2011年12月21日,北京望京地区某酒店内正在召开的“CSDN微峰会”,因为CSDN总裁蒋涛的突然离席而中断。
刚致完开场白,蒋涛的手机铃声猛然响起来,接完这个紧急电话后,蒋涛神情凝重地“逃离”了现场,耳边还回荡着电话中员工的那句话:“蒋总,网站600多万注册用户信息被黑客曝光!”
与现实场景相对的虚拟网络世界里,CSDN网站中超过600万个注册邮箱账号和对应的明文密码数据库已经被曝光。这还不是最严重的,成为众矢之的的CSDN泄露的600万密码只是沧海一粟,与其一道被“爆库”的还包括网易、人人、天涯、猫扑、多玩等多家大众网站及部分机构网站。
自此,中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件全面爆发。
风篇:泄密旋风
蒋涛没有想到,2011年这个圣诞节成了中国黑客的狂欢日,随之而来的,是一场互联网界的噩梦。
12月21日,360安全卫士在微博上披露,有黑客在网上公开CSDN网站用户数据库,包括600余万个明文注册邮箱账号和密码,请广大程序员(软件工程师)务必重视并尽快修改密码。CSDN创立于1999年12月,会员囊括了国内90%以上的优秀程序员。
事实上,在360披露之前,CSDN数据的泄露就已经不是秘密。新浪某安全主管早在11月10日就透露,用户名密码泄露了的网站不只CSDN一家。
据一位知情安全人士对每日经济新闻》记者透露,新浪还曾针对此事内部讨论过应对措施,包括如何加强用户现有密码的保护等。
12月4日,专业安全网站 “乌云”(wooyun.org)上,就有ID为“臭小子”的用户发布了一份 “中国各大站点数据库曝光”的漏洞概要,其中就包括CSDN相关数据库。
乌云在微博上称,“还觉得这些所谓的上市公司上市企业真的保护好了你提交的数据么?中国各大站点数据库曝光”。遗憾的是,除了少数安全圈人士,这则微博并没有引起太多用户的关注。
有安全人士发现自己也“中招”了。在其注册使用的4个CSDN账号中,有两个账号名在盛大也注册使用,且密码同CSDN账号一致。通过对盛大通行证登录数据发现,4个账号都曾被尝试登录,其中有两个登录成功。
作为国内IT技术社区CSDN的一把手,蒋涛清楚地认识到事态的严重性。他随即发表道歉声明,称外泄的CSDN账号数据基本上是2010年9月以前的数据,泄露原因正在调查之中。蒋涛也在第一时间同新浪、网易、腾讯等主要互联网公司取得联系,希望对方可以在第一时间内告知用户更改密码。
12月22日,CSDN邀请了杭州安恒信息技术有限公司进行安全审计。资料显示,安恒信息曾被奥组委授予“奥运信息安全保障杰出贡献奖”。据一名当时参与审计的相关负责人士透露,安全审计组曾针对CSDN从外围进行了黑客模拟渗透机制,测试结果令人担忧,在不需要任何用户名、口令等的情况下,就能很容易地进入CSDN后台,并获取相关数据。“目前CSDN已经将相关技术漏洞修补完成。”该负责人士称。
这次真正棘手的问题是,以往一向在黑客圈流传的内部数据被广大用户通过数据包下载而获得。
“如果普通用户拿到这些信息,找一些认识人的密码,这是一件很可怕的事情。”蒋涛表示。
事实证明,蒋涛的担忧并非没有道理。公开的数据包下载,也让好事者通过邮箱验证,成功进入别人的邮箱。
12月28日,一名ID为“极品良粽”的用户在天涯论坛上曝料截图,其通过公开的数据包成功登录了演员董洁的邮箱及深圳卫视某员工的邮箱,还意外获知深圳卫视跨年演唱会的流程表中有关郎朗和韩庚的保险单。
云篇:乌云是谁
如果不是这起规模巨大的泄密事件,或许广大网民还不会如此迅速地知道这个叫做“乌云”的漏洞报告平台。
从2011年12月4日最初的漏洞报告开始,原本名不见经传的乌云网,因近期一系列网站泄密事件而声名鹊起。该网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞。
这是一个最初由几名从事安全行业的自愿者发起搭建的位于厂商和安全研究者之间的安全问题反馈平台,目前为非盈利。截至目前,共有500多位研究人员为120多个企业提交了接近4000个安全问题。
据乌云相关负责人WooYun介绍,乌云平台最初招募了一些 “白帽子”(WhiteHat,即正面、合法的黑客,现实生活中的身份是安全专业人士——编者注),主要的安全研究人员包括互联网公司安全工程师、安全公司安全研究员以及安全技术爱好者,他们将发现的厂商漏洞问题提交乌云平台,由乌云平台告知厂商,乌云平台会事先设定一个月时间让厂商确认该漏洞以及修复问题,若一个月后厂商依然没有解决问题,乌云平台则将漏洞信息对外公布。
“我们只是对白帽子前期的身份进行核实,而对于其反映的厂商情况,则需要厂商自己去核实。”WooYun表示。
WooYun告诉每日经济新闻》记者,他们发现,厂商对安全问题并不特别重视,采取的态度一般是忽略或者根本就矢口否认,而这也造成了越来越多的安全研究者不再主动向厂商提交安全问题。
事实上,这种漏洞信息的披露是一把双刃剑。如果厂商没有足够重视而被黑客利用的话,可能会起反作用。这也意味着乌云平台的信息披露存在一定的风险,尤其在此次“泄密门”之后,乌云频频出击,身不由己地站上了风口浪尖。
WooYun坦言,现有平台作业的确有不够完善之处,因此,12月30日,乌云网宣布暂时关站,进行系统升级。
电篇:金山闪现
或许是炫耀,或许是冲动,对于金山毒霸产品经理韩正奇来说,此次被外界质疑其是泄密源头的经历足以让他终生难忘。
与其说韩正奇是此次泄露用户信息的源头,还不如说,今天的安全工作者需要重新审视安全工作的准则,重新思考如何保证隐秘的用户数据库不被暴晒在阳光下。
CSDN数据泄密的当天下午3点,金山内部的工作聊天群中的一群安全师正在讨论刚刚在微博上曝光的CSDN数据库泄露一事。
韩正奇从一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。当他把QQ群内迅雷专用工具下载的链接转换成迅雷快传的下载链接,试图发到一个朋友QQ群时,意外发生了。
仅仅几分钟,韩正奇传的文件就在乌云网上出现了截图。这也让韩正奇成为网络上被 “千夫所指”的“黑客”。
事后,韩正奇在声明中说,“关于无意传播了CSDN泄露的用户数据,我要深深地向所有受到困扰的网民说一声 ‘对不起’,作为安全厂商的员工,我深知自己做了一件错事,无意识在网上将下载的用户资料作了分享。该事件导致众多网民心里恐慌,我内心也十分不安,本身事情我也是受害者。”
韩正奇说,他在意识到问题后,立即将迅雷分享地址删除。由于删除及时,该地址只有几名同事下载过,且从未将数据库文件外泄。
“做错事要承认错误,但网上称我最早在迅雷泄露了用户数据,这不是事实,是污蔑,因为我下载前就已有分享地址;还有人称我是黑客,其实我和几位同事的账户名和密码均被曝光 (邮箱后缀为kingsoft.com),黑客是绝不会曝光自己的。更有人抹黑金山公司,这些纯粹是别有用心,是某公司背后在推动。”
虽然上述声明不足以消除外界对于韩正奇是此次泄密门主角的猜测,但蹊跷的是,韩正奇使用的互联网IDhzqedison是被谁对号入座的?事实是否如韩正奇所说,是有人要抹黑金山,或者是有竞争对手在背后推动,尚无从得知。
另一方面,一位金山内部人士对每日经济新闻》记者表示,该公司竞争对手360已经在当天12时33分官方微博发布CSDN数据库泄露的消息,随后微博、论坛和QQ群中均有众多网民在传播该数据库。
雷篇:迅雷悬疑
种种迹象表明,此次被曝光的用户信息早已在黑客世界中暗暗流通,但是,缘何突破了那个神秘圈子并闯入了公众视线?截至目前,“泄密门”事件的始作俑者在网警和有关部门的介入下,依然无解。
戏剧化的一面是,有业内人士认为,在这次大规模“爆库”事件中,迅雷扮演了一个重要角色。
一位不愿透露姓名的安全专家认为,此前黑客均通过邮箱内部交流“黑”来的数据库,但一些人通过迅雷离线下载或高速通道下载,这些数据库就保留在了迅雷服务器。当其他用户使用迅雷下载时,通过“相关推荐”功能把黑客用来内部交流的数据下载了下来。如此往复,导致被爆的库越来越多,以至于所有数据大白于天下。
为了摸清其中缘由,每日经济新闻》记者下载了版本号7.2.4.3312的迅雷下载软件,并随即用其下载了一个编程程序。下载过程中,迅雷在其相关推荐栏里给出了 “CSDN-中文IT社区-600万.rar”下载地址。
为了进一步说明问题所在,记者试图下载和被泄露数据库无任何关联的一款名为剑灵》客户端游戏,令人意外的是,在迅雷下载的右边有相关推荐提示“使用了此链接的用户还使用了如下链接”,是一份名为 “280w-zur-u-e-p-R.kz”的文件,尝试下载该文件时,显示其为泄露的数据库文件,而该文件右边相关推荐又再次显示另外29份黑客泄露的数据库文件。
值得注意的是,此现象在迅雷7.1版本中并不存在。每日经济新闻》记者尝试了其他下载工具,均没有类似相关推荐提示。
“迅雷7.2的相关推荐,可能是揭秘黑客关系链的有效证据。”上述不愿透露姓名的安全专家表示。
上述猜测也得到WooYun的认同。WooYun认为,起初黑客私下交流的数据 (最初的交流工具可能是QQ邮箱),而后被迅雷7.2意外泄露,由于参与下载的人越来越多,众多网盘已成为分享数据库的载体。
针对上述问题,迅雷在针对每日经济新闻》的官方回应中称,首先,迅雷是最早屏蔽CSDN泄密数据的互联网企业。迅雷称,21日晚间8:40,迅雷在第一时间就根据CSDN方面提供的链接对相关泄密数据进行了全面屏蔽。“作为一个第三方下载平台,迅雷已经尽到了最大的努力减少CSDN泄密事件给网民和企业带来的损失。”
迅雷表示,迅雷绝对不会在服务器上存储任何与泄密事件相关的数据库,QQMail作为私人链接,用户不能从迅雷“相关推荐”中直接下载。此外,迅雷“相关推荐”最多只能提供30条,只有当文件被下载次数达到一定阈值才有可能进入相关推荐,鉴于目前迅雷的用户覆盖量,小范围传播的文件被推荐的概率微乎其微。
但是,记者再次使用迅雷7.2下载“剑灵.rar”,从迅雷右边的相关推荐里看到“280W-zur-u-e-p-R.kz”的34.69MB数据包,点击下载后,迅雷又推荐了 “5000万_51693.zip”、 “300w -Yue.kz”、“350-E875131.kz”、“7k7k2000万_2047.rar”、“1000W+IS2_16436.rar”等29个链接。
此外,迅雷指出,迅雷的“相关推荐”不是共享推荐,即用户无法主动通过这一功能共享文件。这种推荐方式与购物网站会提示“买了此商品的用户还买了***”一样,推荐算法本身是由机器算法执行,无任何人工干预。
每日经济新闻》记者注意到,虽然迅雷声称其推荐的算法为机器算法执行,但是,目前迅雷正在试图删除相关推荐的链接来回避该问题。
“既然是机器算法,没有人工干预,但是相关的链接为何消失了呢?”上述安全专家再次提出质疑。
截至记者发稿,迅雷方面亦未对此问题作出详细解释。
雨篇:安全追问
频发的泄密危机正拷问着中国的互联网安全。2011年12月27日,中国计算机学会青年计算机科技论坛广州分会召开了“互联网用户资料泄露事件紧急会议”。16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件”。
专家们呼吁,希望工信部门和公安部门牵头,成立专门的调查组,对本次事件进行调查,并公布调查结果。他们建议,针对用户资料和个人隐私,政府应尽快建立法律法规进行规范,以维护个人权益。
据每日经济新闻》了解,早在2007年,公安部、国家保密局、国家密码管理、国务院信息工作办公室四部门就联合制定了 信息安全等级保护管理办法》,但是,该标准只是在一些大型网站执行,中小网站并没有强制执行。
业内专家认为,频频爆发的数据库信息的外泄正一点一滴地瓦解现有互联网认证机制。目前的互联网认证是基于电子邮件的认证,电子邮件在各个企业和互联网公司都被用作标识用户身份,而经过近几年黑客多次的“洗礼”,目前国内互联网企业中含有较大用户基数的站点可能都已沦陷。
更令外界担忧的是,即使知道自己用户数据库被窃取,大多数企业基于自身利益还是会保持沉默,就在此前,有媒体报道称,从论坛、BBS到SNS、电商,各网站对安全的IT支出都很少。
据一家券商TMT研究部门的调研数据,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,对安全性要求比较高的金融行业为10%。而欧美互联网公司的安全支出占比普遍为8%~10%。
对于“囊中羞涩”的互联网安全投入,腾讯公司联席CTO熊明华对每日经济新闻》记者表示,腾讯目前拥有两支独立的安全团队,一支负责腾讯内网的安全体系维护,另外一支则负责外网。
据记者了解,几年前,腾讯曾遭遇盗号团队的攻击,窃取用户密码用以牟利。而后腾讯与有关部门集中打击了犯罪分子,十多人因此获刑。
据滕明华透露,此后腾讯花了3年时间对密保系统部门从底层开始了彻底的重构。
WooYun认为,中国的互联网正经历高速发展阶段,安全与用户体验本身存在矛盾性,对于用户而言,复杂的密码固然比较安全,但却严重影响用户体验。
CSDN蒋涛指出,目前黑客最流行的盗号手段是盗号贼利用窃取的其他网站的密码数据库在各大网站尝试登录。
360网络安全专家石晓虹表示,不同黑客组织通过交易、共享等方式聚合不同网站的密码库,形成非常庞大的规模,然后将此黑客的密码库批发给专门从事“洗号”环节的不法分子。
据石晓虹透露,“洗号”分子一般会筛选有价值的注册邮箱,比如知名企业的工作邮箱,然后窃取邮箱中的重要商业资料,甚至进一步通过社会工程手段进行诈骗。
此外,黑客分子还利用密码库在网上支付平台自动批量发起交易,如果恰好用户泄露的注册邮箱和密码与网上支付账户的交易密码相同,支付账户中的余额就会被转移。
危害还不仅限于此。石晓虹指出,黑客经常利用密码库尝试登录QQ、MSN等聊天软件账号,向好友发送借钱诈骗消息,或者在微博等社交网站上尝试登录,由此产生出付费加粉丝、发布广告信息或钓鱼诈骗链接等多种获利途径。
此前,韩国也发生了前所未有的信息泄露事件,三大门户网站之一Nate和社交网站 “赛我网”遭黑客攻击,3500万用户信息外泄。
IT专家洪波认为,从2007年就开始实行网络实名制的韩国,在“密码危机”面前选择了回到原点——取消实名制。这或许给时下正在极力推行网络实名制的我国政府一个启示:目前实名制的好处不明显,风险却十分巨大,在目前互联网技术架构下安全难以保障的情况下,政府需要重新审视实名制。
相关下载 |
原标题:2019年中国保健食品行业市场分析:两大重磅“新规”发布,行业大规模洗牌加速 两个重磅监管文件发布 保健食品行业利好“正规军” 从2018年开始详情>>
原标题:次时代主机的改变 PS5/Scarlett将允许更大规模游戏关卡 自今年开始,索尼与微软已经开始了他们的次时代主机布局,越来越多的配置与规格内容都详情>>
原标题:美国男子计划大规模枪击没得逞 被警方搜出大批武器 警方从男子家中搜出不少武器。(图源:洛杉矶时报) 8月22日电 近日,美国长滩市一厨师工作时扬言实详情>>
上海市黄浦区卢湾一中心小学学生正在使用电子写字板。校方供图 在上海市黄浦区卢湾一中心小学,1300多个孩子,每个人都有一幅立体的“数字画像”。这幅画像如何得来? 原来,该校的详情>>
原标题:美国最新民调显示多数民众认为大规模枪击案将重演 近日,美国频发枪支和暴力犯罪事件。9号公布的一份最新调查显示,绝大多数美国人认为在接下来的三详情>>
IMF:中国没有大规模干预人民币汇率 美国东部时间周五下午,国际货币基金组织IMF发布了执董会与中国的第四条磋商报告。报告认为,中国没有大规模干预人民币汇率。 报详情>>
原标题:FBI:美俄亥俄州枪手曾痴迷暴力 常看大规模枪案视频 中新网8月7日电 据“中央社”报道,当地时间8月6日,美国联邦调查局(FBI)人员表示,炮制美国俄亥俄州详情>>
当地时间8月3日,美国德州沃尔玛发生大规模枪击案,造成至少20人死亡。随后美国政客指责电子游戏,是游戏“教会了如何杀戮”,“引起枪支详情>>
原标题:游戏再次背锅!美国将大规模枪击案责任怪罪于电子游戏 在上周末不到24小时里,美国德克萨斯州埃尔帕索的沃尔玛商店内、以及俄亥俄州代顿先后发生详情>>
中新社北京8月5日电 针对日前美国得克萨斯州和俄亥俄州接连发生两起大规模枪击案,造成多人伤亡,中国外交部发言人华春莹5日在答记者问时表示,我们注意到有关报道,中方反对一切形详情>>
原标题:美国德州大规模枪击案 州长将其归咎于电子游戏 当地时间3日,美国德克萨斯州埃尔帕索发生大规模枪击案,枪手在沃尔玛购物中心开枪,造成至少20人死详情>>
当地时间3日,美国德克萨斯州埃尔帕索发生大规模枪击案,枪手在沃尔玛购物中心开枪,造成至少20人死亡,26人受伤,1名21岁的白人男子已被拘留。 事件发生后,德州副州长Dan Patrick详情>>
(sinaads = window.sinaads || []).push({}); 原标题:美加州美食节发生大规模枪详情>>
期待已久的手游坦克部队大规模战争即将登陆,这款手机游戏吸引了大批玩家的关注,有很多粉丝都在问小编坦克部队大规模战争好玩吗?坦克部队大规模战争值不值得玩?现在就为大家来简详情>>
坦克部队大规模战争破解版在哪里可以下载呢?有很多小伙伴都在问小编说找不到破解版下载地址,更加不要说是最新版本了!不过没有关系,小编来为你支招,让你轻松安装到最新坦克部队详情>>
虽然R星目前还忙于《GTA5》和《荒野大镖客:救赎2》的后续内容更新工作中,但他们的下一个项目却已经悄然在进行当中了。今日据R星官详情>>
原标题:Switch手柄出现大规模失灵 是设计缺陷还是放大效应? 任天堂发布Switch Lite以后,这款掌机本身虽然也引起了一定轰动,但令任天堂始料未及的是引起详情>>
任天堂发布Switch Lite以后,这款掌机本身虽然也引起了一定轰动,但令任天堂始料未及的是引起了另外一个话题——大量Switch玩家表示虽然Lite很好,但更想要的是修复Switch Joy-C详情>>
7月3日,韩服《彩虹岛》开启了大规模更新“英雄X”的宣传页面,并放出了动漫风的预告视频。 视频展示了10款新职业,提升了玩家们对此次更新的期待感。 另一方面,韩服《彩虹详情>>
Rockstar方面至今并没有就此给出额外的补丁进行修复,只是建议玩家可以采用清理缓存文件的方式进行尝试解决。开发商Rockstar在上周为《荒野大镖客OL》更新了五月大型补丁,同时详情>>
原标题:EA宣布大规模裁员计划 将缩减发行和宣传岗位350人 在动视暴雪几周前大规模裁员之后,今天游戏行业又迎来了新一轮裁员,国外游戏巨头EA今天正式宣布进行大规详情>>
原标题:LPL首次大规模涉嫌外围人员遭禁赛、开除,钱和信仰哪个重要还用说吗? 同学们好,事情是这样的。今天凌晨时分,原LGD打野选手Condi发布了一条,乍一看回应粉丝后台详情>>
Wired Productions 和Caged Elements 公布了一个全新的游戏更新AirBlades - 革命性的推出反重力赛车以及全新的赛道, 合并两种类型的内容以增加游戏的可玩性, 乐趣性以及强详情>>
原标题:曝《激战》系列开发商将大规模裁员:网游收支失衡 据Kotaku报道,《激战》系列开发商ArenaNet正计划大规模裁员,其出版部门将被并入母公司NCSoft的出版部门中详情>>
文章简介:近日,备受期待的新国民喜剧电影《十万个冷笑话2》在京举行了“宇宙最强脑洞”发布会及首映礼,宣布将于8月13日开启全国超前点映,令一众影迷欣喜无比。首映礼上观众对电详情>>
原标题:部落冲突大规模平衡性调整 永王提至40级 大量法术与部队调整 6月份将迎来一个大更新,早些时候,官方放出了联赛奖章商城的商品售价调整内容,并且曝光了全新的详情>>
原标题:大厦将倾?大规模裁员 动视对暴雪影响力增强令人担忧 游戏观察2月14日消息,昨天,动视暴雪CEO Bobby 详情>>
原标题:EA宣布大规模裁员计划 将缩减发行和宣传岗位350人 在动视暴雪几周前大规模裁员之后,今天游戏行业又迎来 详情>>
10月18日,在旧金山的Web2.0峰会上,索尼电脑娱乐总裁JackTretton宣布了PSVita的北美发售时间:2012年2月22日。Wi-Fi版的售价为24详情>>
中文名称:发布日期:2006-09-04更新日期:--文件大小:19.0M游戏语言:英文英文名称:游戏制作:游戏发行:上市时间:2006-09-04官方网址:运行系统:XP/V详情>>
新闻详情《炽焰帝国2》大规模PVP阵营战部队奖励大放送时间:2详情>>
在今年E3会展的PC Gaming Show上,TaleWorlds为我们带来了《骑马与砍杀2:领主》的攻城战演示,在现场引发了一阵小高潮。整个攻城战有500名作战单位参与其中,按理来... 详情>>
在动视暴雪几周前大规模裁员之后,。今天游戏行业又迎来了新一轮裁员,国外游戏巨头EA今天正式宣布进行大规模裁员,受到本次裁员影响的员工总数超过了300人。根据KOTAKU的报道,EA将解雇350名员工详情>>
今日下午三点左右,许多玩家反映腾讯旗下多款游戏及服务软件出现服务器未响应问题,受影响的腾讯服务包括腾讯微云、腾讯游戏、QQ安全中心等服务。截至详情>>
《战地:硬仗》的开发商-VisceralGames,近日遭到了大规模裁员,而母公司EA表示,这只是一次详情>>
3月21日,香港通讯事务管理局宣布中国移动香港、香港电讯、数码通三家电信服务商成功申请到香港5G频详情>>