网站用户数据库大量泄露

谁来保障网络安全？

    新华网北京１２月２３日专电 题：网站用户数据库大量泄露　谁来保障网络安全？

    新华社记者张辛欣、何宗渝

    近日，国内最大的程序员网站ＣＳＤＮ网站被曝６００多万用户的数据库信息被黑客公开，随后网上又出现嘟嘟牛、７Ｋ７Ｋ、多玩网、１７８游戏网等多家网站用户数据库泄露的消息，一场互联网年末的恐慌如多米诺骨牌般迅速传导。

    我国网络安全现状究竟如何、互联网高速发展下如何保障网络安全和用户利益，备受关注。

    互联网深陷“泄密门”

    12月２１日，３６０安全卫士官方微博较早发布消息称，“今日有黑客在网上公开了ＣＳＤＮ网站用户数据库信息，包括６００余万个明文的注册邮箱账号和密码”，一石激起千层浪。２２日，此事急剧升温，嘟嘟牛、７Ｋ７Ｋ、人人网等网站的“密码集”也先后出现在网络上。

    国家互联网应急中心运行部主任周永林表示，正在调查相关情况，但还未能核实清楚到底有多少网站牵涉其中，受影响的用户数量也尚不明确，其中不排除有虚假信息炒作。

    国家互联网应急中心12月２２日发布的《关于ＣＳＤＮ中文社区用户账号密码泄露的安全公告》指出，目前网上泄露的ＣＳＤＮ用户数据库为２００９年４月前的用户数据库，用户账户密码采用明文存储。ＣＳＤＮ在２００９年４月已经升级系统，使用加密方式保存用户账户密码信息，因此最新的用户数据库尚未发现类似安全问题。

    尽管如此，国家互联网应急中心已经要求ＣＳＤＮ尽快采取应对措施，查找并修复系统安全隐患，规范网站管理措施，对用户提供应急处理协助。

    “由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码，如果一家网站服务器被黑客攻破，用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号一并失窃。”３６０网络安全专家石晓虹博士说，目前除ＣＳＤＮ外，已经通过技术验证确认有其他网站用户数据库信息被泄露。

    ３６０、金山等网络安全企业昨天已经启动红色安全预警，３６０公司还紧急推出了密码安全鉴定器，许多互联网企业也已通过各种方式提醒用户修改密码。

    互联网安全现状令人堪忧

    此次泄密事件也只是我国互联网发生安全隐忧的一个例子。近年来，伴随着中国网络规模的持续增长，应用的不断丰富以及电子商务的逐步普及，互联网安全的严峻形势正日益凸显，互联网安全事件时有发生。同时，移动互联网，三网融合，云计算，Ｉｐｖ６……不断创新发展的技术都在为网络安全提出新的挑战。

    “不说别的，光ＱＱ号我就有３次被盗经历，现在哪敢随便在网上注册信息。”在海口工作、已经有十余年网龄的２５岁小伙陈逸林说。

    中国互联网络信息中心此前发布的报告显示，今年上半年，遭遇过病毒或木马攻击的网民为２．１７亿人，占网民的４４．７％。有过账号或密码被盗经历的网民达１．２１亿人。另有８％的网民最近半年内在网上遇到过消费欺诈。

    “各种违法和有害信息屡禁屡现，制作传播计算机病毒、危害网络安全的网络犯罪日趋增多，严重损害人们对互联网的信心。特别是黑客攻击，已经成为网络安全的严重威胁。”石晓虹说，在计算机、智能手机等终端，随着开放系统越来越多，网络安全漏洞也层出不穷。

    “虽然近年来我国互联网产业发展很快，但有的企业只重视建设，轻视运行管理，网站的安全保障工作没有完全到位。”周永林说。

    加强互联网安全建设任重道远

    有专家表示，此次失窃的只是密码集，用户只要及时修改密码即可避免隐私失窃，不必引起恐慌。但用户修改密码只是“治标”，如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。

    “首先对用户来说，要重视个人信息保护，在互联网上注册信息时尽量不要留下过多个人真实信息，密码的设置一定要有技巧。对于互联网企业来说，一定要加强管理和自律，加强日常运行中的安全保障工作并提高应急处理能力。”周永林说。

    “从政府层面来看，随着互联网产业快速发展，要高度重视各种新技术的运用可能带来的安全问题，加大对地下产业链的跟踪监测和打击力度。”他表示。

    从网络运行到网络信息内容，每一环节的安全都关乎国家安全以及人民的基本利益。随着以互联网为代表的信息技术加快应用普及，广大网民的合法权益还需要相应的信息安全法律保护。

    工业和信息化部有关负责人表示，目前，我国仅有的一部信息安全法是于２００４年颁布的《电子签名法》，缺乏一部专门的综合性信息安全法律来规范网络行为，明确用户、企业等相关方面责任义务，有效保障信息安全。“迫切需要加快信息安全立法，完善网络安全体系，严格落实责任。”石晓虹说。

    《国民经济和社会发展第十二个五年规划纲要》中明确指出，要确保基础信息网络与重要信息系统的安全。工业和信息化部正加紧制定《互联网信息服务市场秩序监管办法》。

    业内专家认为，这需要完善法律法规，完善网络安全体系，严格落实责任，加强技术手段的力量建设，提升网络与安全事件防范，增强公众安全意识，提升用户安全能力。

http://news.xinhuanet.com/newmedia/2011-12/24/c_122476543.htm

千万网友账号密码外泄

今天你改密码了吗?(附设密指南)

　　CSDN用户密码外泄后，新浪网提醒网友加强密码保护

龙虎网讯 昨天，网上又曝出人人网、开心网、天涯、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户数据资料也被放到网上公开下载。这一事件引发了网友对部分网站保护用户账号密码安全能力的担忧。有网友分析，由于很多人习惯在多个网站使用相同账号和密码，因此，账号被泄露的网友很可能被人顺藤摸瓜威胁网银等重要个人信息。

爆发 600万CSDN用户数据外泄

12月21日，“360安全卫士”在官方微博中称：“今日有黑客在网上公开了CSDN网站用户数据库，包括600余万个明文的注册邮箱账号和密码。”据悉，CSDN是国内知名的程序员网站，官方宣称用户达到了2000万。这一消息得到了众多网友的证实，不少CSDN用户都下载了被泄露的数据库信息，并在其中找到了自己的账号。网友“牛小犀”说：“我的CSDN账号果然被盗了……一目了然呢亲。”

由于很多网友习惯在多个网站使用相同账号和密码，所以很多网友立即修改了如邮箱、微博、购物网站的密码。

当天晚上，CSDN在官方微博中确认此事，表示已报案并配合公安机关追查，并向用户公开致歉。信中提到：“CSDN网站早期使用过明文密码（即可以直接看懂的密码）。2009年4月之后改成加密密码，但部分明文密码未清理；2010年8月底清理掉了所有明文密码。所以从2010年9月开始全部都是安全的，9月之前的有可能不安全。”CSDN称：如果用户是2009年4月以前注册的账号，且2010年9月之后没有修改过密码，请立即修改密码。

进展 近十家知名网站遭遇黑客？

昨天，又有多家网站被传遭黑客盗取用户资料。被标注为人人网、天涯 、开心网、多玩等数十家知名网站的数据库打包资料开始在网络提供下载，涉及近5000万用户。

知名IT博客“月光博客”博主“小龙”在下载了其中几家网站的数据库后发现，在被外泄的多玩游戏网800万用户数据库里，很多账号都可以正常登录。“人人网的只有极少几个可以登录。 7k7k的都无法登录。 新浪的有个别可以登录。”

昨天，快报记者联系上了人人网的相关负责人员，据其介绍“人人网从未以明文方式存储用户的账号和密码”，所谓人人网500万用户数据泄露纯属谣言。目前，人人网已经“利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级，防止账户被盗”。人人网也在其官方微博中建议网友“如果您的人人网账号密码和CSDN或其他网站一致，建议您马上修改密码，以免账号被盗。”

昨天，天涯论坛的相关负责人员也表示，网传天涯用户的账号密码外泄并不属实，用户资料并没有被外泄。

有网友透露，目前新浪微博已经开始“用网上流传的CSDN密码与新浪微博账户的密码进行比对，发现相同密码，会提醒用户修改密码。不过，这种做法本身是否具备合法性，还值得商榷。”

最受欢迎的密码是啥

密码外泄事件，却也给网友带来了一些乐子。

昨天，网友nasdaq在果壳网发起了“CSDN杯我最喜欢的CSDN密码评选”。他通过网友设计的小程序，统计了这次公布的600万个 CSDN密码中哪些密码出镜率较高。统计结果显示有239万人的密码和别人存在重复，在所有密码中，123456789出镜率高居榜首，有23万5千人使用它作为密码。

网友还发现，排行榜中第四位的“dearbook”和第十八位的“xiazhili”有点奇怪，其中“xiazhili”很像一个女孩的名字，难道技术男还有如此柔情的一面？有网友认为，这两个密码有可能是水军注册的小号的密码。

此外，还有网友利用密码泄露的事创作起了微小说。网友“AlanZhang”写道：“载了一份人人网泄露出来的用户密码，找了一下曾经暗恋的女孩的名字，果然在。密码竟然是我以前的手机号。我给她打了一个电话，她在电话那头哭了。这时从电话里传来一个稚嫩的声音，'妈妈，你哭什么？’她说，'你爸爸终于给我们娘俩打电话了。'”

后果 用户安全“命悬一线”

目前共有上千万网友的账号密码被赤裸裸地曝光在网上，部分网站保护用户信息安全的能力令人担忧。由于很多网友习惯在网上使用同一套账号和密码，也就是说，只要有一套账号密码被曝光，就意味很可能被顺藤摸瓜登录该网友注册过的其他网站，如SNS社交网站、QQ甚至是网上银行。一旦用户的网上银行账户被盗，损失将是巨大的。

昨天，在新浪微博里，“你的密码被泄露了吗”成为热门话题，网友“dest”说：“冬至的夜晚就是个不停改密码的夜晚。”

在“小龙”看来，大网站也靠不住。“你在网站上录入的个人信息越多，对你造成的威胁就越大”。他在微博里给出了一套密码设置的技巧，以方便用户自己保护账号密码安全。他认为首先得启用两步认证，使用支持手机动态密码的邮箱，如Gmail信箱，“如此密码被盗黑客也进不去，除非手机同时也被盗。” 其次，“用这个信箱注册其他网站时，大网站用复杂的密码，小网站使用简单的密码”。而网银要“使用另一个复杂密码。”

目前，还没有支付宝或者网银账号密码被外泄的信息,但用户也不免担心受到波及。支付宝的相关工作人员告诉记者，只要按照以下四个步骤去做，就可以规避风险：“1.设置单独的、高安全级别的密码，避免和其他网站的账号密码一致，避免选择用生日、身份证号码、手机号码等易于破解的数字作为密码，支付宝的登录密码和支付密码务必不能相同；2.使用数字证书、宝令、支付盾等安全产品；3.绑定手机，使用手机动态口令；4.使用支付宝快捷支付享受全额赔付保障。”

影响 隐私保护亟待加强

昨天，快报记者联系上了“小龙”，在他看来，这次事件并不是偶然的。“据我所知，很多大型网站的用户数据库都被黑客攻击过，CSDN的数据库几个月前就有人在用了。只是这些数据库在最近两天集中对外公开。”

他认为，“整个事件最不可思议的地方在于，像CSDN这样的以程序员和开发为核心的大型网站，居然采用明文存储密码，导致海量用户的账号信息包括密码直接被泄露。”

网络安全无小事，这件事情的后续影响也将是巨大的，此次事件之后，网友的注册信息亟待受到保护。“小龙”表示“这次CSDN用户泄漏，垃圾邮件者乐疯了，凭空得到600万个程序员的电子邮件地址，估计以后广告邮件就会轮番轰炸过去了。”并且，“小龙”认为这次密码泄漏事件，暴露出一些实名制网站的隐患。“如果一些实名制的网站也出现类似问题，则用户真实姓名、身份证有可能面临大量泄漏的风险。”目前 ，不少网友已经开始注意自己的隐私安全，或忙着修改密码，或表示不再过多透露个人资料。

友情提醒

密码设定指南

●密码不能过于简单和直线思维化，如“123456”、或自己的生日之类；

●不要和登录名一样或包含登录名中的内容；

●不要在多个账号上使用同一密码，否则一个失窃意味着全盘失守；

●密码长度最好在8位以上，越长的密码运算难度越高，强度越大；

●安全的密码最好由字母、数字和符号组合而成（至少包含其中两种组合）

□快报记者 顾然