一天之后,人人網、天涯、開心網、多玩、世紀佳緣、珍愛網等網站的用戶數據資料相繼“淪陷”,資料信息被放到網上公開。
一場互聯網恐慌如蝴蝶效應一般迅速波及開來。
媒體相繼報道稱,CSDN網站用戶數據庫泄露事件中,最早在迅雷公開提供數據庫下載的人為金山公司的一名員工。隨后,討伐之聲遍布網絡。
金山公司發布聲明承認相關資料傳播人確為其公司員工。同時認為,該員工并非竊取數據的黑客,也不是最早泄露用戶數據的人,有競爭對手在背后搗鬼。當事人也通過微博表示:“有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
“競爭對手”、“某公司”的字眼讓許多網友聯想到了奇虎360公司。有人懷疑,事件是奇虎360的一次炒作行為。那事件的真相究竟是什么?本報記者采訪相關公司及網絡專家,探尋事件的蹊蹺之處。
用戶
金山作為一家安全公司,竟傳播泄密資料
12月21日,一條信息從程序員宋強的電腦屏幕彈出,“今日有黑客在網上公開了CSDN網站用戶數據庫信息,包括600余萬個明文的注冊郵箱賬號和密碼。”
宋強心頭一緊,在搜索之后找到了壓縮包下載,解壓縮后,他找到了自己的注冊名與相對應的密碼,“一看就懵了,用戶名密碼全對。”宋強趕快把信息告訴同事,“幾個同事一查發現,用戶名和密碼也對上了,信息都被泄露了。”
此后幾天,宋強發現,密碼泄露像多米諾骨牌一樣蔓延,人人網、多玩、天涯、貓撲、世紀佳緣等知名網站的數據也相繼遭泄露。宋強將自己的MSN簽名也改成了“今天,你的密碼泄露了嗎?”
CSDN網站創始人兼CEO蔣濤通過微博表示,泄密后第一時間他們就聯系下載源禁止下載,公開道歉以及重置密碼通知相關用戶。同時聯系郵件服務商發送郵件通知,并向公安機關報警協助調查。也聯系安全公司對CSDN全站系統進行審計,查補漏洞關于事件的進展和用戶補償。
“關于密碼泄密,我們第一時間公開道歉并通知用戶。現在事情還在調查中,不便透露更多的內容。”蔣濤說,事實清楚之后,一定公開所有信息。
之后宋強了解到,是一名金山公司的員工把數據放到迅雷上供人下載。“有人說黑客攻擊了CSDN網站,然后把數據公布到網絡上。我越想越可怕,金山作為一家安全公司,在得知某些網站數據泄露后,對泄密資料進行傳播,究竟是何目的?”
金山公司
不是我們干的,背后有競爭對手搗鬼
密碼信息泄露事發后,金山公司中一個ID為“hzqedison”的員工被質疑為信息發布的始作俑者。
12月22日,有網友接力傳播QQ截圖、圖像顯示,有QQ用戶曾于21日下午2時許,在QQ群內發布CSDN數據包的迅雷快傳鏈接。一石激起千層浪,泄露事件的源頭也在漸漸清晰。
12月22日晚,hzqedison在新浪微博承認,其本人是該文件的上傳者,并表示道歉。
隨后,金山公司迅速發表聲明,表示金山員工并非在網絡上備受指責的黑客:今日有傳言稱金山員工hzqedison為CSDN密碼庫黑客,經調查,hzqedison并非所謂黑客,事實上金山在事件爆發后迅速向網民發出預警。期間hzqedison將部分網上流傳密碼庫分發給同事自查不慎被外人所獲知,已迅速刪除,僅被個別同事下載。在12月4日,漏洞網站烏云已出現密碼庫。金山回應稱,該員工并非最早對外發布密碼庫的第一人,傳言不實。
hzqedison在微博中講述了事情經過,“昨天(12月21日)我在一個聊天群里看到CSDN的數據庫的迅雷下載地址,離線下載了該文件來檢查自己賬號是否被泄露,為了讓同事們也檢查,才做了分享貼到同事群里。5分鐘后,該地址截圖被發到了烏云漏洞平臺上,得知后我立即將迅雷分享地址刪除。因為刪除很及時,該地址只有幾名同事下載過,且從未將數據庫文件外泄。”
互聯網專家、閃聚CEO劉興亮()認為,從目前金山公布的信息,不能將這名員工認定為黑客,因為此前這些信息早已出現在網絡之中。
記者致電金山公司,問及密碼信息泄露一事,一名工作人員的第一反應就是,“這事不是我們干的,背后有競爭對手在搗鬼。”
同時,金山員工hzqedison也通過微博表示,“做錯事要承認錯誤,但網上稱我最早在迅雷泄露了用戶數據,這不是事實,是污蔑,因為我下載前就已有分享地址;還有人稱我是黑客,其實包括我以及幾位同事的賬戶名和密碼均被曝光(郵箱后綴為kingsoft.com),黑客是絕不會曝光自己的。更有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
“競爭對手”、“某公司”、“別有用心”等字眼出現在網絡后,許多網友迅速將另一家網絡安全公司360公司列為重點懷疑對象。
360公司
這個時候應反省,而非互相指責
12月21日,當360公司通過微博發布CSDN網站用戶密碼信息泄露后,360企業傳播部就接到了媒體打來的電話。“電話問我們是不是因為CSDN沒有與我們合作,所以我們才發布了這樣的信息提醒。網站密碼泄露是安全事故,關系到公眾利益。360發現情況后,第一時間聯系受害網站通報信息,同時通過官方微博、官網安全播報向廣大網民進行安全預警,提供保護密碼安全的方法。”360公司品牌傳播顧問尹小山說。
他從網上得知,這次安全事故緣起于金山毒霸的一名員工上傳用戶數據庫進行分享所致。“說金山的這名員工是黑客,我們認為是無稽之談。作為安全廠商的一名員工,他絕對不會去攻擊網站數據庫的。但是,上傳分享用戶數據庫,卻是一種缺乏責任心的體現。”
然而,網上質疑360公司借此炒作之聲不斷出現,也把陰謀、利益等字眼聯系到360身上。
“360的很多員工也是這次安全事故的受害者,他們不得不緊急修改自己的密碼。這次安全事故的危害很大,用戶資料的安全遠比競爭對手重要得多。金山如果認為是競爭對手操縱該公司的員工上傳分享用戶數據庫,那真是太荒唐可笑了。”尹小山說,面對安全事故,對安全廠商來說,最重要的是提供各種解決方案,減少用戶的損失,而不是指責競爭對手。安全事故發生后,360公司告誡安全技術人員,一定要以“金山泄密門”為鑒。
后果
一個密碼被公布,其他賬號可能一并失竊
從事計算機行業的高萌看到自己的用戶名和密碼被公布之后,第一反應就是“心慌”。具有計算機博士學位的高萌知道,類似的信息被公布之后,將帶來一連串的連鎖反應。“很多人的郵箱、微博、游戲、網上支付、購物等賬號設置了相同的密碼,如果一個信息被公布,其他的常用郵箱和密碼也可能面臨被泄露的風險,導致很多重要賬號一并失竊。”高萌將重要的賬號都重置了密碼。
研究網絡信息安全的其事安全團隊負責人劉雨介紹,口令泄露事件表明我國用戶信息安全沒得到有效保護,一方面國內互聯網企業對系統信息安全、數據安全沒有強效的保護措施和管控制度,導致用戶數據存在被違規導出、拷貝和傳輸的可能性;另一方面,我國目前對保護用戶信息安全方面的立法建設也相對滯后,用戶個人信息明碼標價地在數據黑市被倒買倒賣。“相信很多人的手機都收到過推銷短信,而且推銷短信越來越有針對性,這都是用戶信息泄露的典型表現。”
劉雨認為,無論是否被泄密,網民都應將常用郵箱、網上支付、聊天軟件、微博等重要賬號單獨設置密碼,并保持定期更換密碼的習慣。“網上很多站點諸如其事口令庫、安全寶等可以查詢口令是否泄露過。”
“密碼信息泄露事件,對于用戶的心理恐慌遠遠大于實際影響。”劉興亮認為,我國網絡安全問題已非常突出。(趙喜斌)
<推薦閱讀
摩根大通亞洲副主席訪問儒豹:看好移動互聯網>>>詳細閱讀
本文標題:密碼信息泄露事件調查:用戶恐慌 無人買單
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/21697.html
網友點評
精彩導讀
科技快報
品牌展示