CSDN600多万用户资料一夜之间被黑客曝光,涉及开心网、人人网、多玩网、世纪佳缘等众多国内知名互联网企业。虽然安全软件厂商一再督促网友要尽快更换密码提高安全系数,但是换了密码真的就能保证安全吗?为何一再强调高超加密的数据库泄露出来的居然是明文密码?谁来监管这些网站的后台?谁来为广大用户负责?
蹊跷
被泄600万账号都是明文密码?
有网络专家称,黑客密码字典可瞬间破解简单密码
最先引爆该事件的是国内最大的程序员社区CSDN(中国软件开发联盟)。21日上午,黑客在网上公开了CSDN网站的用户数据库,其中包括 600余万个注册邮箱账号和与之对应的明文密码。由于许多用户采用了相同账号密码,人人网、开心网、百合网、珍爱网、世纪佳缘、51CTO、CNZZ、 eNet、UUU9、多玩网、美空网等众多网站随即被卷入泄密风波,业界普遍认为此次事件是中国互联网史上最大信息泄露事件。
但是令人感到蹊跷的是,这份文件中泄密的600多万账号对应的都是明文密码,也就是说是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候,填写密码时都用*号代替并没有直接显示,而且网站还都宣称在后台会高度加密。据悉, CSDN网站会员囊括了中国地区90%以上的优秀程序员,那这份明文密码文件该如何解释呢?目前该网站还未作出回应。
“网站的安全意识十分不到位,”金山网络安全专家李铁军对此向羊城晚报记者表示,密码加密技术其实已经比较成熟,但是由于黑客已经收集了大量密码的明文和密文,并以此构建了庞大的数据库(在线密码字典),“一些最简单的字串被许多黑客工具加到最简单的密码字典中,瞬间即可破解。”据悉,这样的匹配成功率高达93%。
黑市
被盗资料数据包可卖上百万元
买者会利用这些信息进行诈骗、发广告等牟利
CSDN官方22日发表声明表示,经过初步分析,遭黑客泄露的数据是2009年CSDN作为备份所用,目前不知泄露原因,CSDN表示已向公安机关报案,公司要求“2009年4月以前注册的账号,且2010年9月之后没有修改过密码”的用户立即修改密码。
但有安全领域人士猜测,目前泄密的资料可能只是一小部分,更多的数据或已被黑客转手卖钱。该人士透露,这些数据在黑客圈中所谓的“黑市”里销售,一个打包“产品”甚至可以叫价上百万元,有人会利用该信息进行诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利,而一旦数据没有价值了就会被抛出,但是对于普通用户来说,完全被蒙在鼓里。
惊讶
23万人用同一密码“123456789”
不少密码竟在众多网站中“一号通”
大量用户数据被公开后,据统计结果显示,有239万人的密码和别人存在重复。在所有密码中,最简单好记的“123456789”使用率最高,有 23.5万人在使用;其次为“12345678”有21万多人使用;“11111111”有7万多人使用。总之,使用相同数字或者相同字母如 “aaaaaaaa”等安全性极差的密码的网民大有人在。
李铁军指出,不少网民在众多网站中都是“一号通”,一旦一家网站用户数据被暴露,则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。“在这份名单中有的邮箱是与在线支付系统相关联的,”李铁军建议为避免财产损失,网民尽快修改安全性更高的上网密码。
质疑
网络信息隐私保护无法可依
网站后台运作账户安全谁监管?
层出不穷的用户个人信息被泄事件,敲响了网络信息隐私保护的警钟。有评论人士认为,2000多万用户的程序社区网站也被黑,那么还有没有值得信任的网站?倘若改了密码过两天又被暴露出来该怎么办?
用户在注册一些网站的时候,其实是单方面提交了个人身份信息,但是网站有没有相应的保障十分值得商讨。而网站会不会在没有法律依据的情况下,因为利益驱动而将用户个人信息擅自交给“第三方”?而“第三方”又会将用户的个人信息如何处理呢?倘若一旦泄密责任该由谁来承担,又能承担多大的责任?这些都是法律风险所在。
有法律人士指出,关键还在没有配套法律,目前的司法实践中,如果用户仅以密码被泄露、侵害隐私权索赔的话,因为举证不易难以得到赔偿。而企业掌握了大量客户个人资料,说给谁就给谁,说泄露就泄露,用户没有一点话语权,就承担了很大的风险。
专家教你防范
密码设置“复杂化”
涉及金钱账号的密码,要有字母、数字和符号混合
据统计,国内几乎有50%的用户都是用纯数字做密码的,而其中只有10%到15%的用户设置了10位以上的密码。
瑞星安全专家王占涛对羊城晚报记者表示,涉及金钱和隐私的账号,应使用复杂的密码,要有字母、数字和符号混合。这样的密码应只在一个账户中使用。 “银行密码因为只支持数字,不能使用电话号码、生日、门牌号这样外人可知的数字,否则很容易被破解。”
金山安全专家李铁军建议:
1.将自己日常使用的网络服务分为两类:重要的(网上支付和聊天账号等)和一般的。
2.使用至少2个邮箱来绑定或申请网络服务,并确保邮箱密码不重复使用。
3.重要服务用重要邮箱来申请,一般服务用次要邮箱来申请。二者绝不混用。
4.重要服务使用的密码,且不能和邮箱相同,尽可能不重复使用重要服务的密码,并定期更换,最好一两个月修改一次。
相关链接
密码是否被盗
金山快查可查
请登录:http://cs-test.ijinshan.com/security
为帮助网民查询自己的账户是否遭到泄露,金山网络23日突击推出了快速查询服务,网民登陆http://cs-test.ijinshan.com/security/,输入常用的用户名或者邮箱,就可查询此账号是否在当前已被公开的数据库中暴露。
同时盛大创新院游戏优化大师团队也推出“游戏密码助手”软件, 下载地址为http://tools.sdo.com/AiPwdMgr1.0Beta(6627).zip,可以检测账号密码是否已经被泄露。
推荐阅读
春节快递员要回家过年,往往有招工难、人手不够问题,快件爆仓严重。对此,市商务委物流发展处处长冯守华介绍,“共同配送”将在社区就近招聘四五十岁的人员,缓解配送人手不足。 记者昨天从北京市商务委了解到,作为>>>详细阅读
地址:http://www.lgo100.com/a/guandian/yejie/20111230/170963.html
网友点评
精彩导读
科技快报
品牌展示