臨近歲末,中國網際網路史上最大規模的一次用戶資料洩漏事件於昨天爆發。國內多家網絡安全機構發布紅色預警稱,CSDN、人人網、貓撲、178遊戲網等多家網際網路站遭黑客惡意公開資料庫。鑑於目前已有超過5000萬個用戶帳號和密碼在網上公開擴散,特別是部分網民習慣為郵箱、微博、遊戲、網上支付、購物等帳號設置相同的密碼,呼籲廣大網民儘快修改重要帳號的密碼,而上述被捲入洩密風波的網站也已向用戶敲響警鐘。
2011年末上演「密碼危機」
這場令人聞之色變的 「密碼危機」,最早源於本月21日。當天上午,有黑客在網上公開了開發者技術社區CSDN網站的用戶資料庫,包括600餘萬個註冊郵箱帳號和與之對應的明文密碼,在業界引發軒然大波。
CSDN通過微博緊急回應稱,目前洩密原因尚未查明,已向公安機關報案,公安機關也正在調查相關線索。同時,CSDN也對現有2000萬註冊用戶的帳號密碼資料庫已經全部採取了密文保護和備份。
不過,這場風波的蝴蝶效應從昨天開始顯現。目前人人網、178遊戲網等5家網站用戶資料庫又相繼被公開,以打包壓縮文件的形式放在網盤中公然供人下載。記者下載後發現,幾百萬用戶的帳號密碼在其中一覽無遺,這讓不少用戶感到如坐針氈。隨後,更有貓撲等數十家大型網站被曝已經遭黑客「爆庫」,即將面臨同樣的命運。
金山毒霸昨天發布了紅色預警,其負責人表示,此次有多達千萬用戶資料被洩露,其中不乏一些名人的資料,是中國網際網路史上最大規模的一次用戶資料洩露事件。
人人網拒道歉稱與其無關
「如果您的人人網帳號密碼和CSDN或其他網站一致,建議您馬上修改密碼,以免帳號被盜。」昨天,人人網官方微博發表聲明稱。不過,人人方面並未打算對此事承擔任何責任。其官方稱,人人從上線開始就沒有記錄明文密碼,不存在過錯,受影響的用戶均因在CSDN或者其他論壇等使用相同帳號密碼。
不過記者在評論中看到,不少用戶對上述說法頗有微詞。一名廣東東莞的用戶稱,最近一星期其人人網帳號總會莫名其妙分享一些網上商城的導購帖,他本人對安全性存異。另一名用戶則稱,他在網上公開下載的「人人網500W_16610.rar」壓縮包中找到了自己的帳號,希望人人網出面解釋。
各執一詞的是,人人網公關部昨晚又發聲明稱,目前網上可供下載的「人人網用戶數據」經過測試並非人人網帳戶信息,網上流傳的「500萬人人網用戶密碼洩露」說法不準確。
除了人人網以外,昨天網上又傳出多玩網800萬用戶資料庫洩露。微博「月光博客」透露稱,其中有大量用戶名、明文密碼、郵箱、部分加密密碼,經過驗證,使用該資料庫中的用戶名和密碼可以正常登錄多玩網。此外,記者也看到了疑似多玩用戶帳號庫的相關截圖。對此,多玩網CEO李學凌稱,目前正在排查,尚未發現洩露事件。
蝴蝶效應源於黑客「拖庫」
究竟黑客是如何順滕摸瓜竊得如此多大網站密碼的? 360專家石曉虹昨分析稱,一家網站伺服器被黑客攻破,成百上千萬用戶的常用郵箱和密碼洩露後,很容易導致網上支付等其他重要帳號也一併失竊。此前爆發的微博、MSN大面積盜號事件,其攻擊方式均為黑客 「拖庫」後試探盜號的。 「目前,黑客竊取網站資料庫的危害已遠遠超過盜號木馬。 」
為了便於記憶,大部分用戶存在一個密碼 (多是密文、部分網站是明文)通行多個網站的習慣,甚至使用相同的郵箱註冊不同網絡服務,並且使用完全一樣的登錄密碼,這就好比用一把鑰匙就能打開所有的門。因此黑客們只要拿到一個網站的用戶資料,就可以打開大多數其他網站的服務,這使得本次洩露事件的危害性進一步擴大。
目前已被證實的是,黑客並沒有入侵用戶本地的電腦,此事件和用戶電腦本身的安全無關。
昨晚,開心網已向用戶群發郵件,警告稱近日網際網路進入了安全事故的高發期,坦言「經常更換密碼對於您的帳戶安全非常重要」。