|
|
|
|
|
|
来源: 发布日期: 点击量:
耀疆说事
2012新年的钟声还未响起,2011岁末的一颗重磅炸弹先行引爆,那就是CSDN“泄漏门”事件。单从信息安全技术来看,事件根源只是密码明文保存这一无比低级的“小错误”,但由此产生的辐射和连锁效应,绝不亚于一次大规模的疫情爆发。撞衫不要紧,“撞库”(获得CSDN的用户名密码后,同样可以在社交网站、邮箱等其它网络服务中使用)最致命,管得了自己的安全,管不了别人不安全,在互联网和移动应用的时代,以用户账号和口令为代表的个人信息,其安全性,已经不再局限于个别企业或网站,而发展成为需要群体关注和互动同步的问题,难怪CSDN事件一出,所有知名网站都高度重视并紧密联动。当然,对个人用户来说,安全意识的提升也再次摆上台面,让网站当好管家是一方面,养成良好的安全习惯,则是更现实而可行的应对之策。
事件还原及影响
事件还原:
2011年12月21日,有黑客在网上公开了国内最大的程序员社区网站CSDN用户数据库,包括600余万个明文的注册邮箱账号和密码。这些密码并未经过后台的再次加密处理,普通人只要下载就都能看懂,并可直接通过他人的账号进行登录。此事引起整个业界及数亿网民的关注。
时间线索:
CSDN“泄露门”触发事件如下:
Ø 2011年12月21日:国内知名程序员网站CSDN遭到黑客攻击,大量用户数据库被公布在互联网上,600万个明文注册邮箱被迫裸奔,CSDN也在其官方网站上贴出了相关的公开道歉信,这是近年来最严重的互联网用户信息泄露事件。
Ø 2011年12月22日:CSDN向北京警方报案称,公司服务器被入侵,核心数据泄露。
Ø 2011年12月23日:传CSDN用户信息泄露是金山毒霸员工所为,金山网络否认员工涉嫌CSDN密码库黑客事件。
Ø 2011年12月28日:在知名网站CSDN证实600万数据库泄漏后,CSDN创始人蒋涛昨日公开指出遭遇上市公司栽赃,并公布被曝库数据重合度对比,其目标直指人人公司。
Ø 2011年1月6日:CSDN“泄密门”后,创始人蒋涛首次公开谈“关于用户资料库泄露的情况报告和反思”。
2012年1月9日:几乎让互联网裸奔的 “CSDN泄密门”事件传出最新消息,两名涉 案黑客已经被抓,还有部分人员尚未落网。
2012年3月20日:北京警方宣布CSDN网站用户数据泄露案已告破,曾某被刑拘。
由于大部分用户在多个网站注册时采用了相同账号,天涯社区、百合网、人人网、开心网、珍爱网、世纪佳缘、多玩网、美空网等多家知名网站先后被卷入泄密风波,中国互联网史上最大的信息泄露事件由此爆发。
天涯社区表示,2011年5月12日天涯网升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。用户可拨打天涯社区24小时客服电话,由客服人员进行验证之后取回密码。
人人网方面表示:“人人从上线开始就没有记录明文密码。在此事件后,人人网立刻采取对用户账户的安全保护措施,利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级,防止账户被盗。如果用户的人人网账号密码和CSDN或其他网站一致,建议马上修改密码,以免账号被盗。在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改。”
开心网方面表示,目前尚未接到关于用户密码泄密的问题,不过公司方面也在关注此事的发展。
“CSDN这次大规模的用户信息泄露,可能会给包括支付宝在内的类似公司造成一些困扰,因为不排除用户用同样的邮箱和密码同时注册多个网站。”支付宝方面表示,“我们正在将获得的资料和支付宝用户进行核对,如果发现有相同会及时做出相关的保护措施。”
然而,此次事件的影响远不止于此。有国内某知名黑客预计还会有更多网站的数据会被黑客放出。更为严重的是,由于很多用户的用户名和密码在各个网站几乎一样,一旦有一个账号密码泄露,就很可能波及所有重要账号的安全,如网上支付、邮箱、聊天账号等,而用户遭受的损失,也可能被几倍的放大。
事件分析
追头溯源——由密码明文保存开始
在此次事件中,CSDN此前采用的明文密码方式被认为是 “罪魁祸首”。所谓明文密码简单地讲,“就是直接可以看懂的,比如123456,abcd等等。相对的就是暗码,比如abc代表123,如果只知道abc而不知道解码规则,就无法翻译出真正的密码123”,一位专业人士简单地解释说。而明文密码就意味着只要能打开数据库文件的人,即使不是IT技术高手,也可以像查看记事本一样获取被盗用户的信息。
CSDN在泄露事件致歉中,表示CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月,当时的程序员修改了密码保存方式,改成了加密密码。但部分老的明文密码未被清理,2010年8月底,对账号数据库所有明文密码进行了清理。
举一反三——网站整体安全堪忧
此次用户泄露事件凸现了互联网缺乏抵御攻击能力的弊端,网站本身对用户信息保密意识匮乏才导致黑客有机可乘。此外,用户没有定期修改密码,而且往往在不同的网站上使用同一账号、同一密码,CSDN“泄露门”事件犹如导火线,一旦触发,就导致用户信息泄露事件大范围发酵。多家网站也在事件发生后提示用户尽快修改密码。
尽管此次遭殃的只有CSDN以及后续的天涯社区,但是随着互联网在公众日常生活中所占比例越来越大,广大网民不禁会产生怀疑,平时经常访问的网站是否也像CSDN一样呢?开心网、人人网、新浪微博……对于此类的网站网民可以轻松爆出一大串来,这些网站的信息安全又做得如何呢?
老生常谈——用户自身安全意识
网民的安全意识也再一次被敲响警钟。有人统计了这次公布的6428632个CSDN密码,结果显示有239万人的密码和别人存在重复。在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。排名第二位的密码是12345678,使用它的人数也超过了20万。这些在信息安全从业人士看来“弱不禁风”的简单密码,在广大网民中却是大受欢迎,由此只能感慨用户的信息安全意识真的需要大力提高了。
虽然一直以来,媒体和安全厂商都在呼吁用户要注意保护自己的账号安全,但此次用户账号密码大泄露事件,却完全是因为厂商的不负责任造成的。按照CSDN的说法,只是一个程序员的失误。而其它网站的泄露原因,是否是CSDN造成的连锁反应,尚未得知。但至少从目前的事实来看,在用户数据库保护方面,厂商们所采用的安全措施实在太弱了。
事件尾声:
嫌犯被刑拘
2012年3月20日,北京警方宣布CSDN网站用户数据泄露案已告破,曾某被刑拘。
犯罪动机——好奇与炫耀
据了解,曾某中专毕业,其所学的是计算机专业。出于对计算机技术的爱好,长期研究黑客技术。曾某攻击CSDN网站出于两种心理:一是出于好奇,二是为了炫耀。CSDN网站是程序员熟知的知名网站,如果能攻下来,将是在业内炫耀的资本。
犯罪过程与谋利
他研究了一个多月,终于成功入侵了CSDN的服务器。但由于他用的是个人电脑,网速太慢,下载这么多的用户信息整整花了2天。得手后,曾某又有了谋利的念头,毕竟这些信息是有用的。他曾经把一些信息给了他的上司。
国内“第一罚”
CSDN网站用户数据泄露案告破后,CSDN因未落实国家信息安全等级保护制度,被北京警方处以行政警告处罚。这成为国内实行该制度以来的“第一罚”。
权衡cookie的过期时间
(3)口令探测防护
使用验证码
设置用户口令失败次数
系统全局防护
(4)增强员工安全意识
(5)部署完整的信息安全系统
(6)完善信息安全管理流程
3. 如何保护数据库安全
(1)在日常的数据库管理工作中养成良好的备份习惯,定期对数据库进行备份;
(2)如果数据库出现被黑客植入病毒导致数据丢失、被删除等情况时,一定要到专业的数据恢复机构寻求帮助;
(3)妥善保管好数据库存储介质,避免数据遭到二次损坏,因为初次损坏还有较高的恢复成功率,如果因技术不精导致数据二次损坏,修复的可能性便微乎其微。
相关知识:
版权所有©上海安言信息技术有限公司 2014-2015 沪ICP备14044522号-1