昨日，CSDN在首頁(yè)發(fā)布致歉信。網(wǎng)頁(yè)截圖

你在網(wǎng)上錄入的信息越多，可能對(duì)你造成的威脅越大。昨日，有關(guān)國(guó)內(nèi)知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫(kù)，被黑客公開(kāi)的消息在微博流傳。600余萬(wàn)個(gè)明文注冊(cè)的郵箱賬號(hào)和密碼遭泄露的后果，引起網(wǎng)民關(guān)注以及對(duì)管理方安全意識(shí)的批評(píng)。CSDN方面隨后確認(rèn)此事并向用戶致歉，盡管CSDN稱已向警方報(bào)案，但還是引發(fā)了用戶的修改密碼潮。事件也讓網(wǎng)民對(duì)部分網(wǎng)站保護(hù)用戶信息安全的能力產(chǎn)生擔(dān)憂。

有網(wǎng)友下載到泄密信息

較早發(fā)布CSDN用戶數(shù)據(jù)庫(kù)被公開(kāi)信息的是“360安全衛(wèi)士”。“緊急通知”，該微博于昨天12時(shí)33分發(fā)微博說(shuō)，今日有黑客公開(kāi)了CSDN網(wǎng)站的用戶數(shù)據(jù)庫(kù)，包括600余萬(wàn)個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼。

據(jù)悉，CSDN是國(guó)內(nèi)知名程序員社區(qū)，官方宣稱用戶達(dá)到了2000萬(wàn)。鑒于很多網(wǎng)友在多個(gè)網(wǎng)站使用一套賬戶名和密碼的做法，“360安全衛(wèi)士”在微博中表示，為避免蒙受損失，相關(guān)用戶應(yīng)盡快修改包括CSDN賬號(hào)密碼，以及采用相同注冊(cè)郵箱和密碼的其他網(wǎng)絡(luò)賬號(hào)，如郵箱、微博、購(gòu)物網(wǎng)站、聊天軟件等賬號(hào)。

消息很快就在微博上傳播開(kāi)來(lái)，接著有多位網(wǎng)友發(fā)帖說(shuō)，已下載到該數(shù)據(jù)庫(kù)的文件，并公布了下載頁(yè)面及部分賬號(hào)和密碼信息的截圖。隨后，CSDN也在其官方和官方微博上發(fā)公告，確認(rèn)了此事。

知名IT技術(shù)人士小龍?jiān)诮邮苣隙加浾卟稍L時(shí)分析說(shuō)，此次事件受影響的主要是在C S D N上注冊(cè)過(guò)的用戶，特別是那些習(xí)慣在多個(gè)網(wǎng)站使用相同賬號(hào)和密碼的人，有可能被人順藤摸瓜威脅網(wǎng)銀等重要個(gè)人信息。沒(méi)有在CSDN上注冊(cè)，則基本影響不大。小龍還透露，數(shù)月前該數(shù)據(jù)庫(kù)就已被盜，“只是當(dāng)時(shí)沒(méi)被人公開(kāi)”。

用戶們很驚。“今晚什么事也不干了，光改密碼了”。搜狐網(wǎng)友“hookay”抱怨。網(wǎng)新浪網(wǎng)友“大魚(yú)兒_”則在CSDN創(chuàng)始人蔣濤的微博上跟帖建議，應(yīng)該由系統(tǒng)全部統(tǒng)一重置用戶密碼。

明文儲(chǔ)存賬戶信息遭批

“經(jīng)過(guò)初步分析，該庫(kù)系2009年CSD N作為備份所用，由于未查明原因被泄露，特向所有因此而受到影響的用戶致以深深歉意”。CSD N昨天在公告中表示，目前已向公安機(jī)關(guān)報(bào)案，公安機(jī)關(guān)也正在調(diào)查相關(guān)線索，“CSD N現(xiàn)有2000萬(wàn)注冊(cè)用戶的賬號(hào)密碼數(shù)據(jù)庫(kù)已經(jīng)全部采取了密文保護(hù)和備份”。

不過(guò)，其中一些說(shuō)法卻遭到網(wǎng)民質(zhì)疑。“36氪”社區(qū)網(wǎng)友“學(xué)徒姚佐”稱，其“看見(jiàn)2010年注冊(cè)的也有中招的，明顯官方在撒謊”。除此之外，最大的質(zhì)疑則是對(duì)C SD N明文存儲(chǔ)密碼的做法，這意味著只要能打開(kāi)數(shù)據(jù)庫(kù)文件的人，即使不是IT技術(shù)高手，也可以像查看記事本一樣獲取被盜用戶的信息。

“整個(gè)事件最不可思議的地方在于，像CSD N這樣的以程序員和開(kāi)發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼，導(dǎo)致海量用戶的賬號(hào)信息包括密碼直接被泄露，這是最令人難以置信的地方。”前述IT技術(shù)人士小龍對(duì)南都記者說(shuō)，稍微懂點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫(kù)保存用戶密碼的加密信息，“這樣黑客即使下載了數(shù)據(jù)庫(kù)，用戶密碼破解也不是一件容易的事情”。

對(duì)此，C SD N平臺(tái)開(kāi)發(fā)總監(jiān)范凱昨天寫(xiě)了一篇博客回應(yīng)質(zhì)疑。他承認(rèn)，C SD N在2009年4月前確實(shí)使用了明文保存用戶信息，“2009年4月之后是加密的，但部分明文密碼未清理”，自己去年8月加入該網(wǎng)站后，清理掉了所有明文密碼，并強(qiáng)調(diào)“2010年9月開(kāi)始全部都是安全的”。C SD N創(chuàng)始人蔣濤則表示，明文密碼“是當(dāng)年由于非常愚蠢的原因保存，又由于安全原因泄露”，并稱此次事故是“非常慘痛的安全教訓(xùn)”。

盡管主要牽涉的是在C SD N上注冊(cè)過(guò)的用戶，但此次事件還是引發(fā)網(wǎng)民對(duì)個(gè)人網(wǎng)絡(luò)信息安全的擔(dān)憂。小龍分析，平時(shí)諸如Q Q盜號(hào)這樣的事主要發(fā)生在客戶端電腦，“多數(shù)是用戶中了木馬”。相比之下，這次事件發(fā)生在服務(wù)器端，足以說(shuō)明即使國(guó)內(nèi)一些看似很大的網(wǎng)站，在安全防御上依然不足，“很難應(yīng)付黑客攻擊”。南都記者張東鋒

鏈接

網(wǎng)站泄露信息曾給韓國(guó)敲警鐘

據(jù)新華社報(bào)道，今年8月在韓國(guó)知名網(wǎng)站大規(guī)模泄露個(gè)人信息后，韓國(guó)行政安全部稱，出于保護(hù)網(wǎng)絡(luò)用戶個(gè)人信息安全考慮，政府?dāng)M分階段逐步取消網(wǎng)絡(luò)實(shí)名。韓國(guó)自2007年7月開(kāi)始啟動(dòng)網(wǎng)絡(luò)實(shí)名機(jī)制，要求日訪問(wèn)量超10萬(wàn)人次的網(wǎng)站，在用戶登錄時(shí)須通過(guò)身份證號(hào)進(jìn)行實(shí)名認(rèn)證。今年7月底，韓國(guó)知名門戶網(wǎng)站“N A T E”和社交網(wǎng)站“賽我”遭黑客攻擊，約3500萬(wàn)名用戶的個(gè)人信息外泄，包括未經(jīng)加密的用戶名、姓名、電話號(hào)碼、電郵和加密的密碼、身份證號(hào)碼等，此事在韓國(guó)引發(fā)軒然大波。

zhouxiaoli