中国IDC圈12月17日报道:近期诸多大型网站被黑客攻击致大量用户密码被泄露一事,似乎可以套用一句时下最劲的网络流行语——“我从来不知道密码也要天天修改,直到我膝盖中了一箭”。
搅入密码泄露事件的互联网公司越来越多。昨日,新浪微博也被指用户密码遭盗,不过新浪公司很快予以了否认,并紧急提醒用户进行账号安全设置。与此同时,最大中文论坛天涯社区确认,有不到4000万的用户信息遭到泄露,公司已向警方寻求援助。
中国互联网最大规模的用户资料泄露事件正在进行时,自12月21日开发者技术社区CSDN的600万用户密码外泄被曝光以来,上周末,又新增了十余家国内知名网站涉入密码外泄的消息,一时引发人人自危,多数用户被网站要求重新设置密码。
互联网安全企业奇虎360公司副总裁石晓虹(微博)在接受媒体采访时表示,通过技术验证,初步评估目前网上公开暴露的网络账户密码有5000多万个。除此之外,预计还有许多已被盗取但尚未被公开传播的网络用户信息。
至今尚未有黑客组织宣称对此次泄露事件负责。如事态还得不到有效遏制,恐怕今后人们见面的问候语将变为“今天你改密码了没”。
天涯网已向警方求助
12月26日凌晨有网友向DoNews爆料称,新浪微博成为了又一家用户密码外泄网站,涉及账号数476万。
新浪公司很快予以否认,辩称网上流传数据中的绝大部分不是新浪微博账号,只有“极小部分用户因使用和其他网站相同帐号密码,可能导致其微博账号不安全。我们已对这部分用户做了保护”,新浪微博称,公司对用户账号均采用加密储存,但还是提醒所有用户尽快修改密码并进行账号安全设置。
与此同时,国内最大中文论坛天涯社区向早报记者确认,有不到4000万的用户信息遭到泄露,公司已向警方寻求援助。
前一日下午,有部分天涯网用户惊觉,其注册于天涯网的个人信息流入网络。天涯网迅即展开调查,目前初步结论如下:一、遭到黑客泄漏的用户是升级密码保存方式之前所注册的用户,天涯社区早期使用过明文密码(注:这种方式安全级别最低,极易被黑客盗取),2009年11月已全部改为加密密码;二、黑客提供的下载文件中标识用户为4000万,而经天涯核实,实际数据低于这一数字。
据财新网报道,天涯社区目前注册用户有6000万。天涯社区已经发出通知提示用户修改密码,并提醒用户如果在其他网站使用同一密码也须同时修改。
另外值得重视的是,由于很多用户的用户名和密码在各个网站几乎一样,一旦有一个账号密码泄露,就很可能波及其他重要账号的安全,例如网上支付、邮箱、聊天账号等。
天涯社区发言人称,公司已采取补救措施,并向公安机关报案。天涯社区总裁邢明慨叹:“此次意外事件,虽然不是针对天涯社区一家网站,但确实给我们敲响了警钟,我们呼吁互联网同业企业、相关监管机构及政府部门直面互联网诚信及安全问题。”
肇事者至今未现身
中国互联网最大规模的用户资料泄露事件正在进行时。
最早发现情况异常的是国内开发者技术社区CSDN,12月21日晚间,CSDN大方承认有约600万用户密码遭到外泄,且绝大部分是早年留存的明文密码,这被部分人认为是莫大的讽刺,“一群技术青年竟然在一个如此没技术含量的平台上交流了那么多年?!”
但CSDN仅仅是一个开始,更多普通网民发现自己被牵涉事中,包括人人网(微博)、开心网(微博)、多玩、世纪佳缘(微博)、珍爱网、美空网、百合网等十数家国内知名网站出现在新增的网传黑名单中,超过5000万用户账号和密码在网上公开扩散。
尽管人人网、开心网、7K7K等均对此予以否认,但密码外泄的“流感”一时引发互联网上人人自危,互联网安全公司纷纷拉响红色预警。
有网络安全专家认为,此次泄露源于黑客入侵了网站的web服务器,盗取了大量用户注册信息,其中包括注册邮箱、用户名、密码(多是密文、部分网站是明文),并将这些数据在互联网中进行传播。
其实在国内,类似行为已存在多年,甚至已形成“灰色产业链”。黑客利用网站服务器的安全漏洞,侵入相关网站,盗取用户数据库等信息,然后私下进行传播、倒卖。
而这一现象在国外也不鲜见。最新消息是,125日,一个组织松散的黑客团体“匿名者”宣称成功侵入美国战略预测公司数据库,窃取数千客户的信用卡号码及其他个人信息。一名自称“匿名者”成员称,这一团体以网络攻击方式总计获取9万名执法部门人员、情报社团人员和媒体记者的信用卡账户信息,已“窃取100万美元”,用于圣诞节慈善捐赠。
至截稿时,尚未有黑客组织宣称对此次密码外泄事件负责,也未有关于此次攻击来源的详细信息。