CSDN 泄密後,看到自己的密碼,能不能去投訴 CSDN ?


不知道 為什麼這篇博文已刪 , 來自robbin, 2011-11-21

CSDN網站帳號資料庫安全性問題

csdnsql server互聯網

今天去首都在線機房清點伺服器和網路設備,忙了一天。回到公司聽說網路流傳CSDN帳號資料庫的事情,也不斷有朋友和會員問我這個事情,CSDN帳號資料庫是不是明文保存密碼,是否安全?考慮到大家對這個問題都非常關注,解釋一下相關的情況:

CSDN網站早期使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。

我2010年來CSDN上班以後,接手了CSDN產品部門和研發部門。在對整個CSDN網站產品線的梳理過程中,發現CSDN帳號的安全性仍存在潛在的問題:雖然密碼保存已經修改為加密密碼,但老的保存過的明文密碼未清理;帳號資料庫運行在Windows Server上的SQL Server,仍有被攻擊和掛馬的潛在危險,所以我立即要求程序員將所有明文密碼全部清空。

2010年9月我組建了新的研發團隊重寫CSDN用戶管理功能,在《我來CSDN的這一年》 詳細介紹了改造CSDN帳號管理passport的過程。新的passport產品在2011年元旦上線,使用了SHA256演算法+SALT加密,帳號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN帳號的各種安全性問題。

以下是大家可能關心的問題:

一、CSDN帳號資料庫是明文保存密碼嗎?

2009年4月之前是明文,2009年4月之後是加密的,但部分明文密碼未清理;2010年8月我來CSDN以後清理掉了所有明文密碼。

二、我的CSDN帳號是安全的嗎?需要修改密碼嗎?

1、如果你是2009年4月以前註冊的帳號,且2010年9月之後沒有修改過密碼,請立即修改密碼;

2、如果你是2009年4月以後註冊的帳號,且2010年9月之後沒有修改過密碼,建議修改密碼;

3、如果你是2010年9月以後註冊的帳號,不必修改密碼,但郵箱有泄露可能性;

4、如果你是2011年1月以後註冊的帳號,帳號,密碼和郵箱都非常安全;

三、CSDN帳號資料庫現在是安全的嗎?

歷史遺留的安全隱患從2011年元旦起已經全部解決。CSDN帳號資料庫已經遷移到了Linux平台上的MySQL資料庫,進行了多方面的安全加固,密碼加密強度也很高。

四、CSDN老的帳號資料庫是怎麼泄露的?

目前泄露出來的CSDN明文帳號數
據是2010年9月之前的數據,其中絕大部分是2009年4月之前的數據。因此可以判斷出來的泄露時間是在2010年9月之前。泄露原因不詳,但是從互聯
網運營角度來說,Windows和SQL Server的安全性是比較難保障的,這也是為什麼我改造passport要遷移到Linux平台的主要原因。

五、如果我的CSDN帳號已經被盜怎麼辦?

1、使用忘記密碼功能,系統會重置密碼,將新密碼發到你的註冊郵箱

2、給管理員發郵件,請管理員幫助找回帳號

六、我們將採取什麼措施彌補此次問題?

1、我們將針對2010年9月之前的註冊用戶,提示修改密碼

2、我們將針對所有弱密碼用戶進行提示,要求用戶修改密碼

3、我們將對2010年9月之前所有註冊用戶群發Email提示用戶修改密碼


感覺他們太差勁了。


連夜做了一個檢測被盜csdn用戶的網址:http://www.addpv.com/csdn/index.aspx

csdn上的朋友如果沒有下載到資料庫,可以上去檢測一下自己是否在泄漏的那600萬之內。


我們公司4個人grep了下, 都在上面.. 然後大家趕緊改密碼中...

這事情一張揚 CSDN 顏面全無

不張揚 那600w人中的大多數完全不知道自己的帳號被盜了, 對應的郵箱, 對應的其他服務(大部分都習慣用同一個郵箱密碼 註冊所有服務)

所以不管怎樣, 我真想罵死 CSDN


泄密的原因 及說明已經有了

http://robbin.iteye.com/blog/1319958

csdn:對於CSDN用戶賬號密碼資料庫被泄露一事,經過初步分析,該庫系2009年CSDN作為備份所用,由於未查明原因被泄露,特向所有因此而受到影響的用戶致以深深歉意。目前CSDN已向公安機關報案,公安機關也正在調查相關線索。CSDN現有2000萬註冊用戶的賬號密碼資料庫已經全部採取了密文保護和備份。

蔣濤:關於密碼明文的詳細說明 是當年由於非常愚蠢的原因保存 又由於安全原因泄露 再次沉痛致歉

我們已經關閉註冊用戶登錄 等待重置所有相關用戶密碼完成 預計明天早上恢復登錄

更多:http://weibo.com/csdncto


你們有沒有注意到那個文件的日期時間是2011.10.16。有價值的號估計已經被洗刷一遍了。還好我支付寶什麼的都沒錢。


網站漏洞怎樣去查呢


csdn首頁從未有道歉


推薦閱讀:

《法學方法論》讀書筆記3.5.2:取得小前提:不僅僅是涵攝
夫妻共同債務的認定
《法學方法論》讀書筆記3.1.2
睡前消息【17-03-16】上了不要慫
遭遇有償失物招領該怎麼辦?

TAG:法律 | 網路安全 | CSDN |