主要邮件服务商通知相关用户修改密码,感谢QQ邮箱、163邮箱团队的鼎力支持;3.配合公安机关追查数据泄漏源头和相关传播者。请CSDN所有2010年9月前注册的用户修改相关密码。”

业内人士调查显示,最先泄露完整数据包的是一个名叫hzqedison的微博用户,他在迅雷快盘上分享了大小104.85M名为“CSDN-中文IT社区-600万.rar”的文件,后经下载证实确实为CSDN泄密数据包。而hzqedison发现事态严重性后,删除了该分享链接。

余波

多网站提醒用户更改密码

昨日,密码泄露愈演愈烈。继CSDN用户数据库泄漏之后,黑客开始公开更多国内网站的用户数据库,昨日,先后有疑似多玩游戏、人人网、78、嘟嘟牛、猫扑等网站的用户资料先后出现在网上,目前这些文件已经在网上流传,大量用户正在下载。

为查实这些密码真实性,记者先后下载了多玩网和人人网的密码数据库,解压后发现就是两份普通的TXT文件,可以直观的看到用户名、密码、邮箱等信息,记者随机选取了多玩网密码数据库中的三个用户名和密码,发现都可以正常登录多玩网,但人人网数据库中的用户名和密码记者尝试了四至五个均没有成功,因此这些泄漏库的真伪有待进一步验证。

业内人士估计,受到此次CSDN数据库影响的网站将达数十家,新浪微博、网易邮箱、人人网、开心网、多玩游戏、天涯社区、世纪佳缘、百合网等网站均有可能被牵扯其中,如果这些网站的用户使用了和CSDN网站相同的账号和密码,将有可能给不法分子利用。

昨日,人人网的官方微博称:“根据CSDN网站的官方声明,CSDN的大量用户名和密码被曝光!如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。人人从上线开始就没有记录明文密码。在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改。”

开心网的官方微博也称:“鉴于多家网站爆出用户资料被黑客公布的消息,开心网建议广大用户:如果有网站用户名与密码被盗,请及时更改其他网站上的用户名和密码。黑客会用盗来的用户名和密码来探测其他网站,如果用户在不同网站上使用的用户名和密码都相同,一旦泄露一个,其他的也容易被探测出来。”

专家建议

设置密码要分级

对于密码安全的问题,在中关村打拼多年的IT专家李尚在接受南方日报记者采访时指出,用户设置密码时要按使用频度和重要性不同来分级,比如论坛账号,游戏账号,支付账号的密码一定要分开,且都不要设置得太简单,这样才能避免一家网站密码失窃导致个人的整个网络安全都不保的情况。

此次CSDN事件后,有人写了一个小程序,统计了这次公布的6428632个密码,统计结果显示有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23.5万人使用它作为密码。“有人说最简单的密码最安全,其实不对,最简单的最不安全。”

李尚同时指出,注册用户及时更改自己的密码只是“治标”的方法,而想要“治本”,需要CSDN等一系列网站立即改变数据存放策略,使用数据库加密功能对密码等敏感信息加密,“这个功能很多数据库都支持,不知道CSDN为什么就没用,这事也给其他网站一个警示,数据库加密刻不容缓。”