大家對於 CSDN 等網站的用戶密碼泄漏事件怎麼看?
一些的很多大網站,包括天涯等都已經用戶庫泄露,請注意如下鏈接:
http://www.wooyun.org/bugs/wooyun-2010-03523
可能還包括多玩,天涯家園,百合網這些網站也存在用戶密碼泄露的情況已經不單單是改密碼的問題了
1,CSDN致歉信里好歹給個重置密碼的頁面的鏈接吧?這他媽是底線了蔣老闆。致歉信那麼長誰看啊,好歹做點有用的給個鏈接好吧。
2,至今沒收到CSDN直接發來的郵件啊。你們自己拿著網上公開出來的資料庫都能分分鐘寫出個腳本通知我們好嗎?
3,用戶設置里給個註銷帳號的選項吧,求你們了。600萬用戶數據泄露了至少一年啊。
4,另外「泄露」和「泄漏」這兩個詞不一樣的好嗎,做媒體的語文不要這麼差啊。
5,蔣總以後少花點時間在微博和各類社交網站上,多花點時間在正經事上吧,求你了。來知乎回答本題貼個致歉信結果點過去還是404,你好意思嗎。
很顯然在推微博實名這個點爆出這次的密碼泄露事件是hacker們做給zf看的吧
下面的說法很不靠譜。
審查不是明文密碼的借口。
非對稱加密可以在保存密文的同時,使用私有密鑰快速的得到明文。
明文密碼沒有任何借口。
-------------------大家知道互聯網審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構的老闆,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什麼不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。http://shell909090.com/blog...
以下均屬捕風捉影道聽途說,大家聽了就當一樂。
1. CSDN用戶庫只是第一個被玩兒殘了的庫,某些人玩膩了丟出來看戲罷了。
2. 對大樣本來說,密碼做md5存儲和明文存儲基本沒有區別;即使做了salt再散列也一樣有別的辦法取得明文密碼。
3. CSDN網站伺服器曾被人掛了shell整整兩年沒有被發現。
4. 這只是開始,遠遠還未到結束。歲末應該還會有更勁爆的消息吧?
程序員的世界和黑客的世界不在一個位面,按照某人的話說,有5年的時間差。我本人今年某夜有幸親歷國內某頂尖黑客侵入台灣邱毅的賬號的全過程,嘆為觀止四字而已。
公布出來的泄漏只是冰山一角,國內大多數網站安全管理都不到位,反映在以下幾方面:
第一,很多從事網管工作的技術人員本人都沒有正確的網路安全觀念,俺經常見到技術人員自己的電腦中病毒中木馬,連自己都保護不好的人怎麼能保護別人?
第二,很多網站對於用戶安全與隱私這種與直接經濟效益無關的事情,總是放在最末位去考慮,甚至根本不考慮,國內對於此類案件,也沒有有效的懲罰索賠機制,所以泄漏了用戶隱私幾乎不用承擔責任,別說網站了,銀行電信照樣很多泄漏用戶隱私的事件,可曾見他們賠過一毛錢沒有?這種環境下誰為保護用戶隱私而投資誰是傻瓜。
第三, 很多網站為了快速上線運營,都是拿現成的代碼稍加修改,匆忙上線, 即使自己搞架構,也不過是拿幾個現成的開源系統拼湊在一起組成自己的一套系統。對於加密解密,單點登錄,甚至用戶許可權管理都是拿來主義,所以各家的安全系統其實都差不多,搞定一家基本上就能到處搞定。
所以我認為,被搞定的網站肯定成百上千,公布出來的是極少數,大多數黑客還是懂得低調做人,偷著樂去了。此次事件倒是一次很好的安全意識教育,各位沒在上述網站註冊的童鞋,千萬不要沾沾自喜,認真對待安全問題吧。指望運營商保護我們是不現實的,只有自己才真正靠得住。
另外給大家透露點內幕,網站做到一定程度,通常的做法是與一家著名安全公司合作,每年花一筆錢做諮詢,業內俗稱交保護費。大的安全公司類似於一方黑社會老大,能夠鎮住自己地盤上的小流氓,因為安全公司本身就會搜羅很多草莽英雄,這些人都是某個地頭上的大哥,對下面的小弟有足夠的號召力。所以交了保護費通常就能買到平安。當然像某些自己有安全產品的互聯網公司,自己就是老大,自然不用別人保護。這次的事件,是不是因為前段時間通貨膨脹讓大家對保護費數額產生爭議,以至於最終撕破臉,不得而知。
CSDN應當對所有中招的用戶發一封道歉信,提醒改密碼
他們說這是09年的備份資料庫文件,不知道現在的密碼是明文還是密文,這樣的信息價值連城
我一個同學通過郵箱地址和密碼進了一個老師的郵箱,然後發現各種論文抄襲,幫別人中標工程,弄論文,搞項目什麼的 ,以及一些情色內容,太恐怖了
#補充一點,那個同學成功的又進了兩個支付寶賬號,其中一個還有餘額 ,當然錢是沒敢動的
做為一個老牌的技術社區,資料庫信息竟然被整站拖走,對於CSDN的聲譽真的是一個巨大的影響,尤其那些使用通用帳號的用戶。
我個人倒是沒有受到太大的影響,一直都分網站類型註冊帳號,CSDN被我歸到普通網站,密碼巨簡單,註冊郵箱也用的是廣告巨多,根本不會登錄使用的新浪郵箱。基本沒有泄露什麼個人信息。
涉及個人信息的我基本都用163的郵箱註冊。
關鍵信息的都扔密碼級別最高的gmail上面去了。
剛在42去看到了一篇分析密碼頻率的文章
http://jianru-lin.42qu.com/10192109
頗有意思,相當好的一部密碼字典呀,中槍的趕緊去把其他密碼也改了吧。
昨天剛看完知乎上關於「如何管理好自己密碼」的問題,其中@Rio以及@濤吳的回答讓我受益很多,其中共同的一點就是不可使用通用密碼。養成良好的密碼習慣非常重要!
傳送門:http://www.zhihu.com/question/19695004
600W的用戶數據啊,幸好CSDN被我歸入密碼級別較低的網站,使用的是簡單密碼,設置的郵箱也不是重要郵箱。否則後果不堪設想!
根據國內某黑客網站透露,絕不僅僅是CSDN的資料庫被脫褲泄漏,大量的國內的知名網站如人人網、http://uuu9.com、多玩YY語音、ENET矽谷動力、百合網、珍愛網、世紀佳緣、金山、開心網、美空、噹噹網等。
有黑客爆料稱,多玩遊戲的800萬用戶,7K7K小遊戲的2000萬用戶、http://178.com網站的1000萬用戶資料已經泄露,更有人公布數據包截圖,稱包括人人網500萬、開心網、天涯社區、世紀佳緣、百合網等大批社交網站會成為下一批目標。
最後,再強的密碼組合遇上CSDN這類不負責任的網站也是白搭,都是明文啊!!!我的看法:這是意料之中的事情。
首先,對國內網站的安全性本來就不會報很高期望。所以我一直恪守一號一密原則,換句話說,每個不同的網站的不同的用戶名,我的密碼都肯定不同。(關於如何記住成千上萬個密碼那就是另外一個話題了)
其次,這更說明了安全是一種自身意識,靠別人與靠產品都是靠不住的。只有黑客級的程序員才能理解。靠譜的程序員要麼是混郵件列表的,要麼是混國際網站的,國內網站那點信息泄了就泄了,只當是個教訓。
這個教訓就是:叫你在不同網站用相同密碼!
大家知道互聯網審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構的老闆,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什麼不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。
http://shell909090.com/blog/2011/12/%E5%AF%86%E7%A0%81%E4%B8%BA%E4%BB%80%E4%B9%88%E6%98%8E%E6%96%87%E5%AD%98%E6%94%BE/
媽的,我是老用戶啊,不過還好那個密碼用的極少(屬於個人中等複雜度)
看了大家的回答,發現程序員都喜歡在多個網站使用一個密碼(使用毫無複雜度密碼的用戶除外)。。。卻是泄露出來的只是一些價值不大了得數據而已。真正有價值的數據還不會(不敢)這麼大張旗鼓的放出來呢。
自殺以死謝罪吧。
諶斌? 說的大家想必都想到了,我補充一點,人們的思維中往往會按密碼強度擬定幾個級別的密碼,而CSDN這種高信任度的網站,用戶採用的密碼許多可能會跟主流網站,甚至支付寶等金融支付系統密碼一樣。
其實這場事件在國內外一些黑客論壇上都是這樣認為的。
1.中國政府強制微博實名制宣布開始
2.名人微博帳號開始大規模被盜
3.新浪開始限制登錄,同天CSDN600萬庫流出
4.第二天,許多其他或新或舊的庫開始廣泛流傳(主要是7個)
5.第三天,有多個黑客宣稱奪取3E騰訊資料庫(4.74G)和支付寶淘寶等敏感資料庫。
6.網友向政府實名制安全性施壓。
所以說這場事故完全針對網路實名制
密碼用明文保存就是心懷鬼胎。
三年前我就知道了csdn的密碼了。。。只是那時候黑客圈沒人爆出來,小範圍內弄著玩了,也沒幾個人真的去做啥大壞事,那時候就是我知道了自己的密碼可以被查詢,被查看,被泄露,所以我修改了QQ等重要賬號的密碼。 別太延伸,這次大規模爆發出來,估計是黑客想提醒國家如果啟用實名制的安全擔憂,和實名制信息收集後平台和機構無法保證不拿這些信息「作惡」而已。
我是發現一個事情:郵箱+密碼的方式,也不靠譜了(大家記不住幾組密碼的)。動態的驗證方式可能靠譜一些,比如用手機接收驗證。當然這些都是彌補,自己要提高自己的信息安全意識,起碼不能把郵箱密碼到處用嘛。
統計統計用戶使用的密碼頻率也挺有意思。。還有郵箱使用率
http://www.withti.me/?p=188
對,後果很嚴重。例如我的密碼,就是在很多網站上通用的,現在不得不大量的更改密碼,對我造成了很大的不方便。如果不改密碼,很容易中招。
外國的網路部隊,這麼大規模,有組織,而且發布系統這麼完整的流程的,只有國家級別的網路部隊才能做到。為什麼這麼說,我說點我的想法,僅僅代表我個人的觀點。
首先時機,早在金融海嘯過後,北約經濟體就已經開始對中國開始了經濟戰,從股市到基金,到外匯和等等涉及出口的限制性政策就可以看出。還有就是中國大量熱錢的湧入,走過樓市,股市,炒過流通貨,大蒜,糧食,等等那些曾經貴的離譜的東西。直到現在,2011年末,經濟大戰告一段落,中國以依賴出口和代加工的模式,被美國狠狠玩了一把,人民幣升值,等於把中國的美元儲備拿走。這是其一,第二,從各個行業的熱錢當量撤出,導致房地產,股票,基金,黃金等等的大幅度下跌。這些足夠讓政府和老百姓吃上一壺,是動蕩人心的開始。
然後是輿論戰,這個是潛伏了30年後,一點點物質化之後的洗腦,在最近幾年大規模爆發的。很多潛伏的輿論戰特務(比如有些帶路的媒體人等等)。現在民眾通過微博,論壇,社區也領略到了那些靠慈善,捏造同情事件來針對體制進行的有理和無理的攻擊,而這些人,正利用了經濟戰造成的民生不穩,來更加激起對政府的不滿(尤其是有些政府行為的確很操蛋的情況下,更給他們找到了很多素材)。所以,他們的輿論戰階段性的成功。不過現在,國內也多了一些清醒人士的反擊,他們也面臨巨大的任務和輿論壓力,所以,這個勝負還未定奪。
最後是這次的網路站。現在老百姓對於網路的依賴程度非常之高(一定不誇張),對於社區,論壇,微博,網上交易等等,都不陌生。但是每個人都有個埋藏在心理深處的定時炸彈,是什麼?帳號安全。由於現在媒體上的輿論戰不能迅速取勝,國外在針對網路,採取了行動。網路部隊,而且在國內,一些民間組織的黑客,也被其收買,而且這次涉及很多泄漏用戶資料的公司里,也有一部分被收買,在金正日追悼期間,發生了這事,也算是試探性的。
就如這個回答所說,短時間,這麼大規模的攻擊,是要有很強的組織能力和協調性的,黑客組織不會自發的組成聯盟,做過這行的能懂我說的話。除非有幕後,而且是有錢有背景的幕後支持,才會聯合起來做這事。而國內的黑客,目前只是為一些商業機構盜取對手資料販賣和攻擊賺錢,他們拖下來的資料,不會蠢到公布到網上去得罪政府,讓政府來抓他們。因為國內幾個黑客組織,在國家是有備案的。很容易查。而且把這些大網站的資料泄露到網上,對他們不但沒利益,而且還有害。所以,國內黑客大規模參與的可能性不大,只能是被國外政府和敵對網路部隊組織收買,而且都是散戶。還有一部分是各大網站的內部人,因為是接連同時被黑。大網站如果有一個被黑,其他公司都會下意識的加強自己的安全,但是為什麼會接二連三的出事?因為有內鬼通風報信,在他們沒設置好的情況下,發動攻擊,為啥有的沒被發現?因為一些許可權帳號,早已經到了網路部隊手裡。
綜上,是我對這次事件的看法。歡迎指正。推薦閱讀:
※OS X 10.10.3 使用自動代理配置 (Pac) 設置好後,Safari 無法上網,但是 Chrome 卻可以?
※產品經理為什麼會存在?
※Lisp 值得去學習嗎?
※零基礎如何學習 Web 安全?