网站首页 > 安全时事

2011年泄密事件

2012/1/1 15:07:21 次浏览


泄密门背后是中国网络信息安全脆弱的现状,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。


2011年已经过去,在这一年的最后几天,一场被媒体称为中国互联网史上规模最大的泄密事件突如其来。


20111221日开始,中国最大开发者技术社区CSDN600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露800万用户数据;25日,号称最有影响力华人论坛天涯社区4000万用户数据包被疯传;51CTOCNZZeNetUUU9YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷入用户数据泄露风波;支付宝、当当网以及京东商城等电子商务网站亦未幸免;29日,网络传言交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露,恐慌感被推至高点,泄密门达到高潮。


一时间,各种消息真假难辨,人人自危。


20111228日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日发布数据显示,截至20111229日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。


2012年开年后,中国正式进入“5亿网民时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。


2012110日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是一些人编造或炒作网站用户信息被大规模泄露的消息


国信办称,其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。


111日,泄密门中第一个登场的CSDN在北京召开媒体发布会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN受害者形象出现。其余相关信息被泄露的网站亦作出类似反应。


同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经告一段落

泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。


哪些信息丢了:泄密实与虚


依据国信办2012110日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。


事件最早披露是在2011124日,黑客臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。


20105月上线的乌云网,定位为自由平等的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至201111月,已有接近4000个安全问题得到反馈和处理。

随后半个多月内,事情并未引发公众关注。直到20111221日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为 “CSDN-中文IT社区-600.rar”的文件在网上疯传。


四天后,1225日,一份大小为386M的泄露文件天涯数据.kz”泄密门升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。


事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。


此次信息泄露并无任何商业目的。天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。


依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。


但与上述说法矛盾的是,在20111228日时,当当网官方已就当当网1200万用户信息遭泄露发出公告称,该数据系20116月之前的老数据,是由于之前遭到网络黑客攻击被盗取;201214日,游侠安全网创始人张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。


国信办通报还称,犯罪嫌疑人要某(网名我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。


而对于泄密门高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。


通报发布当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒发布到个人网站,并非信息源头。


此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。


忽略的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011624日至1229日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。


令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。

有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。


整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。专业IT博客月光博客撰文表示,稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。


对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。


蒋涛承认,过去安全意识薄弱:从来没想过在安全上要做一些什么样的工作。他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,你的数据是怎么保存的,谁能获得它?”