CSDN“密碼危機”波及面擴大 各大網站建議用戶更改密碼

每經編輯 每經記者 曹晟源 發自上海    

每經記者 曹晟源 發自上海

12月21日，國內最大的程序員社區CSDN上600萬用戶資料被公開，同時黑客公布的文件中包含有用戶的郵箱賬號和密碼。

昨日，繼CSDN信息安全出現之后，網上更是傳出包括人人網、開心網等多家互聯網公司的用戶被公開的消息，不過上述公司均對此予以否認。隨后，包括360和金山都相繼發布警告，通知相關用戶盡快更新密碼。

或成史上最大信息泄露事件

12月21日，360安全衛士在微博披露：“今日有黑客在網上公開了CSDN網站用戶數據庫，包括600余萬個明文的注冊郵箱賬號和密碼。CSDN是國內最大的程序員網站，請廣大程序員務必重視并盡快修改密碼，包括CSDN賬號密碼，以及采用相同注冊郵箱和密碼的其他網絡賬號，如郵箱、微博、購物網站、聊天軟件等賬號，以免蒙受盜號損失！”

晚間，CSDN就在其官方網站上貼出了相關的公開道歉信，公開信中披露，目前泄露出來的CSDN賬號數據基本上是2010年9月之前的數據，泄露原因正在調查中。

在此次事件中，CSDN此前采用的明文密碼方式被認為可能是 “罪魁禍首”。CSDN還在這封道歉信中透露，CSDN網站早期使用過明文密碼，使用明文是因為和一個第三方chat程序整合驗證帶來的，后來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式，改成了加密密碼，但是直至2010年8月底CSDN才清理掉所有明文密碼。采用明文密碼是一個相對低端的模式，很容易就被黑客破解。

在CSDN用戶數據庫泄露后，有消息稱人人網、開心網、世紀佳緣等網站的用戶數據庫或被相繼公開，一時之間一場“密碼危機”被推向高潮。

對此，上述網站方面也做出了相應的回應。人人網方面表示：“人人從上線開始就沒有記錄明文密碼。在此事件后，人人網立刻采取對用戶賬戶的安全保護措施，利用站內信通知所有可能存在賬戶安全隱患的用戶立刻修改密碼并進行安全升級，防止賬戶被盜。如果用戶的人人網賬號密碼和CSDN或其他網站一致，建議馬上修改密碼，以免賬號被盜。在CSDN或者其他論壇等使用相同賬號密碼的用戶的人人賬號存在風險，請盡快修改。”

隨后記者致電同樣出現在被泄露名單中的開心網。開心網方面表示，目前尚未接到關于用戶密碼泄密的問題，不過公司方面也在關注此事的發展。

“CSDN這次大規模的用戶信息泄露，可能會給包括支付寶在內的類似公司造成一些困擾，因為不排除用戶用同樣的郵箱和密碼同時注冊多個網站。”支付寶方面表示，“我們正在將獲得的資料和支付寶用戶進行核對，如果發現有相同會及時做出相關的保護措施。”

網絡安全問題再受拷問

上百萬的用戶信息被黑客泄露，眾多網友紛紛在第一時間修改了相關用戶名密碼，不少網友和業內人士也在質疑相關網站所采用的安全模式問題，。

據此前360發布的《2011年上半年互聯網安全報告》，黑客竊取網站數據庫的危害已遠遠超過盜號木馬。因為如果一家網站服務器被黑客攻破，成百上千萬用戶的常用郵箱和密碼泄露后，可能導致網上支付等其他重要賬號也一并失竊。

值得注意的是，接近年末互聯網的安全問題也接踵而至。此前爆發的微博、MSN大面積盜號事件，其攻擊方式均為黑客“拖庫”后試探盜號的。11月上旬，MSN就曾經遭遇到大面積的賬號被盜事件。當時不少用戶發現自己的賬戶出現異常情況，其中有些是自己賬號無法登錄，系統提示“密碼錯誤”，有些則是用戶收到好友突然發來借錢的消息。

不僅如此，最近一直在推行實名制的新浪微博也遭遇了相同的情況。本月中旬有多數網友反映自己的微博賬號疑似被盜用，在登錄新浪微博時，出現需要更改密碼才可登錄的情況。新浪微博對此表示，通過排查發現近期多起賬戶被盜現象。

上述事件都是因為注冊賬號時用同一郵箱或是密碼所致。目前可供用戶使用的互聯網服務很多，基本都通過用戶郵箱注冊。用戶可能在不同的網站注冊時，會設置相同的密碼。導致一旦某個網站的密碼被盜，多個網站的賬號均可能被盜。

360方面表示，網絡服務商應重視并加強對用戶數據的安全保護，除了修復網站和服務器系統漏洞外，還應注意對用戶數據進行加密存儲，把黑客攻擊的風險降到最低。金山也在相同時間發布了預警公告，并否認了公司員工為首個網上傳播的網民。