密码是这样失控的
当谁都能下载到几个最受欢迎网站的用户密码库时,中国互联网——这个看起来人们曾经可以说悄悄话、购物、存储照片、私人信件的虚拟世界正在揭开最后一层危险的面纱。
近半个月以来,CSDN、天涯等网站的用户密码库陆续被爆出被破解并在网上流传。一场公民个人信息的安全危机爆发。
这看上去只是一个偶然事件,但安全圈内人士判断,CSDN网站几年前就已被攻破,只是这种在“地下”流通的东西,现在普通的人就能够拿到而已。这可能拉出来一个更加复杂的链条。本报接触的国内安全圈的人士称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。
安全厂商某安全的一位程序员称,此次事件已经突破了以往黑客界的底线——只炫耀比技术或者挣点小钱,不流传不散播。
黑色圣诞
2011年的12月25日注定是一个不安的圣诞节。
中国开发者技术在线社区CS-DN数据库被泄露的消息爆出,用户的明文邮箱和密码被不加密地挂在网上,网民可以下载。
真正的爆发,是在圣诞节之前四天的12月21日上午10点左右,一个QQ用户在一个安全领域的相关QQ群称,自己掌握了CSDN的数据库,随后又发了一条链接——迅雷的共享链接。迅雷的这个链接是只有安装了迅雷软件的用户才能去下载。CSDN的数据库在迅雷里第一次传播。
某安全的一位程序员对本报称,起初他并没有太在意,以为是个玩笑,中午去吃饭之前试了一下,结果真的下载成功。他用程序统计了一下,共有600多万行,全部都是明文的邮箱和密码,是“泛ID”,即也可以用来登录京东、凡客或者任何什么用该邮箱做用户名的网站。
在检验这个库的真实性之后,该安全厂商程序员删除了密码库。
但令他震惊的是,金山公司的一位员工韩某,网名为“hzqedison”的却选择了另一种做法,在迅雷快盘上分享了完整数据包,该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。
事态就此升级。“泄密门”当事者“hzqedison”于22日晚发表微博承认传播一事,并向广大网民致歉。
金山公司对此事的解释是,其间hzqedison将部分网上流传密码库分发给同事自查不慎被外人所获知,已迅速删除,仅被个别同事下载。
金山毒霸的一位反病毒工程师李铁军对本报称,其间韩某将部分网上流传密码库分发给同事自查不慎被外人所获知,且hzqedison在获知该链接已被外人获知后,迅速删除了该链接,据删除前统计,该链接仅被不超过5个同事下载,并未造成扩散——韩某并非传言中所谓黑客,不是元凶。
但在迅雷上,链接疯狂地被下载和传播。迅雷公司事后才开始全面清理泄密链接。
当然,中招的不只是CSDN,网上还爆出了天涯、世纪佳缘(微博)、珍爱网等知名网站也采用明文密码,用户数据资料被放到网上公开下载。
1月4日,《京华时报》第九版刊载了这样一条消息:从未参加网购的王先生同时接到了几大电子商务网站的货到付款快递,他没有下过订单,但他的名字、联系方式都是对的。问遍了周围的人,王先生也没有找到下单的人。
“臭小子”的帖子
在此次泄密事件中,CSDN、天涯以及很多小网站的明文密码库的总数已达七八千万。除此之外,还有很大一部分是密文数据库,比明文密码库要多很多。
此后,CSDN对此事的解释是,网站早期使用过明文密码(就是保存密码或网络传送密码的时候,用的是可以看到的明文字符,而不是经过加密后的密文),使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。
事实上,一直到2009年4月,CS-DN的程序员才修改了密码保存方式,改成加密密码。但部分老的明文密码未被清理,2010年8月底,CS-DN对账号数据库全部明文密码进行了清理。2011年元旦,CSDN升级改造了CSDN账号管理功能,使用了强加密算法,账号数据库从 Win-dowsServer上的SQL Server迁移到了Linux平台的MySQL数据库,才算初步解决了CSDN账号的各种安全性问题。
也就是说,2009年4月之前CS-DN上用户的信息都是明文密码库,2009年4月之后是加密的,但部分明文密码未清理。2010年8月底清理掉了所有明文密码——CSDN称,从2010年9月开始全部都是安全的,9月之前的有可能不安全。
本报接触的国内安全圈里很多人都称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。这次,用户的密码库被下载后被证明大约有20%是真实的,其余则是很久以前的,很多账号和密码已经不再使用。