2011年12月23日星期五

知名程序员网站CSDN被黑

  南方都市报讯 你在网上录入的信息越多,可能对你造成的威胁越大。昨日,有关国内知名程序员网站CSDN的用户数据库,被黑客公开的消息在微博流传。600余万个明文注册的邮箱账号和密码遭泄露的后果,引起网民关注以及对管理方安全意识的批评。CSDN方面随后确认此事并向用户致歉,尽管CSDN称已向警方报案,但还是引发了用户的修改密码潮。事件也让网民对部分网站保护用户信息安全的能力产生担忧。

  有网友下载到泄密信息

  较早发布CSDN用户数据库被公开信息的是“360安全卫士”。“紧急通知”,该微博于昨天12时33分发微博说,今日有黑客公开了CSDN网站的用户数据库,包括600余万个明文的注册邮箱账号和密码。

  据悉,CSDN是国内知名程序员社区,官方宣称用户达到了2000万。鉴于很多网友在多个网站使用一套账户名和密码的做法,“360安全卫士”在微博中表示,为避免蒙受损失,相关用户应尽快修改包括CSDN账号密码,以及采用相同注册邮箱和密码的其他网络账号,如邮箱、微博、购物网站、聊天软件等账号。

  消息很快就在微博上传播开来,接着有多位网友发帖说,已下载到该数据库的文件,并公布了下载页面及部分账号和密码信息的截图。随后,CSDN也在其官方和官方微博上发公告,确认了此事。

CSDN网站六百万用户信息外泄

网友下载到泄露的数据库文件,内含大量账号和密码信息

  知名IT技术人士小龙在接受南都记者采访时分析说,此次事件受影响的主要是在CSDN上注册过的用户,特别是那些习惯在多个网站使用相同账号和密码的人,有可能被人顺藤摸瓜威胁网银等重要个人信息。没有在CSDN上注册,则基本影响不大。小龙还透露,数月前该数据库就已被盗,“只是当时没被人公开”。

  用户们很惊。“今晚什么事也不干了,光改密码了”,搜狐网友“hookay”抱怨。网新浪网友“大鱼儿_”则在CSDN创始人蒋涛的微博上跟帖建议,应该由系统全部统一重置用户密码。

  明文储存账户信息遭批

  “经过初步分析,该库系2009年CSDN作为备份所用,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意”。CSDN昨天在公告中表示,目前已向公安机关报案,公安机关也正在调查相关线索,“CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份”。

  不过,其中一些说法却遭到网民质疑。“36氪”社区网友“学徒姚佐”称,其“看见2010年注册的也有中招的,明显官方在撒谎”。除此之外,最大的质疑则是对CSDN明文存储密码的做法,这意味着只要能打开数据库文件的人,即使不是IT技术高手,也可以像查看记事本一样获取被盗用户的信息。

  “整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码,导致海量用户的账号信息包括密码直接被泄露,这是最令人难以置信的地方。”IT技术人士小龙对南都记者说,稍微懂点编程的程序员都知道,为了用户的安全,应该在数据库保存用户密码的加密信息,“这样黑客即使下载了数据库,用户密码破解也不是一件容易的事情”。

  对此,CSDN平台开发总监范凯昨天写了一篇博客回应质疑。他承认,CSDN在2009年4月前确实使用了明文保存用户信息,“2009年4月之后是加密的,但部分明文密码未清理”,自己去年8月加入该网站后,清理掉了所有明文密码,并强调“2010年9月开始全部都是安全的”。CSDN创始人蒋涛则表示,明文密码“是当年由于非常愚蠢的原因保存,又由于安全原因泄露”,并称此次事故是“非常惨痛的安全教训”。

CSDN网站六百万用户信息外泄

CSDN在首页发布致歉信

  尽管主要牵涉的是在CSDN上注册过的用户,但此次事件还是引发网民对个人网络信息安全的担忧。小龙分析,平时诸如QQ盗号这样的事主要发生在客户端电脑,“多数是用户中了木马”。相比之下,这次事件发生在服务器端,足以说明即使国内一些看似很大的网站,在安全防御上依然不足,“很难应付黑客攻击”。

  附注:CSDN网站是中国大陆知名的程序员和电脑爱好者技术交流社区网站,据CSDN网站介绍称,是中国最大的开发者技术社区。有非常强的专业性,其会员囊括了中国地区90%以上的优秀程序员,在IT技术交流领域位居国内第一位的网站。CSDN网站自称是全球最大中文IT技术社区,拥有2,000万注册用户。

  链接:网站泄露信息曾给韩国敲警钟

  据新华社报道,今年8月在韩国知名网站大规模泄露个人信息后,韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。韩国自2007年7月开始启动网络实名机制,要求日访问量超10万人次的网站,在用户登录时须通过身份证号进行实名认证。今年7月底,韩国知名门户网站“NATE”和社交网站“赛我”遭黑客攻击,约3500万名用户的个人信息外泄,包括未经加密的用户名、姓名、电话号码、电邮和加密的密码、身份证号码等,此事在韩国引发轩然大波。

  稿源:南方都市报 2011-12-22 南都记者 张东锋