网络大泄密_杂志频道_财新网
ibmis
网络大泄密
本文来源于 财新《新世纪》 2012年第2期 出版日期 2012年01月09日 | 评论(3) 单页阅读
中国互联网最大泄密事件,只是黑客产业链已消化成果的集中展示
财新《新世纪》 记者 朱以师 于达维 叶逗逗 徐超 王姗姗 研究员 余思伟 见习记者 靳晴
国内最大的程序员社区CSDN上600万用户资料被公开,同时黑客公布的文件中包含有用户的邮箱账号和密码,信息安全黑洞巨大。CFP
在迎接2012的最后几天里,中国的互联网世界上演了一出史上规模最大的泄密事件。
从CSDN、天涯等论坛社区,到人人网、开心网、多玩网等多个社交、游戏网站,再到京东商城、当当网、淘宝网等电子商务网站,均牵涉其中。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。
一时间,各大网站及互联网用户人人自危,“今天你密码泄露了吗”成为流行网络的问候语。创新工场旗下安全宝公司推出的用户密码查询框,在短短几天内查询数就超过了180万人次。
国家互联网应急中心(CNCERT)发布的数据显示,截至2011年12月29日,国家互联网应急中心通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
财新《新世纪》了解到,泄密事件发生后,国家工业和信息化部已经启动应急预案,组织通信管理局、国家互联网应急中心及相关互联网企业和网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。
但事实上,CSDN、天涯等多家网站的用户数据库被盗,已经不是最近才发生的事件,大爆发只是黑客集中的披露行为而引发——这些被抛出来的,只是几乎榨干了所有价值的过期数据库。
大泄密
“我们深表歉意⋯⋯建议⋯⋯修改密码”
引爆整个事件的导火索,是CSDN用户数据库的“意外”曝光。2011年12月21日,有网友在微博上爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露——数据库正在网上快速扩散。
CSDN的创始人蒋涛,也是当天在微博上看到了这条信息。“第一反应就是确认是不是真的。”蒋涛对财新《新世纪》记者回忆称,工程师从网上找到那个文件,“和我们的数据库比对下来,很不幸,确实大部分都是。”
12月21日晚间,CSDN在其网站及官方微博上确认了数据库泄露一事:“近日发生了CSDN部分用户数据泄露事件,对此我们深表歉意,同时恳切地建议2010年9月之前的注册用户和没有修改过密码的用户,尽快修改密码。”
通知用户的同时,CSDN紧急对下载源进行封堵。“微博扩散的速度太快了,这么多的账号在里面,如果数据库扩散到了几万、几十万人的手上,你都不敢想象它能被利用成什么样子。”蒋涛很快联系上了腾讯和迅雷,要求关闭和重置下载源。腾讯和迅雷也快速做出了响应。
蒋涛承认:“到那个时候已经很难挡住了,虽然关掉了下载点,但是文件已经出去了,在点对点的传输上,就很难控制住了。”
随后的几天,CSDN的数据库与其他后续爆出的数据库一道,依然在网上被疯传。在这期间,CSDN联系了QQ邮箱、网易邮箱等邮件厂商,一同发送邮件给用户提醒修改密码。“我们自己发送了200多万封,邮件厂商帮忙发了300多万封。”
然而,潘多拉魔盒已经打开,CSDN数据库的泄露仅仅是个开始。“没想到后面的事情越来越大,已经到了不可收拾的程度。”蒋涛说。
12月22日,知名IT博客“月光博客”披露,多玩网数据库泄露超过800万条信息,有大量用户名、明文密码、邮箱及部分加密密码。“经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。”
同日,标注为“人人网500万用户资料”的文件开始在网上流传,嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上,涉及的用户信息总量超过5000万条。但人人网否认用户数据遭到泄露,他们在官方微博上提醒称,“如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。”人人网相关人员在接受采访时表示,提醒用户只是出于安全考虑。
也是在同一天,360安全中心发布安全警报称,“鉴于目前已有超过5000万个用户账号和密码在网上公开扩散,特别是部分网民习惯为邮箱、微博、游戏、网上支付、购物等账号设置相同的密码,账号安全岌岌可危,广大网民应尽快修改重要账号的密码。”
12月25日,泄密规模进一步扩大,网络上开始流传天涯论坛的用户数据库,信息总量超过4000万条。随后,这一新闻被天涯社区官方致歉信证实:由于历史原因,天涯社区早期使用明文密码,在2009年11月改成加密密码,但是部分老的明文密码库未被清理,黑客泄露的正是2009年11月升级密码保存方式之前所注册的用户。不过天涯社区并未在公告中对泄露的用户规模进行确认。天涯社区公关经理初蒙在接受财新《新世纪》记者采访时表示,确认用户信息遭泄露后,已经向海南省公安厅、海口市公安局报案,案件目前正在侦查之中。
12月26日,网上又传出新浪微博的用户资料疑似被泄露,并公布了新浪微博数据下载地址。这个疑似数据库一共有约476万条账户和密码信息。
此后,泄密事件继续发酵升级,传闻开始波及到电子商务及银行系统。12月27日,乌云漏洞报告平台披露京东商城的漏洞,“在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括姓名、地址、电话、Email等。”这一漏洞报告得到了京东商城方面的响应。
乌云同时还报告称,网易163邮箱被人大面积“种植”后门程序,在账号管理界面的找回密码选项,会有陌生QQ号码绑定。但网易公司在12月29日发表声明称,“网易邮箱密码泄露”的说法纯属谣言。
12月28日,“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实。当当网的公告称:“经核实,网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。”
乌云漏洞报告平台在12月28日也再次报告称,“支付宝用户大量泄露,被用于网络营销,泄露总量达1500万-2500万之多,泄露事件不明,里面只有支付宝用户的账号,没有密码”。支付宝随后回应称,支付宝账号不是私密信息,在很多地方都可以搜集到,只有账号没有密码,对用户资金安全没有任何威胁,“支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有,以后也没有,请大家放心”。
但12月29日,更吓人的消息又在网上疯传:交通银行、民生银行分别泄露用户资料7000万和3500万份,“卡号、姓名、密码都有”,并配有截图。当天下午,交通银行、民生银行、工商银行等分别发布公告辟谣,称“用户资料外泄的传闻纯属谣言”。
当日晚间,又有网友披露称,广东省公安厅出入境政府服务网网上申请数据泄露,几乎所有提交网上申请用户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息均可查到,泄露的总信息量高达444万条。这一信息被广东省公安厅证实:2011年6月24日至2011年12月29日期间,在广东申请出入境的用户信息遭到泄露。
仅仅一个星期,泄密已经从CSDN一家网站的危机演化成为了席卷整个互联网的大事件。一时间,各大网站人人自危,真假数据库屡屡出现。国家互联网应急中心对所曝光的数据进行了抽查核实,发现部分数据是有效的,经过与相关网站、论坛联系后,确认CSDN社区、天涯社区两家网站发生了用户数据泄露事件,但泄露原因还有待进一步分析;对于其他网站、论坛,虽然曝光数据中个别条目有效,但不能判定发生了网站、论坛用户数据泄露事件。
金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条的用户信息在此次事件中泄露。
一位不愿具名的网络安全工程师也向财新《新世纪》记者证实,经过重合度分析、数据库格式判断等验证分析,基本可以断定“有十几家网站的数据库比较靠谱,应该是真实的”。
大规模用户数据泄密后,各种“浑水摸鱼者”也随之而来。蒋涛告诉财新《新世纪》记者,一些人开始制造假的数据库来混淆视听;一些网站通知所有用户修改密码,以乘机激活“沉睡”用户;甚至一些网站把曝光的数据库直接导入自己的数据库,然后发通知给用户修改密码,不费吹灰之力即获得上千万规模的用户。当然,对用户影响最直接的是各种垃圾邮件、钓鱼邮件多了起来。
真正令人担心的是,或许还有更大规模的数据被地下黑客所掌握,只是没有公布而已。著名网络安全专家龚蔚(goodwell)公开表示,这次曝光的1亿多条用户账号及密码等相关信息,只是黑客所掌握数据的“冰山一角”,预计有将近4亿-6亿的用户账号信息在黑客地下领域流传。
翻过新年,此波网络账号信息泄密的浪潮仍有余波。1月4日,一位网络ID为“网路游侠”的“白帽黑客”在自己的博客上发布了新浪的漏洞:新浪iask站点存在SQL注入漏洞,利用漏洞可以读取iask数据库内容,包括明文密码在内的7000多万新浪用户信息。由于新浪实行“全站一号登录”,黑客利用这个漏洞还可以获得新浪微博的相关账号信息。“网路游侠”以知名魔术师刘谦的微博为例,通过构造数据库查询语句就轻松获得了刘谦的账号及密码信息,并成功登录。当天晚间,刘谦在微博上转发该博客,证实此事。不过,“网路游侠”称,这个漏洞他是在1月1日发现,已及时通知新浪官方,并在新浪修复了该漏洞后才在博客上公布文章,供参考学习之用。
截至发稿,新浪方面对此事尚未做出回应。事实上,早在2010年10月,乌云漏洞平台就曾报告称新浪iask站点存在SQL注入漏洞的安全问题。