|
|
|
|
|
|
來源: 發(fā)布日期: 點擊量:
耀疆說事
2012新年的鐘聲還未響起,2011歲末的一顆重磅炸彈先行引爆,那就是CSDN“泄漏門”事件。單從信息安全技術(shù)來看,事件根源只是密碼明文保存這一無比低級的“小錯誤”,但由此產(chǎn)生的輻射和連鎖效應(yīng),絕不亞于一次大規(guī)模的疫情爆發(fā)。撞衫不要緊,“撞庫”(獲得CSDN的用戶名密碼后,同樣可以在社交網(wǎng)站、郵箱等其它網(wǎng)絡(luò)服務(wù)中使用)最致命,管得了自己的安全,管不了別人不安全,在互聯(lián)網(wǎng)和移動應(yīng)用的時代,以用戶賬號和口令為代表的個人信息,其安全性,已經(jīng)不再局限于個別企業(yè)或網(wǎng)站,而發(fā)展成為需要群體關(guān)注和互動同步的問題,難怪CSDN事件一出,所有知名網(wǎng)站都高度重視并緊密聯(lián)動。當(dāng)然,對個人用戶來說,安全意識的提升也再次擺上臺面,讓網(wǎng)站當(dāng)好管家是一方面,養(yǎng)成良好的安全習(xí)慣,則是更現(xiàn)實而可行的應(yīng)對之策。
事件還原及影響
事件還原:
2011年12月21日,有黑客在網(wǎng)上公開了國內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN用戶數(shù)據(jù)庫,包括600余萬個明文的注冊郵箱賬號和密碼。這些密碼并未經(jīng)過后臺的再次加密處理,普通人只要下載就都能看懂,并可直接通過他人的賬號進行登錄。此事引起整個業(yè)界及數(shù)億網(wǎng)民的關(guān)注。
時間線索:
CSDN“泄露門”觸發(fā)事件如下:
? 2011年12月21日:國內(nèi)知名程序員網(wǎng)站CSDN遭到黑客攻擊,大量用戶數(shù)據(jù)庫被公布在互聯(lián)網(wǎng)上,600萬個明文注冊郵箱被迫裸奔,CSDN也在其官方網(wǎng)站上貼出了相關(guān)的公開道歉信,這是近年來最嚴重的互聯(lián)網(wǎng)用戶信息泄露事件。
? 2011年12月22日:CSDN向北京警方報案稱,公司服務(wù)器被入侵,核心數(shù)據(jù)泄露。
? 2011年12月23日:傳CSDN用戶信息泄露是金山毒霸員工所為,金山網(wǎng)絡(luò)否認員工涉嫌CSDN密碼庫黑客事件。
? 2011年12月28日:在知名網(wǎng)站CSDN證實600萬數(shù)據(jù)庫泄漏后,CSDN創(chuàng)始人蔣濤昨日公開指出遭遇上市公司栽贓,并公布被曝庫數(shù)據(jù)重合度對比,其目標(biāo)直指人人公司。
? 2011年1月6日:CSDN“泄密門”后,創(chuàng)始人蔣濤首次公開談“關(guān)于用戶資料庫泄露的情況報告和反思”。
2012年1月9日:幾乎讓互聯(lián)網(wǎng)裸奔的 “CSDN泄密門”事件傳出最新消息,兩名涉 案黑客已經(jīng)被抓,還有部分人員尚未落網(wǎng)。
2012年3月20日:北京警方宣布CSDN網(wǎng)站用戶數(shù)據(jù)泄露案已告破,曾某被刑拘。
由于大部分用戶在多個網(wǎng)站注冊時采用了相同賬號,天涯社區(qū)、百合網(wǎng)、人人網(wǎng)、開心網(wǎng)、珍愛網(wǎng)、世紀佳緣、多玩網(wǎng)、美空網(wǎng)等多家知名網(wǎng)站先后被卷入泄密風(fēng)波,中國互聯(lián)網(wǎng)史上最大的信息泄露事件由此爆發(fā)。
天涯社區(qū)表示,2011年5月12日天涯網(wǎng)升級改造了天涯社區(qū)用戶賬號管理功能,使用了強加密算法,解決了天涯社區(qū)用戶賬號的各種安全性問題。用戶可撥打天涯社區(qū)24小時客服電話,由客服人員進行驗證之后取回密碼。
人人網(wǎng)方面表示:“人人從上線開始就沒有記錄明文密碼。在此事件后,人人網(wǎng)立刻采取對用戶賬戶的安全保護措施,利用站內(nèi)信通知所有可能存在賬戶安全隱患的用戶立刻修改密碼并進行安全升級,防止賬戶被盜。如果用戶的人人網(wǎng)賬號密碼和CSDN或其他網(wǎng)站一致,建議馬上修改密碼,以免賬號被盜。在CSDN或者其他論壇等使用相同賬號密碼的用戶的人人賬號存在風(fēng)險,請盡快修改。”
開心網(wǎng)方面表示,目前尚未接到關(guān)于用戶密碼泄密的問題,不過公司方面也在關(guān)注此事的發(fā)展。
“CSDN這次大規(guī)模的用戶信息泄露,可能會給包括支付寶在內(nèi)的類似公司造成一些困擾,因為不排除用戶用同樣的郵箱和密碼同時注冊多個網(wǎng)站。”支付寶方面表示,“我們正在將獲得的資料和支付寶用戶進行核對,如果發(fā)現(xiàn)有相同會及時做出相關(guān)的保護措施。”
然而,此次事件的影響遠不止于此。有國內(nèi)某知名黑客預(yù)計還會有更多網(wǎng)站的數(shù)據(jù)會被黑客放出。更為嚴重的是,由于很多用戶的用戶名和密碼在各個網(wǎng)站幾乎一樣,一旦有一個賬號密碼泄露,就很可能波及所有重要賬號的安全,如網(wǎng)上支付、郵箱、聊天賬號等,而用戶遭受的損失,也可能被幾倍的放大。
事件分析
追頭溯源——由密碼明文保存開始
在此次事件中,CSDN此前采用的明文密碼方式被認為是 “罪魁禍?zhǔn)住薄K^明文密碼簡單地講,“就是直接可以看懂的,比如123456,abcd等等。相對的就是暗碼,比如abc代表123,如果只知道abc而不知道解碼規(guī)則,就無法翻譯出真正的密碼123”,一位專業(yè)人士簡單地解釋說。而明文密碼就意味著只要能打開數(shù)據(jù)庫文件的人,即使不是IT技術(shù)高手,也可以像查看記事本一樣獲取被盜用戶的信息。
CSDN在泄露事件致歉中,表示CSDN網(wǎng)站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,后來的程序員始終未對此進行處理。一直到2009年4月,當(dāng)時的程序員修改了密碼保存方式,改成了加密密碼。但部分老的明文密碼未被清理,2010年8月底,對賬號數(shù)據(jù)庫所有明文密碼進行了清理。
舉一反三——網(wǎng)站整體安全堪憂
此次用戶泄露事件凸現(xiàn)了互聯(lián)網(wǎng)缺乏抵御攻擊能力的弊端,網(wǎng)站本身對用戶信息保密意識匱乏才導(dǎo)致黑客有機可乘。此外,用戶沒有定期修改密碼,而且往往在不同的網(wǎng)站上使用同一賬號、同一密碼,CSDN“泄露門”事件猶如導(dǎo)火線,一旦觸發(fā),就導(dǎo)致用戶信息泄露事件大范圍發(fā)酵。多家網(wǎng)站也在事件發(fā)生后提示用戶盡快修改密碼。
盡管此次遭殃的只有CSDN以及后續(xù)的天涯社區(qū),但是隨著互聯(lián)網(wǎng)在公眾日常生活中所占比例越來越大,廣大網(wǎng)民不禁會產(chǎn)生懷疑,平時經(jīng)常訪問的網(wǎng)站是否也像CSDN一樣呢?開心網(wǎng)、人人網(wǎng)、新浪微博……對于此類的網(wǎng)站網(wǎng)民可以輕松爆出一大串來,這些網(wǎng)站的信息安全又做得如何呢?
老生常談——用戶自身安全意識
網(wǎng)民的安全意識也再一次被敲響警鐘。有人統(tǒng)計了這次公布的6428632個CSDN密碼,結(jié)果顯示有239萬人的密碼和別人存在重復(fù)。在所有密碼中,123456789出鏡率高居榜首,有23萬5千人使用它作為密碼。排名第二位的密碼是12345678,使用它的人數(shù)也超過了20萬。這些在信息安全從業(yè)人士看來“弱不禁風(fēng)”的簡單密碼,在廣大網(wǎng)民中卻是大受歡迎,由此只能感慨用戶的信息安全意識真的需要大力提高了。
雖然一直以來,媒體和安全廠商都在呼吁用戶要注意保護自己的賬號安全,但此次用戶賬號密碼大泄露事件,卻完全是因為廠商的不負責(zé)任造成的。按照CSDN的說法,只是一個程序員的失誤。而其它網(wǎng)站的泄露原因,是否是CSDN造成的連鎖反應(yīng),尚未得知。但至少從目前的事實來看,在用戶數(shù)據(jù)庫保護方面,廠商們所采用的安全措施實在太弱了。
事件尾聲:
? 嫌犯被刑拘
2012年3月20日,北京警方宣布CSDN網(wǎng)站用戶數(shù)據(jù)泄露案已告破,曾某被刑拘。
犯罪動機——好奇與炫耀
據(jù)了解,曾某中專畢業(yè),其所學(xué)的是計算機專業(yè)。出于對計算機技術(shù)的愛好,長期研究黑客技術(shù)。曾某攻擊CSDN網(wǎng)站出于兩種心理:一是出于好奇,二是為了炫耀。CSDN網(wǎng)站是程序員熟知的知名網(wǎng)站,如果能攻下來,將是在業(yè)內(nèi)炫耀的資本。
犯罪過程與謀利
他研究了一個多月,終于成功入侵了CSDN的服務(wù)器。但由于他用的是個人電腦,網(wǎng)速太慢,下載這么多的用戶信息整整花了2天。得手后,曾某又有了謀利的念頭,畢竟這些信息是有用的。他曾經(jīng)把一些信息給了他的上司。
國內(nèi)“第一罰”
CSDN網(wǎng)站用戶數(shù)據(jù)泄露案告破后,CSDN因未落實國家信息安全等級保護制度,被北京警方處以行政警告處罰。這成為國內(nèi)實行該制度以來的“第一罰”。
權(quán)衡cookie的過期時間
(3)口令探測防護
? 使用驗證碼
? 設(shè)置用戶口令失敗次數(shù)
? 系統(tǒng)全局防護
(4)增強員工安全意識
(5)部署完整的信息安全系統(tǒng)
(6)完善信息安全管理流程
3. 如何保護數(shù)據(jù)庫安全
(1)在日常的數(shù)據(jù)庫管理工作中養(yǎng)成良好的備份習(xí)慣,定期對數(shù)據(jù)庫進行備份;
(2)如果數(shù)據(jù)庫出現(xiàn)被黑客植入病毒導(dǎo)致數(shù)據(jù)丟失、被刪除等情況時,一定要到專業(yè)的數(shù)據(jù)恢復(fù)機構(gòu)尋求幫助;
(3)妥善保管好數(shù)據(jù)庫存儲介質(zhì),避免數(shù)據(jù)遭到二次損壞,因為初次損壞還有較高的恢復(fù)成功率,如果因技術(shù)不精導(dǎo)致數(shù)據(jù)二次損壞,修復(fù)的可能性便微乎其微。
相關(guān)知識:
版權(quán)所有©上海安言信息技術(shù)有限公司 2014-2015 滬ICP備14044522號-1