在迎接2012的最后几天里,中国的互联网世界上演了一出史上规模最大的泄密事件。一时间,各大网站及互联网用户人人自危,“今天你密码泄露了吗”成为流行网络的问候语。
在迎接2012的最后几天里,中国的互联网世界上演了一出史上规模最大的泄密事件。
从CSDN、天涯等论坛社区,到人人网、开心网、多玩网等多个社交、游戏网站,再到京东商城、当当网、淘宝网等电子商务网站,均牵涉其中。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。
一时间,各大网站及互联网用户人人自危,“今天你密码泄露了吗”成为流行网络的问候语。创新工场旗下安全宝公司推出的用户密码查询框,在短短几天内查询数就超过了180万人次。
国家互联网应急中心(CNCERT)发布的数据显示,截至2011年12月29日,国家互联网应急中心通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
财新《新世纪》了解到,泄密事件发生后,国家工业和信息化部已经启动应急预案,组织通信管理局、国家互联网应急中心及相关互联网企业和网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。
但事实上,CSDN、天涯等多家网站的用户数据库被盗,已经不是最近才发生的事件,大爆发只是黑客集中的披露行为而引发——这些被抛出来的,只是几乎榨干了所有价值的过期数据库。
大泄密
“我们深表歉意,建议修改密码”
引爆整个事件的导火索,是CSDN用户数据库的“意外”曝光。2011年12月21日,有网友在微博上爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露——数据库正在网上快速扩散。
CSDN的创始人蒋涛,也是当天在微博上看到了这条信息。“第一反应就是确认是不是真的。”蒋涛对财新《新世纪》记者回忆称,工程师从网上找到那个文件,“和我们的数据库比对下来,很不幸,确实大部分都是。”
12月21日晚间,CSDN在其网站及官方微博上确认了数据库泄露一事:“近日发生了CSDN部分用户数据泄露事件,对此我们深表歉意,同时恳切地建议2010年9月之前的注册用户和没有修改过密码的用户,尽快修改密码。”
通知用户的同时,CSDN紧急对下载源进行封堵。“微博扩散的速度太快了,这么多的账号在里面,如果数据库扩散到了几万、几十万人的手上,你都不敢想象它能被利用成什么样子。”蒋涛很快联系上了腾讯和迅雷,要求关闭和重置下载源。腾讯和迅雷也快速做出了响应。
蒋涛承认:“到那个时候已经很难挡住了,虽然关掉了下载点,但是文件已经出去了,在点对点的传输上,就很难控制住了。”
随后的几天,CSDN的数据库与其他后续爆出的数据库一道,依然在网上被疯传。在这期间,CSDN联系了邮件厂商,一同发送邮件给用户提醒修改密码。“我们自己发送了200多万封,邮件厂商帮忙发了300多万封。”
然而,潘多拉魔盒已经打开,CSDN数据库的泄露仅仅是个开始。“没想到后面的事情越来越大,已经到了不可收拾的程度。”蒋涛说。
12月22日,知名IT博客“月光博客”披露,多玩网数据库泄露超过800万条信息,有大量用户名、明文密码、邮箱及部分加密密码。“经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。”
同日,标注为“人人网500万用户资料”的文件开始在网上流传,嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上,涉及的用户信息总量超过5000万条。但人人网否认用户数据遭到泄露,他们在官方微博上提醒称,“如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。”人人网相关人员在接受采访时表示,提醒用户只是出于安全考虑。
12月25日,泄密规模进一步扩大,网络上开始流传天涯论坛的用户数据库,信息总量超过4000万条。随后,这一新闻被天涯社区官方致歉信证实:由于历史原因,天涯社区早期使用明文密码,在2009年11月改成加密密码,但是部分老的明文密码库未被清理,黑客泄露的正是2009年11月升级密码保存方式之前所注册的用户。不过天涯社区并未在公告中对泄露的用户规模进行确认。天涯社区公关经理初蒙在接受财新《新世纪》记者采访时表示,确认用户信息遭泄露后,已经向海南省公安厅、海口市公安局报案,案件目前正在侦查之中。
12月26日,网上又传出某微博的用户资料疑似被泄露,并公布了某微博数据下载地址。这个疑似数据库一共有约476万条账户和密码信息。
此后,泄密事件继续发酵升级,传闻开始波及到电子商务及银行系统。12月27日,乌云漏洞报告平台披露京东商城的漏洞,“在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括姓名、地址、电话、Email等。”这一漏洞报告得到了京东商城方面的响应。
12月28日,“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实。当当网的公告称:“经核实,网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。”
乌云漏洞报告平台在12月28日也再次报告称,“支付宝用户大量泄露,被用于网络营销,泄露总量达1500万-2500万之多,泄露事件不明,里面只有支付宝用户的账号,没有密码”。支付宝随后回应称,支付宝账号不是私密信息,在很多地方都可以搜集到,只有账号没有密码,对用户资金安全没有任何威胁,“支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有,以后也没有,请大家放心”。
但12月29日,更吓人的消息又在网上疯传:交通银行、民生银行分别泄露用户资料7000万和3500万份,“卡号、姓名、密码都有”,并配有截图。当天下午,交通银行、民生银行、工商银行等分别发布公告辟谣,称“用户资料外泄的传闻纯属谣言”。
当日晚间,又有网友披露称,广东省公安厅出入境政府服务网网上申请数据泄露,几乎所有提交网上申请用户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息均可查到,泄露的总信息量高达444万条。这一信息被广东省公安厅证实:2011年6月24日至2011年12月29日期间,在广东申请出入境的用户信息遭到泄露。
仅仅一个星期,泄密已经从CSDN一家网站的危机演化成为了席卷整个互联网的大事件。一时间,各大网站人人自危,真假数据库屡屡出现。国家互联网应急中心对所曝光的数据进行了抽查核实,发现部分数据是有效的,经过与相关网站、论坛联系后,确认CSDN社区、天涯社区两家网站发生了用户数据泄露事件,但泄露原因还有待进一步分析;对于其他网站、论坛,虽然曝光数据中个别条目有效,但不能判定发生了网站、论坛用户数据泄露事件。
金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条的用户信息在此次事件中泄露。
一位不愿具名的网络安全工程师也向财新《新世纪》记者证实,经过重合度分析、数据库格式判断等验证分析,基本可以断定“有十几家网站的数据库比较靠谱,应该是真实的”。
大规模用户数据泄密后,各种“浑水摸鱼者”也随之而来。蒋涛告诉财新《新世纪》记者,一些人开始制造假的数据库来混淆视听;一些网站通知所有用户修改密码,以乘机激活“沉睡”用户;甚至一些网站把曝光的数据库直接导入自己的数据库,然后发通知给用户修改密码,不费吹灰之力即获得上千万规模的用户。当然,对用户影响最直接的是各种垃圾邮件、钓鱼邮件多了起来。
真正令人担心的是,或许还有更大规模的数据被地下黑客所掌握,只是没有公布而已。著名网络安全专家龚蔚(goodwell)公开表示,这次曝光的1亿多条用户账号及密码等相关信息,只是黑客所掌握数据的“冰山一角”,预计有将近4亿-6亿的用户账号信息在黑客地下领域流传。
偶然中的必然
“这些数据库在黑客圈几年前就有了,这一次只不过是个比较集中的爆发”
是谁,在什么时候,拿走了这些涉及用户隐私的数据?原本隐秘在黑客圈的数据库缘何会曝光在公众面前?互联网是否还有安全可言?此轮网络大泄密,让这些问题成了普通互联网用户最自然的追问。
“这些数据库在黑客圈几年前就有了,这一次只不过是个比较集中的爆发。”安全宝CEO马杰对财新《新世纪》记者称,CSDN数据库的曝光看似偶然,实则必然。“冰冻三尺非一日之寒,互联网行业安全问题的累积已经太多了,迟早会爆发。”马杰在安全行业超过十年,曾任瑞星研发总经理,负责个人和企业的安全产品。
这也是网络安全行业人员近乎一致的观点。天融信公司高级安全顾问吕延辉向财新《新世纪》记者证实,最早在2008年时,就曾听说有一些网站的数据库在黑客圈流传。
本次密码信息最先被公布的CSDN社区,后来曾组织安全专家进行讨论,得知公司的数据库事实上早就在黑客的手上了。“并不是说这一刻先攻破了CSDN,放出数据库,然后下一刻攻破了天涯再放出数据库。而是这些数据他们手上一直都有,只不过抛出来的时间不一样。”蒋涛说。
天融信成都分公司技术负责人邹晓波称,早期的很多网站,都可以通过服务器渗透,取得后台数据库的权限,直接取得数据。“黑客圈内人都知道谁被盗了,他们不一定公布,但是会炫耀,在小范围内流传,大部分没有去获利。”
CSDN社区数据库的曝光,曾经被指向一名ID为Hzqedison的金山公司员工,他分享数据库下载地址的截图最早在网上流传。12月22日,CSDN数据库外泄一事被广泛关注的时候,Hzqedison在微博表示道歉。随后,金山公司也发表声明,金山员工并非网络上传言的黑客,并非最早对外发布密码库的第一人。
Hzqedison解释了事情的经过:“12月21日,我在一个聊天群里看到CSDN数据库的迅雷下载地址,就离线下载了该文件来检查自己账号是否被泄露。为了让同事们也检查,才做了分享贴到同事群里。5分钟后,该地址截图被发到了乌云漏洞报告平台上,得知后我立即删除了迅雷分享地址。因为删除很及时,该地址只有几名同事下载过,而且从未将数据库文件外泄。”
李铁军告诉财新《新世纪》记者,据他了解,当时该金山员工上传CSDN数据库时,是“秒传”的,说明这个数据库文件在迅雷下载服务器中早已存在。
“是谁最早上传了这些数据库,现在已经很难确定。”李铁军说,除了CSDN的数据库,还有其他网站的数据库一起在网上流传。因为CSDN的影响力比较大,所以就传开了。
事实上,CSDN数据库曝光之前已有征兆。李铁军告诉财新《新世纪》记者,他在12月14日前后,即泄密事件发生的前一周,就已经注意到有很多网友在微博上反映账号被盗,“这是黑客在用数据库去试探某微博的数据库,有些就撞到了”。
马杰分析,这次曝光的网站数据库应该是最近几年间连续不断被刷库的。“安全圈也知道,这几年地下黑客圈在刷库,也知道一些数据库在黑客圈流传。”
所谓刷库,是指黑客入侵网站服务器之后窃取用户数据库的行为,互联网业内也称其为“拖库”,取其谐音,也形象称之为“脱裤”(参见辅文“致命的漏洞”)。
看上去,金山员工“偶然”的发现和分享,加上地下黑客累积经年的刷库行为,以及数据库在圈子中的一轮轮扩散,最终促成了这次网站数据库大规模的曝光。
但是,这里面依然隐藏着两个问题。第一,金山员工如何能“偶然”发现原本在地下黑客圈流传的数据库?第二,仅是CSDN的数据库曝光,缘何能引发一连串的数据库浮出水面?
地下黑客圈传输或交换文件,一般都是点对点的传输,有时甚至通过邮寄移动硬盘或光盘来实现。但随着被刷的数据库越来越多,转手的次数越来越多,参与的人数也越来越多,出错和曝光的概率就越来越大。
乌云漏洞报告平台的创建人剑心分析说,由于不同黑客掌握的数据库各有不同,刷出来的数据库会在黑客圈中交换,这样就会一轮一轮的扩散。很有可能是某个人在转手传播的过程中,由于文件太大,无法实现网络上点对点的传输,不得不利用迅雷、网盘一类的工具进行上传和下载。在这过程中,工具会把这些文件泄露出来,甚至会在搜索“数据”等关键词时出现推荐。这样扩散的范围就更大,进入与黑客圈有交流的安全圈也就不足为奇了。
至于网站用户密码连续被报丢失的现象,吕延辉解释说,一些数据库曝光之后,黑客手中那些与之雷同的数据库就没有价值了。并且,引发公众关注后,基本所有网站都会通知用户修改密码,政府相关部门可能还会介入,那么其他的一些非核心数据库的价值也就更低了。
吕延辉表示,可以看出来,这次曝光的数据库都是在地下黑客圈转手很多次的,本身价值也不大,再加上CSDN数据库的曝光,其他数据库的含金量进一步降低,那些手上有库的人抛出来也不奇怪,这才形成了一连串的规模效应。
脆弱的网站安全
互联网从提供内容为主发展到有很多网上购物与社交,但安全现状停步不前
泄密事件,将众多网站在安全方面的脆弱暴露无遗。知名网络安全专家、安天实验室首席技术架构师江海客直言,这是一个安全崩盘的时代。
安全圈内资深人士的共识是,被黑客攻击和刷库,各大网站几乎是无一幸免,只是程度和范围的不同。在做安全行业的人看来,目前大部分网站的安全性都不足。“这一次表面上看是明文密码库的问题,但实际上多数网站从根本上都没有重视自身的信息安全。”天融信公司副总裁刘辉对财新《新世纪》记者表示,网站把绝大部分资金投入到日常运营中,只有被攻击或吃过教训后,才想%
ЫЫ
未经允许不得转载:综合资讯 » 中国的互联网世界上演了一出史上规模最大的泄密事件