您当前的位置: 首页 > 保险

600万用户遭泄密案告破CSDN首吃信息

2018-08-30 18:45:18

600万用户遭泄密案告破 CSDN首吃信息安全“罚单”

[ 不止CSDN一家有这样的问题。由于对安全的不重视,不少急速发展的互联企业在不经意间为自己埋下了安全隐患的种子 ]

昨日,曾引发业界关注的CSDN站用户数据泄密案宣告破获。北京警方对CSDN站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚,这是国内自落实信息安全等级保护制度以来开出的第一张“罚单”。

CSDN创立于1999年,是中国最大的中文IT知识服务集团。目前,站拥有2000万注册用户、50万注册企业及合作伙伴,日访问量约2000万次。

600万用户遭泄密

去年12月21日,曾有友爆料称,国内程序员社区CSDN的安全系统遭到黑客攻击,CSDN数据库中的600万用户的登录名及密码遭到泄露。随后,社区、世纪佳缘、开心等十余家国内知名站近5000万用户的信息在上被黑客公布。

一时间,消息真假难辨,互联上人人自危。

国家互联应急中心(CNCERT)数据统计称,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条。

CSDN在微博上确认了这一事故,并表示已经报案。对于大范围的用户数据泄露一事,CSDN回应称,经过初步分析,该库系2009年CSDN作为备份所用。

警方的调查显示,嫌疑人承认是在2010年4月利用CSDN站漏洞,非法侵入服务器获取用户数据,还交代了曾经入侵过某充值平台及某股票系统等犯罪事实。

这种行为的行业术语称作“拖库”,指黑客把站服务器上数据库偷偷下载到自己电脑中;而撞库则是,黑客用拖库所得的海量注册邮箱和密码,在电子支付、微博、聊天、购物等不同平台上试探登录,如果有人习惯使用相同的注册邮箱和密码,很容易会被黑客撞库盗号。

与此同时,北京警方对CSDN站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。

北京市公安局向CSDN运营公司提出了具体整改要求,并依据《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号)第二十条第(一)项规定,对北京创新乐知信息技术有限公司做出行政警告处罚。

杭州安恒信息技术公司给CSDN提供的审计报告显示,由于CSDN站开源系统等第三方系统存在第三方系统漏洞、已停用的老系统、应用程序漏洞、系统后台认证等四大问题,使其站存在安全风险,泄露了大量信息。

CSDN反思

CSDN创始人蒋涛曾坦言,“CSDN对敏感信息不敏感,也缺乏安全意识。”在CSDN拥有不到100台服务器,注册信息只包括邮箱和密码的情况下,他一度认为,这些注册信息并不具备太强的隐私性,也不会引起黑客的兴趣。

“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全

600万用户遭泄密案告破CSDN首吃信息

,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”

不止CSDN一家有这样的问题。由于对安全的不重视,不少急速发展的互联企业在不经意间为自己埋下了安全隐患的种子。据蒋涛介绍,目前,整个互联的安全现状极不乐观:70%以上的加密算法密码库都可以通过高频碰撞破解,80%以上的互联公司都存在漏洞,60%以上有安全策略的公司还存在着漏洞,地下数据库显示,站暴露出来的问题甚至更多。

自今年1月,北京警方对全市106家互联站开展信息安全检查工作,发现并现场纠正206处安全隐患。而360站安全检测平台对随机抽取的93233个国内站分析发现,存在高危漏洞的站比例达36%,存在中危漏洞的站则有16%,两者合计比例高达52%,国内站安全防护能力仍有待完善。

今年1月,CSDN和阿里云结成战略合作关系,共同打造安全可信的开发者服务平台。当时蒋涛反思称,“如何让开发者信任CSDN,如何提高开发者的安全技能,如何为开发者创造价值,这是CSDN安全事件之后反思的主题。”

互联安全问题依然刻不容缓。方面昨日对表示,目前关于用户数据泄露一事暂无进展可透露。

推荐阅读
图文聚焦