一天之后,人人網(wǎng)、天涯、開心網(wǎng)、多玩、世紀佳緣、珍愛網(wǎng)等網(wǎng)站的用戶數(shù)據(jù)資料相繼“淪陷”,資料信息被放到網(wǎng)上公開。
一場互聯(lián)網(wǎng)恐慌如蝴蝶效應一般迅速波及開來。
媒體相繼報道稱,CSDN網(wǎng)站用戶數(shù)據(jù)庫泄露事件中,最早在迅雷公開提供數(shù)據(jù)庫下載的人為金山公司的一名員工。隨后,討伐之聲遍布網(wǎng)絡(luò)。
金山公司發(fā)布聲明承認相關(guān)資料傳播人確為其公司員工。同時認為,該員工并非竊取數(shù)據(jù)的黑客,也不是最早泄露用戶數(shù)據(jù)的人,有競爭對手在背后搗鬼。當事人也通過微博表示:“有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
“競爭對手”、“某公司”的字眼讓許多網(wǎng)友聯(lián)想到了奇虎360公司。有人懷疑,事件是奇虎360的一次炒作行為。那事件的真相究竟是什么?本報記者采訪相關(guān)公司及網(wǎng)絡(luò)專家,探尋事件的蹊蹺之處。
用戶
金山作為一家安全公司,竟傳播泄密資料
12月21日,一條信息從程序員宋強的電腦屏幕彈出,“今日有黑客在網(wǎng)上公開了CSDN網(wǎng)站用戶數(shù)據(jù)庫信息,包括600余萬個明文的注冊郵箱賬號和密碼。”
宋強心頭一緊,在搜索之后找到了壓縮包下載,解壓縮后,他找到了自己的注冊名與相對應的密碼,“一看就懵了,用戶名密碼全對。”宋強趕快把信息告訴同事,“幾個同事一查發(fā)現(xiàn),用戶名和密碼也對上了,信息都被泄露了。”
此后幾天,宋強發(fā)現(xiàn),密碼泄露像多米諾骨牌一樣蔓延,人人網(wǎng)、多玩、天涯、貓撲、世紀佳緣等知名網(wǎng)站的數(shù)據(jù)也相繼遭泄露。宋強將自己的MSN簽名也改成了“今天,你的密碼泄露了嗎?”
CSDN網(wǎng)站創(chuàng)始人兼CEO蔣濤通過微博表示,泄密后第一時間他們就聯(lián)系下載源禁止下載,公開道歉以及重置密碼通知相關(guān)用戶。同時聯(lián)系郵件服務商發(fā)送郵件通知,并向公安機關(guān)報警協(xié)助調(diào)查。也聯(lián)系安全公司對CSDN全站系統(tǒng)進行審計,查補漏洞關(guān)于事件的進展和用戶補償。
“關(guān)于密碼泄密,我們第一時間公開道歉并通知用戶。現(xiàn)在事情還在調(diào)查中,不便透露更多的內(nèi)容。”蔣濤說,事實清楚之后,一定公開所有信息。
之后宋強了解到,是一名金山公司的員工把數(shù)據(jù)放到迅雷上供人下載。“有人說黑客攻擊了CSDN網(wǎng)站,然后把數(shù)據(jù)公布到網(wǎng)絡(luò)上。我越想越可怕,金山作為一家安全公司,在得知某些網(wǎng)站數(shù)據(jù)泄露后,對泄密資料進行傳播,究竟是何目的?”
金山公司
不是我們干的,背后有競爭對手搗鬼
密碼信息泄露事發(fā)后,金山公司中一個ID為“hzqedison”的員工被質(zhì)疑為信息發(fā)布的始作俑者。
12月22日,有網(wǎng)友接力傳播QQ截圖、圖像顯示,有QQ用戶曾于21日下午2時許,在QQ群內(nèi)發(fā)布CSDN數(shù)據(jù)包的迅雷快傳鏈接。一石激起千層浪,泄露事件的源頭也在漸漸清晰。
12月22日晚,hzqedison在新浪微博承認,其本人是該文件的上傳者,并表示道歉。
隨后,金山公司迅速發(fā)表聲明,表示金山員工并非在網(wǎng)絡(luò)上備受指責的黑客:今日有傳言稱金山員工hzqedison為CSDN密碼庫黑客,經(jīng)調(diào)查,hzqedison并非所謂黑客,事實上金山在事件爆發(fā)后迅速向網(wǎng)民發(fā)出預警。期間hzqedison將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查不慎被外人所獲知,已迅速刪除,僅被個別同事下載。在12月4日,漏洞網(wǎng)站烏云已出現(xiàn)密碼庫。金山回應稱,該員工并非最早對外發(fā)布密碼庫的第一人,傳言不實。
hzqedison在微博中講述了事情經(jīng)過,“昨天(12月21日)我在一個聊天群里看到CSDN的數(shù)據(jù)庫的迅雷下載地址,離線下載了該文件來檢查自己賬號是否被泄露,為了讓同事們也檢查,才做了分享貼到同事群里。5分鐘后,該地址截圖被發(fā)到了烏云漏洞平臺上,得知后我立即將迅雷分享地址刪除。因為刪除很及時,該地址只有幾名同事下載過,且從未將數(shù)據(jù)庫文件外泄。”
互聯(lián)網(wǎng)專家、閃聚CEO劉興亮()認為,從目前金山公布的信息,不能將這名員工認定為黑客,因為此前這些信息早已出現(xiàn)在網(wǎng)絡(luò)之中。
記者致電金山公司,問及密碼信息泄露一事,一名工作人員的第一反應就是,“這事不是我們干的,背后有競爭對手在搗鬼。”
同時,金山員工hzqedison也通過微博表示,“做錯事要承認錯誤,但網(wǎng)上稱我最早在迅雷泄露了用戶數(shù)據(jù),這不是事實,是污蔑,因為我下載前就已有分享地址;還有人稱我是黑客,其實包括我以及幾位同事的賬戶名和密碼均被曝光(郵箱后綴為kingsoft.com),黑客是絕不會曝光自己的。更有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
“競爭對手”、“某公司”、“別有用心”等字眼出現(xiàn)在網(wǎng)絡(luò)后,許多網(wǎng)友迅速將另一家網(wǎng)絡(luò)安全公司360公司列為重點懷疑對象。
360公司
這個時候應反省,而非互相指責
12月21日,當360公司通過微博發(fā)布CSDN網(wǎng)站用戶密碼信息泄露后,360企業(yè)傳播部就接到了媒體打來的電話。“電話問我們是不是因為CSDN沒有與我們合作,所以我們才發(fā)布了這樣的信息提醒。網(wǎng)站密碼泄露是安全事故,關(guān)系到公眾利益。360發(fā)現(xiàn)情況后,第一時間聯(lián)系受害網(wǎng)站通報信息,同時通過官方微博、官網(wǎng)安全播報向廣大網(wǎng)民進行安全預警,提供保護密碼安全的方法。”360公司品牌傳播顧問尹小山說。
他從網(wǎng)上得知,這次安全事故緣起于金山毒霸的一名員工上傳用戶數(shù)據(jù)庫進行分享所致。“說金山的這名員工是黑客,我們認為是無稽之談。作為安全廠商的一名員工,他絕對不會去攻擊網(wǎng)站數(shù)據(jù)庫的。但是,上傳分享用戶數(shù)據(jù)庫,卻是一種缺乏責任心的體現(xiàn)。”
然而,網(wǎng)上質(zhì)疑360公司借此炒作之聲不斷出現(xiàn),也把陰謀、利益等字眼聯(lián)系到360身上。
“360的很多員工也是這次安全事故的受害者,他們不得不緊急修改自己的密碼。這次安全事故的危害很大,用戶資料的安全遠比競爭對手重要得多。金山如果認為是競爭對手操縱該公司的員工上傳分享用戶數(shù)據(jù)庫,那真是太荒唐可笑了。”尹小山說,面對安全事故,對安全廠商來說,最重要的是提供各種解決方案,減少用戶的損失,而不是指責競爭對手。安全事故發(fā)生后,360公司告誡安全技術(shù)人員,一定要以“金山泄密門”為鑒。
后果
一個密碼被公布,其他賬號可能一并失竊
從事計算機行業(yè)的高萌看到自己的用戶名和密碼被公布之后,第一反應就是“心慌”。具有計算機博士學位的高萌知道,類似的信息被公布之后,將帶來一連串的連鎖反應。“很多人的郵箱、微博、游戲、網(wǎng)上支付、購物等賬號設(shè)置了相同的密碼,如果一個信息被公布,其他的常用郵箱和密碼也可能面臨被泄露的風險,導致很多重要賬號一并失竊。”高萌將重要的賬號都重置了密碼。
研究網(wǎng)絡(luò)信息安全的其事安全團隊負責人劉雨介紹,口令泄露事件表明我國用戶信息安全沒得到有效保護,一方面國內(nèi)互聯(lián)網(wǎng)企業(yè)對系統(tǒng)信息安全、數(shù)據(jù)安全沒有強效的保護措施和管控制度,導致用戶數(shù)據(jù)存在被違規(guī)導出、拷貝和傳輸?shù)目赡苄裕涣硪环矫妫覈壳皩ΡWo用戶信息安全方面的立法建設(shè)也相對滯后,用戶個人信息明碼標價地在數(shù)據(jù)黑市被倒買倒賣。“相信很多人的手機都收到過推銷短信,而且推銷短信越來越有針對性,這都是用戶信息泄露的典型表現(xiàn)。”
劉雨認為,無論是否被泄密,網(wǎng)民都應將常用郵箱、網(wǎng)上支付、聊天軟件、微博等重要賬號單獨設(shè)置密碼,并保持定期更換密碼的習慣。“網(wǎng)上很多站點諸如其事口令庫、安全寶等可以查詢口令是否泄露過。”
“密碼信息泄露事件,對于用戶的心理恐慌遠遠大于實際影響。”劉興亮認為,我國網(wǎng)絡(luò)安全問題已非常突出。(趙喜斌)
<推薦閱讀
摩根大通亞洲副主席訪問儒豹:看好移動互聯(lián)網(wǎng)
摩根大通亞洲副主席訪問儒豹:看好移動互聯(lián)網(wǎng)>>>詳細閱讀
本文標題:密碼信息泄露事件調(diào)查:用戶恐慌 無人買單
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/21697.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示