[ 不止CSDN一家有這樣的問(wèn)題。由于對(duì)安全的不重視,不少急速發(fā)展的互聯(lián)網(wǎng)企業(yè)在不經(jīng)意間為自己埋下了安全隱患的種子 ]
昨日,曾引發(fā)業(yè)界關(guān)注的CSDN網(wǎng)站用戶數(shù)據(jù)泄密案宣告破獲。北京警方對(duì)CSDN網(wǎng)站未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度造成用戶信息泄露事件做出行政警告處罰,這是國(guó)內(nèi)自落實(shí)信息安全等級(jí)保護(hù)制度以來(lái)開(kāi)出的第一張“罰單”。
CSDN創(chuàng)立于1999年,是中國(guó)最大的中文IT知識(shí)服務(wù)集團(tuán)。目前,網(wǎng)站擁有2000萬(wàn)注冊(cè)用戶、50萬(wàn)注冊(cè)企業(yè)及合作伙伴,日訪問(wèn)量約2000萬(wàn)次。
600萬(wàn)用戶遭泄密
去年12月21日,曾有網(wǎng)友爆料稱,國(guó)內(nèi)程序員社區(qū)CSDN的安全系統(tǒng)遭到黑客攻擊,CSDN數(shù)據(jù)庫(kù)中的600萬(wàn)用戶的登錄名及密碼遭到泄露。隨后,天涯社區(qū)、世紀(jì)佳緣、開(kāi)心網(wǎng)等十余家國(guó)內(nèi)知名網(wǎng)站近5000萬(wàn)用戶的信息在網(wǎng)上被黑客公布。
一時(shí)間,消息真假難辨,互聯(lián)網(wǎng)上人人自危。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)數(shù)據(jù)統(tǒng)計(jì)稱,被公開(kāi)的疑似泄露數(shù)據(jù)庫(kù)26個(gè),涉及賬號(hào)、密碼信息2.78億條。
CSDN在微博上確認(rèn)了這一事故,并表示已經(jīng)報(bào)案。對(duì)于大范圍的用戶數(shù)據(jù)泄露一事,CSDN回應(yīng)稱,經(jīng)過(guò)初步分析,該庫(kù)系2009年CSDN作為備份所用。
警方的調(diào)查顯示,嫌疑人承認(rèn)是在2010年4月利用CSDN網(wǎng)站漏洞,非法侵入服務(wù)器獲取用戶數(shù)據(jù),還交代了曾經(jīng)入侵過(guò)某充值平臺(tái)及某股票系統(tǒng)等犯罪事實(shí)。
這種行為的行業(yè)術(shù)語(yǔ)稱作“拖庫(kù)”,指黑客把網(wǎng)站服務(wù)器上數(shù)據(jù)庫(kù)偷偷下載到自己電腦中;而撞庫(kù)則是,黑客用拖庫(kù)所得的海量注冊(cè)郵箱和密碼,在電子支付、微博、聊天、購(gòu)物等不同平臺(tái)上試探登錄,如果有人習(xí)慣使用相同的注冊(cè)郵箱和密碼,很容易會(huì)被黑客撞庫(kù)盜號(hào)。
與此同時(shí),北京警方對(duì)CSDN網(wǎng)站開(kāi)展了調(diào)查,發(fā)現(xiàn)其未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度,安全管理制度和技術(shù)保護(hù)措施落實(shí)不到位是造成用戶信息泄露的主要原因。
北京市公安局向CSDN網(wǎng)運(yùn)營(yíng)公司提出了具體整改要求,并依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(中華人民共和國(guó)國(guó)務(wù)院令147號(hào))第二十條第(一)項(xiàng)規(guī)定,對(duì)北京創(chuàng)新樂(lè)知信息技術(shù)有限公司做出行政警告處罰。
杭州安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示,由于CSDN網(wǎng)站開(kāi)源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應(yīng)用程序漏洞、系統(tǒng)后臺(tái)認(rèn)證等四大問(wèn)題,使其網(wǎng)站存在安全風(fēng)險(xiǎn),泄露了大量信息。
CSDN反思
CSDN創(chuàng)始人蔣濤曾坦言,“CSDN對(duì)敏感信息不敏感,也缺乏安全意識(shí)。”在CSDN擁有不到100臺(tái)服務(wù)器,注冊(cè)信息只包括郵箱和密碼的情況下,他一度認(rèn)為,這些注冊(cè)信息并不具備太強(qiáng)的隱私性,也不會(huì)引起黑客的興趣。
“整個(gè)事件最不可思議的地方在于,像CSDN這樣的以程序員和開(kāi)發(fā)為核心的大型網(wǎng)站,居然采用明文存儲(chǔ)密碼。”專業(yè)IT博客“月光博客”撰文表示,“稍微懂一點(diǎn)編程的程序員都知道,為了用戶的安全,應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息,最簡(jiǎn)單的MD5(密碼 隨機(jī)字符串),一般類似UCenter這樣的論壇還會(huì)將這個(gè)信息再M(fèi)D5一次,這樣黑客即使下載了數(shù)據(jù)庫(kù),破解用戶密碼也不是一件容易的事情。”
不止CSDN一家有這樣的問(wèn)題。由于對(duì)安全的不重視,不少急速發(fā)展的互聯(lián)網(wǎng)企業(yè)在不經(jīng)意間為自己埋下了安全隱患的種子。據(jù)蔣濤介紹,目前,整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀極不樂(lè)觀:70%以上的加密算法密碼庫(kù)都可以通過(guò)高頻碰撞破解,80%以上的互聯(lián)網(wǎng)公司都存在漏洞,60%以上有安全策略的公司還存在著漏洞,地下數(shù)據(jù)庫(kù)顯示,網(wǎng)站暴露出來(lái)的問(wèn)題甚至更多。
自今年1月,北京警方對(duì)全市106家互聯(lián)網(wǎng)網(wǎng)站開(kāi)展信息安全檢查工作,發(fā)現(xiàn)并現(xiàn)場(chǎng)糾正206處安全隱患。而360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)隨機(jī)抽取的93233個(gè)國(guó)內(nèi)網(wǎng)站分析發(fā)現(xiàn),存在高危漏洞的網(wǎng)站比例達(dá)36%,存在中危漏洞的網(wǎng)站則有16%,兩者合計(jì)比例高達(dá)52%,國(guó)內(nèi)網(wǎng)站安全防護(hù)能力仍有待完善。
今年1月,CSDN和阿里云結(jié)成戰(zhàn)略合作關(guān)系,共同打造安全可信的開(kāi)發(fā)者服務(wù)平臺(tái)。當(dāng)時(shí)蔣濤反思稱,“如何讓開(kāi)發(fā)者信任CSDN,如何提高開(kāi)發(fā)者的安全技能,如何為開(kāi)發(fā)者創(chuàng)造價(jià)值,這是CSDN安全事件之后反思的主題。”
互聯(lián)網(wǎng)安全問(wèn)題依然刻不容緩。天涯方面昨日對(duì)記者表示,目前關(guān)于用戶數(shù)據(jù)泄露一事暫無(wú)進(jìn)展可透露。
附表2012年網(wǎng)絡(luò)四大安全問(wèn)題
一 網(wǎng)站信息失竊及其導(dǎo)致的問(wèn)題可能更為嚴(yán)重;
二 智能終端將成為黑客攻擊的重點(diǎn)目標(biāo);
三 針對(duì)網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的攻擊將急劇增加,可能集網(wǎng)絡(luò)釣魚(yú)、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體;
四 隨著下一代互聯(lián)網(wǎng)的應(yīng)用,IPv6網(wǎng)絡(luò)安全、無(wú)線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問(wèn)題將會(huì)越來(lái)越多地呈現(xiàn)出來(lái)。
推薦閱讀
萬(wàn)網(wǎng)推“信息安全鎖”欲解域名風(fēng)險(xiǎn)
萬(wàn)網(wǎng)推“信息安全鎖”欲解域名風(fēng)險(xiǎn)>>>詳細(xì)閱讀
本文標(biāo)題:600萬(wàn)用戶遭泄密案告破 CSDN首吃信息安全罰單
地址:http://m.sdlzkt.com/a/11/20120322/43248.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示