中国互联网史上最大泄密事件的影响仍在进一步扩大。继12月21日上午,有黑客在网上公开CSDN网站的用户数据库,导致600余万个注册邮箱账号和与之对应的明文密码泄露之后,昨天,又有天涯、新浪微博、腾讯QQ、人人、开心网等知名网站的用户称密码遭网上公开泄露。来自奇虎360的最新监测发现,目前网上公开暴露的网络账户密码超过1亿个。
天涯社区
公开致歉已经报案
“我在天涯的账号已经被黑,无法登录。”昨天,著名编剧宁财神在微博上宣布自己的天涯账户被盗,无法使用。除了宁财神,龙猫蓓、A弄月公子、蕊小蕊、东方_chi等众多新浪微博用户都称发现自己的天涯账号于近几日被盗。
更严重的是,密码被盗后,账户被黑客用来恶意发帖或进行诈骗。新浪微博用户“成都电台陈露”表示,他的天涯账号被盗后,被人用来在天涯的“情感天地”发了很多广告,导致助理版主将他的账号直接封掉,而他无法和天涯社区的相关版主进行沟通,澄清广告并不是自己所发,也无法要回账号,十分着急。
对于天涯用户账号“被泄密”的规模,互联网漏洞报告平台“WooYun”昨天对外宣称,根据他们的监测,天涯社区有4000万用户的明文密码 (即用户密码什么样,网站数据库就存成什么样)已泄露,“WooYun”漏洞报告平台还公布了天涯被泄露的部分用户密码信息截图。
昨天,天涯社区在网站首页挂出公告,称天涯已就用户数据泄露一事向公安机关报案,目前尚未确认具体的泄露数据规模及原因,但应该低于网上盛传的 4000万这一数字。可以确定的是,天涯社区与CSDN用户数据库泄露事件如出一辙,这次天涯社区遭公开的用户密码,同样是以明文方式来保存的。天涯方面表示,此次被盗的数据为2009年之前的备份数据,2010年之后,公司升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了用户账号的各种安全性问题。天涯方面还通过微博、邮件、手机短信、客服中心、媒体呼吁等多种渠道向用户公开致歉,并将有针对性地提醒和帮助用户更新或找回密码,尽可能地将用户损失降至最低。
“此次用户数据被泄露虽然不是针对天涯社区一家网站,但确实给我们敲响了警钟。”天涯社区总裁邢明呼吁互联网同行、相关监管机构及政府部门直面互联网诚信及安全问题,共同携手为建立一个可信任的互联网环境努力。
新浪微博
数据加密并未被盗
除了CSDN和天涯,昨天,许多腾讯QQ、新浪微博、人人网用户也反映自己的账户和密码被公开在网上,甚至有的账号还被用来诈骗。还有网友称新浪微博用户资料疑似被泄露,并公布了疑似被盗的新浪微博数据库下载地址,该网友上传的数据库文件显示,共有超过476万个用户账户和密码被泄露。
昨天,新浪微博对此回应称,新浪微博用户账号信息采用加密存储,并未被盗。经核实,网友上传的数据绝大部分不是新浪微博账号,“极小部分新浪微博用户因使用和其他网站相同的账号密码,可能导致其微博账号不安全。新浪已对这部分用户做了保护,并提醒所有用户尽快进行账号安全设置”。
人人网昨天也澄清称,自建站以来,人人网从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露。但由于部分用户使用同一个用户名和密码来注册其他网站,所以其人人网账户也有被盗的风险,人人网提醒所有与CSDN相同账号密码的互联网用户及时修改密码。
腾讯方面昨天发布声明称,已对泄密的QQ邮箱账号限制登录,请这部分用户登录时根据提示,在QQ安全中心使用密保工具箱来修改密码,同时建议用户定期修改密码,尽量不要在多个重要账户中使用雷同密码,避免账号被盗。
新浪微博
专家说法
明文密码是罪魁祸首
“都是明文密码惹的祸。”对于此次互联网泄密风波,360网络安全专家石晓虹指出,最不安全的数据保存方式就是直接存储明文,一旦数据库泄露,黑客就可直接掌握所有密码。有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,近期被黑客公开的密码数据库大多属于此类情况。据他判断,这些数据库实际上已经泄露了一定的时间,只是在今年底被黑客密集曝光罢了。
互联网安全专家董朋鸣指出,在此次事件中,在黑客产业圈中被卖了多年的数据都被拿了出来,这至少证实了网络安全行业历年来的安全警告并非空穴来风,希望IT行业和用户的安全意识能通过这次事件有一个较大的提升。
石晓虹认为,在网络安全方面,国内立法相对还较为滞后,对黑客盗取网站数据的行为目前在法律上取证较难,犯罪成本相对较低,因此迫切需要加快信息安全立法。
上海律师协会信息网络与高新技术业务委员会主任商建刚表示,在互联网时代,每个网民都不应主动去搜集和偷窥他人的隐私。目前刑法修正案中对于盗取用户信息其实已有明确规定,偷窃、倒卖数据库属于违法行为,近年来国内已出现过多起因偷盗网游公司账号而受到法律惩处的案例。
本报记者 李斌 周琦