11-12-29 09:01 0 RSS 2.0

　　沸沸扬扬的密码泄露事件进一步升级，最早被公布密码泄露的技术网站CSDN12月28日公布：因为腾讯的Discuz论坛存在漏洞，使用该论坛会造成资料的泄密，这是网站密码泄密的元凶！该网站还在公告中戏称：腾讯你的裤子掉了，请将你的裤子穿起来。

　　从12月21日CSDN的640万用户账户、密码、邮箱遭黑客泄露，到后来天涯的969万账号超过4000万数据、人人网的476万个账号、网易土木论坛的4.3GB数据、太平洋电脑网200万账户、多玩的830万账户等等，密码泄露事件愈演愈烈。

　　据互联网安全专家李铁军介绍，这次泄露的数据都不是最新的，可以判断为多层转手之后意外流出的数据库，如果不是这些数据泄露，估计公众仍然不知情，可能受到的伤害更大。

　　密码是怎么传出来的？

　　12月21日，一份名为“CSDN-中文IT社区-600万.rar”的文件在互联网疯传。据报道称，传出这份文件的是一名金山毒霸的产品经理，他将密码数据库上传到网络，随后被其他用户大量转发。这个微博名为“hzqedison”的用户后来在其微博发表声明称，他并非黑客，只是在一个QQ聊天群里看到CSDN的数据库下载地址，通过迅雷的离线下载功能下载了该文件来检查自己的账号是否被泄露。

　　这件事的始作俑者是谁已经无据可查，但是这批泄密资料确实是通过网络下载工具迅雷被人意外下载的。据这名业内人士称，上述网站和论坛的密码、个人信息等数据其实早在数月前已经被黑客获取，并在私下里传播，本来相安无事，谁知碰到其中某个黑客用了新版本的迅雷，因有“相关推荐”功能，于是所有数据大白于天下。而且，现在这些资源已经被无数次分享，已经无法阻止相关数据的传播。

　　为了搞清楚密码泄露的路径，记者下载了一款版本为7.2.4.3312的迅雷下载软件，并且使用迅雷下载一个编程程序，在下载过程中，迅雷就在其相关推荐栏里面给出了“CSDN-中文IT社区-600万.rar”的相关下载地址，也就是最初泄露的密码。

　　业内人士称，部分黑客通过邮箱内部交流黑来的数据库，其中一些人通过迅雷离线下载或者高速通道下载，这样这些数据库就保留在了迅雷服务器。而其他用户在使用迅雷下载时，通过“相关推荐”功能把黑客用来内部交流的数据下载了下来。

　　12月23日，迅雷相关负责人在接受采访时表示，迅雷已经全面屏蔽了与CSDN泄密有关的文件，不仅用户无法通过迅雷下载平台下载相关内容，试图通过迅雷快传、迅雷网盘等迅雷产品进行传播的行为也将被绝对禁止。

　　实际上，现在迅雷的“相关推荐”功能还在运作，而泄露的密码文件却变换了名称，以各种方式在继续传播。据业内人士说，迅雷软件能够屏蔽掉某一个“相关推荐”，但是用户通过简单的操作就能改变文件的MD5编号，从而绕过迅雷的屏蔽。

　　为何黑客破解网站如此容易？

　　继社交网站、论坛的密码被泄露之后，电子商务网站京东商城也被曝出存在高危漏洞，圆通速递的主页被黑，加剧了网民对于网络信息安全的担忧。

　　12月26日，网友“我心飞翔”在专业安全网站“乌云”上提供的资料显示，京东商城存在高危险的漏洞，可能导致用户资料完全泄露。京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录系统后，都可以正常访问到所有用户的信息，包括姓名、地址、电话、E-mail等。而此事已经得到了京东的确认，其对举报者回复：感谢对京东的关注，我们马上处理。

　　12月28日，圆通速递公司的网页被篡，空荡荡的网页上只有一句话“JUSTFORFUN”(就是为了好玩儿)，并且留下了一个名字，eleven& FnH4ck！。据李铁军介绍，圆通的主站被黑，很可能被“拖库”(数据库程序员专业名词，从数据库导出数据，也就是数据泄露了)。

　　面对用户数据被盗，CSDN在12月21日发布道歉信称：这次泄露的密码多是2009年4月之前注册的，因为当时使用的都是明文密码。后来程序员始终未对此进行处理，一直到2009年4月才修改了密码保存方式，改成了加密密码，但部分老的明文密码未被清理。

　　据李铁军介绍，用户提交资料到网站、论坛时都是明文的，一般情况下网站会对这些数据做加密处理，以保护安全。没有做加密的，就全是明文。

　　相比之下，密文要略好一些，加密的方式也很多，通常认为，直接从密文逆向解密出明文是不可能的(需要超强的计算能力和非常长的时间)。

　　但是李铁军指出，黑客才不是笨蛋，黑客绝不会用这种逆向思维。他们已经收集了海量的明文和密文对照的字典，通过这些字典，提交密文立刻可以查到明文，就像查字典一样简单；而且成功概率非常惊人，超过90%。

　　李铁军说，从网络技术来讲，没有黑不了的网站。但是这次密码泄露所暴露出来的并非是技术问题，而是管理问题。CSDN、天涯等网站使用了明文密码使得黑客的破解易如反掌。网站关心的是内容，是产品服务，安全只处于不重要的角落。从另一个角度看，就算数据被盗了和网站的服务又有多大关联呢？反正丢的只是网民数据，网站仍然在，网站没有直接损失，那怎么会有人为安全投入资金和人力呢？很多网站就是这样想的。

　　到底是谁获利了？

　　业内人士认为，最近公开的仅仅是部分在黑客交易市场中流传很久的老旧数据库，而目前中国黑客的黑色产业链规模价值或达上百亿元。

　　据中国鹰派联盟网的创立者万涛透露，CSDN这样的明文密码库，如果不是定向销售，估值也仅会在数千到几万人民币。整个产业链并不复杂，但最终被榨取的除了用户账户内的有限财富外，还有用户本身的隐私和数据。

　　据媒体报道，此次密码泄露事件也是乌云网最先报告的。之后的一周时间里乌云又发布了多个网站密码被泄露的消息，该网站一时间炙手可热。

　　密码泄露事件爆发后，网络上开通了许多查询账户安全的网站，仅记者用过的就有两家。有趣的是，这两家的检测结果并不一致。李铁军说，有人就是借此宣传自己。

　　我的隐私哪去了？

　　有人做过一个简单的实验，在获取一个用户的天涯账号之后，黑客首先尝试了与之相关联的网易邮箱，由于许多用户在不同的网站采取同样一套账号密码，所以一旦某一个网站被攻破，就相当于全线崩溃。

　　进入邮箱后，黑客可以迅速获得用户曾经在注册开心网、人人网、微博等社交网站，智联招聘、中华英才网等招聘网站和京东商城、淘宝网、当当网等电子商务网站发送的确认邮件。

　　由于智联招聘、京东商城等网站的注册确认邮件中会直接显示会员及密码，所以黑客可以很轻松地获取大量的个人信息。一般的招聘网站还会有用户的真实姓名、身份证号码、收入情况和生日等重要信息，甚至有可能把淘宝及支付宝的密码破解。

　　由此看出，一个天涯账号的泄密变成了一个导火索，将一个人所有相关的信息全部泄露。据匿名黑客介绍，已经获得的信息可以反复销售数次：虚拟货币的账户卖给专人变现；网络游戏的账号卖给玩家变现；个人资料卖给各个推广公司、调研机构；私密关系可以卖给骗子集团牟利等等。

　　业内人士称，上述产业链黑客并非主导。直接获取账号内的虚拟货币或盗取账号只是小买卖，市场对隐私和数据的需求才是黑客不断盗取密码的主因。如今互联网市场细分，隐私买卖早已泛滥。虽然用户可以不断修改自己的密码，但真实的身份信息却永远不会改变。

　　我省网站尚未发生大面积用户密码和用户名泄露事件

　　本报讯(记者白云)近日，天涯等多家知名网站被爆出用户名和密码被泄漏，数百万用户的信息被公布在网站上。28日，记者专访河北省公安厅网安总队管理支队支队长任冬伟得知，我省网站尚未发生大面积用户密码和用户名泄露事件。

　　警方提示网民，尽快更改个人密码，防止一码多用，对支付宝、网银等涉及到钱财交易的要使用加密支付方式。

　　如何判断个人用户名密码已被盗

　　众多网站的个人信息失窃，让网民对网站本身的安全性表示怀疑，而众多网民在多家网站用相同用户名和密码，也是此次个人信息失窃事件被关注的另一个重要原因。

　　如何才能及时发现自己的密码失窃呢？任冬伟提示，一是查看是否有异常登录；二是到查询网站针对自己的账号泄露情况进行查询。网站链接：http：//lucky.anquanbao.com/。为确保个人信息不过多暴露，用户查询时，可只输入用户名，不必输入邮箱全部地址。

　　信息失窃后的补救措施

　　在安全宝网站的查询中，本报记者的邮箱不幸中招。除了及时更改密码，还有哪些措施可以减少损失或减少麻烦呢？

　　任冬伟介绍，首先是及时更改已泄露的密码，如果密码已经被黑客更改，要及时采用密码找回方式找回密码。

　　而防止出现更多的其他网站密码失窃，一是防止一码多用，不要在多个网站注册时使用同一用户名，同一用户信息；二是对自己的密码要有序管理，按照重要级别分类设置；三是对支付宝、网银等涉及到钱财交易的要使用加密支付方式。

　　同时，任冬伟提示各位网民，不要擅自下载用户资料数据包，对于发布此类数据包的，公安机关将对其立案侦查，依法追究其相应的法律责任。

　　实际上，保护网络信息安全在我国并非无法可依。据河北美东律师事务所薛莹律师介绍，依据我国法律，严重的侵害计算机信息系统可判五年以上有期徒刑。

　　今年6月20日公布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对此做了详细的说明：明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得五千元以上的，应当依照刑法第三百一十二条第一款的规定，以掩饰、隐瞒犯罪所得罪定罪处罚。

蒙牛乳业官网12月28日晚被黑 LG罢工事件升级 官方网站遭黑客挂马