12月21日,CSDN网站用户数据库信息被公开置于网络之中,包括600余万个明文的注册邮箱账号和密码。
一天之后,人人网、天涯、开心网、多玩、世纪佳缘、珍爱网等网站的用户数据资料相继“沦陷”,资料信息被放到网上公开下载。
一场互联网恐慌如蝴蝶效应一般迅速波及开来。
媒体相继报道称,CSDN网站用户数据库泄露事件中,最早在迅雷公开提供数据库下载的人为金山公司的一名员工。随后,讨伐之声遍布网络。
金山公司发布声明承认相关资料传播人确为其公司员工。同时认为,该员工并非窃取数据的黑客,也不是最早泄露用户数据的人,有竞争对手在背后捣鬼。当事人也通过微博表示:“有人抹黑金山公司,这些纯粹是别有用心,是某公司背后在推动。”
“竞争对手”、“某公司”的字眼让许多网友联想到了奇虎360公司。有人怀疑,事件是奇虎360的一次炒作行为。那事件的真相究竟是什么?本报记者采访相关公司及网络专家,探寻事件的蹊跷之处。
用户
金山作为一家安全公司,竟传播泄密资料
12月21日,一条信息从程序员宋强的电脑屏幕弹出,“今日有黑客在网上公开了CSDN网站用户数据库信息,包括600余万个明文的注册邮箱账号和密码。”
宋强心头一紧,在搜索之后找到了压缩包下载,解压缩后,他找到了自己的注册名与相对应的密码,“一看就懵了,用户名密码全对。”宋强赶快把信息告诉同事,“几个同事一查发现,用户名和密码也对上了,信息都被泄露了。”
此后几天,宋强发现,密码泄露像多米诺骨牌一样蔓延,人人网、多玩、天涯、猫扑、世纪佳缘等知名网站的数据也相继遭泄露。宋强将自己的MSN签名也改成了“今天,你的密码泄露了吗?”
CSDN网站创始人兼CEO蒋涛通过微博表示,泄密后第一时间他们就联系下载源禁止下载,公开道歉以及重置密码通知相关用户。同时联系邮件服务商发送邮件通知,并向公安机关报警协助调查。也联系安全公司对CSDN全站系统进行审计,查补漏洞关于事件的进展和用户补偿。
“关于密码泄密,我们第一时间公开道歉并通知用户。现在事情还在调查中,不便透露更多的内容。”蒋涛说,事实清楚之后,一定公开所有信息。
之后宋强了解到,是一名金山公司的员工把数据放到迅雷上供人下载。“有人说黑客攻击了CSDN网站,然后把数据公布到网络上。我越想越可怕,金山作为一家安全公司,在得知某些网站数据泄露后,对泄密资料进行传播,究竟是何目的?”
金山公司
不是我们干的,背后有竞争对手捣鬼
密码信息泄露事发后,金山公司中一个ID为“hzqedison”的员工被质疑为信息发布的始作俑者。
12月22日,有网友接力传播QQ截图、图像显示,有QQ用户曾于21日下午2时许,在QQ群内发布CSDN数据包的迅雷快传链接。一石激起千层浪,泄露事件的源头也在渐渐清晰。
12月22日晚,hzqedison在新浪微博承认,其本人是该文件的上传者,并表示道歉。
随后,金山公司迅速发表声明,表示金山员工并非在网络上备受指责的黑客:今日有传言称金山员工hzqedison为CSDN密码库黑客,经调查,hzqedison并非所谓黑客,事实上金山在事件爆发后迅速向网民发出预警。期间hzqedison将部分网上流传密码库分发给同事自查不慎被外人所获知,已迅速删除,仅被个别同事下载。在12月4日,漏洞网站乌云已出现密码库。金山回应称,该员工并非最早对外发布密码库的第一人,传言不实。
hzqedison在微博中讲述了事情经过,“昨天(12月21日)我在一个聊天群里看到CSDN的数据库的迅雷下载地址,离线下载了该文件来检查自己账号是否被泄露,为了让同事们也检查,才做了分享贴到同事群里。5分钟后,该地址截图被发到了乌云漏洞平台上,得知后我立即将迅雷分享地址删除。因为删除很及时,该地址只有几名同事下载过,且从未将数据库文件外泄。”
互联网专家、闪聚CEO刘兴亮认为,从目前金山公布的信息,不能将这名员工认定为黑客,因为此前这些信息早已出现在网络之中。
记者致电金山公司,问及密码信息泄露一事,一名工作人员的第一反应就是,“这事不是我们干的,背后有竞争对手在捣鬼。”
同时,金山员工hzqedison也通过微博表示,“做错事要承认错误,但网上称我最早在迅雷泄露了用户数据,这不是事实,是污蔑,因为我下载前就已有分享地址;还有人称我是黑客,其实包括我以及几位同事的账户名和密码均被曝光(邮箱后缀为kingsoft.com),黑客是绝不会曝光自己的。更有人抹黑金山公司,这些纯粹是别有用心,是某公司背后在推动。”
“竞争对手”、“某公司”、“别有用心”等字眼出现在网络后,许多网友迅速将另一家网络安全公司360公司列为重点怀疑对象。
360公司
这个时候应反省,而非互相指责
12月21日,当360公司通过微博发布CSDN网站用户密码信息泄露后,360企业传播部就接到了媒体打来的电话。“电话问我们是不是因为CSDN没有与我们合作,所以我们才发布了这样的信息提醒。网站密码泄露是安全事故,关系到公众利益。360发现情况后,第一时间联系受害网站通报信息,同时通过官方微博、官网安全播报向广大网民进行安全预警,提供保护密码安全的方法。”360公司品牌传播顾问尹小山说。
他从网上得知,这次安全事故缘起于金山毒霸的一名员工上传用户数据库进行分享所致。“说金山的这名员工是黑客,我们认为是无稽之谈。作为安全厂商的一名员工,他绝对不会去攻击网站数据库的。但是,上传分享用户数据库,却是一种缺乏责任心的体现。”
然而,网上质疑360公司借此炒作之声不断出现,也把阴谋、利益等字眼联系到360身上。
“360的很多员工也是这次安全事故的受害者,他们不得不紧急修改自己的密码。这次安全事故的危害很大,用户资料的安全远比竞争对手重要得多。金山如果认为是竞争对手操纵该公司的员工上传分享用户数据库,那真是太荒唐可笑了。”尹小山说,面对安全事故,对安全厂商来说,最重要的是提供各种解决方案,减少用户的损失,而不是指责竞争对手。安全事故发生后,360公司告诫安全技术人员,一定要以“金山泄密门”为鉴。
后果
一个密码被公布,其他账号可能一并失窃
从事计算机行业的高萌看到自己的用户名和密码被公布之后,第一反应就是“心慌”。具有计算机博士学位的高萌知道,类似的信息被公布之后,将带来一连串的连锁反应。“很多人的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,如果一个信息被公布,其他的常用邮箱和密码也可能面临被泄露的风险,导致很多重要账号一并失窃。”高萌将重要的账号都重置了密码。
研究网络信息安全的其事安全团队负责人刘雨介绍,口令泄露事件表明我国用户信息安全没得到有效保护,一方面国内互联网企业对系统信息安全、数据安全没有强效的保护措施和管控制度,导致用户数据存在被违规导出、拷贝和传输的可能性;另一方面,我国目前对保护用户信息安全方面的立法建设也相对滞后,用户个人信息明码标价地在数据黑市被倒买倒卖。“相信很多人的手机都收到过推销短信,而且推销短信越来越有针对性,这都是用户信息泄露的典型表现。”
刘雨认为,无论是否被泄密,网民都应将常用邮箱、网上支付、聊天软件、微博等重要账号单独设置密码,并保持定期更换密码的习惯。“网上很多站点诸如其事口令库、安全宝等可以查询口令是否泄露过。”
“密码信息泄露事件,对于用户的心理恐慌远远大于实际影响。”刘兴亮认为,我国网络安全问题已非常突出。(赵喜斌)