CSDN 泄密後,看到自己的密碼,能不能去投訴 CSDN ?
不知道 為什麼這篇博文已刪 , 來自robbin, 2011-11-21 CSDN網站帳號資料庫安全性問題
csdnsql server互聯網
今天去首都在線機房清點伺服器和網路設備,忙了一天。回到公司聽說網路流傳CSDN帳號資料庫的事情,也不斷有朋友和會員問我這個事情,CSDN帳號資料庫是不是明文保存密碼,是否安全?考慮到大家對這個問題都非常關注,解釋一下相關的情況:
CSDN網站早期使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。
我2010年來CSDN上班以後,接手了CSDN產品部門和研發部門。在對整個CSDN網站產品線的梳理過程中,發現CSDN帳號的安全性仍存在潛在的問題:雖然密碼保存已經修改為加密密碼,但老的保存過的明文密碼未清理;帳號資料庫運行在Windows Server上的SQL Server,仍有被攻擊和掛馬的潛在危險,所以我立即要求程序員將所有明文密碼全部清空。
2010年9月我組建了新的研發團隊重寫CSDN用戶管理功能,在《我來CSDN的這一年》 詳細介紹了改造CSDN帳號管理passport的過程。新的passport產品在2011年元旦上線,使用了SHA256演算法+SALT加密,帳號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN帳號的各種安全性問題。
以下是大家可能關心的問題:
一、CSDN帳號資料庫是明文保存密碼嗎?
二、我的CSDN帳號是安全的嗎?需要修改密碼嗎?
2、如果你是2009年4月以後註冊的帳號,且2010年9月之後沒有修改過密碼,建議修改密碼;
3、如果你是2010年9月以後註冊的帳號,不必修改密碼,但郵箱有泄露可能性;
三、CSDN帳號資料庫現在是安全的嗎?
四、CSDN老的帳號資料庫是怎麼泄露的?
據是2010年9月之前的數據,其中絕大部分是2009年4月之前的數據。因此可以判斷出來的泄露時間是在2010年9月之前。泄露原因不詳,但是從互聯
網運營角度來說,Windows和SQL Server的安全性是比較難保障的,這也是為什麼我改造passport要遷移到Linux平台的主要原因。
五、如果我的CSDN帳號已經被盜怎麼辦?
2、給管理員發郵件,請管理員幫助找回帳號
六、我們將採取什麼措施彌補此次問題?
1、我們將針對2010年9月之前的註冊用戶,提示修改密碼
3、我們將對2010年9月之前所有註冊用戶群發Email提示用戶修改密碼
感覺他們太差勁了。
連夜做了一個檢測被盜csdn用戶的網址:http://www.addpv.com/csdn/index.aspx 。csdn上的朋友如果沒有下載到資料庫,可以上去檢測一下自己是否在泄漏的那600萬之內。
我們公司4個人grep了下, 都在上面.. 然後大家趕緊改密碼中... 這事情一張揚 CSDN 顏面全無 不張揚 那600w人中的大多數完全不知道自己的帳號被盜了, 對應的郵箱, 對應的其他服務(大部分都習慣用同一個郵箱密碼 註冊所有服務) 所以不管怎樣, 我真想罵死 CSDN
泄密的原因 及說明已經有了
http://robbin.iteye.com/blog/1319958csdn:對於CSDN用戶賬號密碼資料庫被泄露一事,經過初步分析,該庫系2009年CSDN作為備份所用,由於未查明原因被泄露,特向所有因此而受到影響的用戶致以深深歉意。目前CSDN已向公安機關報案,公安機關也正在調查相關線索。CSDN現有2000萬註冊用戶的賬號密碼資料庫已經全部採取了密文保護和備份。
蔣濤:關於密碼明文的詳細說明 是當年由於非常愚蠢的原因保存 又由於安全原因泄露 再次沉痛致歉
我們已經關閉註冊用戶登錄 等待重置所有相關用戶密碼完成 預計明天早上恢復登錄 更多:http://weibo.com/csdncto你們有沒有注意到那個文件的日期時間是2011.10.16。有價值的號估計已經被洗刷一遍了。還好我支付寶什麼的都沒錢。
網站漏洞怎樣去查呢
csdn首頁從未有道歉
推薦閱讀:
※《法學方法論》讀書筆記3.5.2:取得小前提:不僅僅是涵攝
※夫妻共同債務的認定
※《法學方法論》讀書筆記3.1.2
※睡前消息【17-03-16】上了不要慫
※遭遇有償失物招領該怎麼辦?