中国互联网史上最大泄密事件
2011年12月21号,有黑客在网上公开CSDN网站的用户报告库,致使600余万个注册邮箱账号和与之对应的明文密码泄露。
2011年12月26号,天涯、新浪微博、腾讯QQ、人人、开心网等知名网站的用户称密码遭网上公开泄露。来自奇虎360的最新监测发现,当前网上公开暴露的网络账户密码胜过1亿个。
密码泄露影响网站
天涯社区
公开致歉已经报案
“我在天涯的账号已经被黑,无法登录。”昨天,著名编剧宁财神在微博上宣称自己的天涯账户被盗,无法运用。除了宁财神,龙猫蓓、A弄月公子、蕊小蕊、东方_chi等大量新浪微博用户都称发现自己的天涯账号于近几日被盗。 更严重的是,密码被盗后,账户被黑客用来恶意发帖或执行诈骗。新浪微博用户“成都电台陈露”表明,他的天涯账号被盗后,被人用来在天涯的“情感天地”发了很多广告,致使助理版主将他的账号直接封掉,而他无法和天涯社区的有关版主执行沟通,澄清广告并没有是自己所发,也无法要回账号,十分着急。 对于天涯用户账号“被泄密”的范围,互联网漏洞数据平台“WooYun”昨天对外宣布,依据他们的监测,天涯社区有4000万用户的明文密码(即用户密码什么样,网站报告库就存成什么样)已泄露,“WooYun”漏洞数据平台还发布了天涯被泄露的部分用户密码信息截图。 昨天,天涯社区在网站首页挂出公告,称天涯已就用户报告泄露一事向公安机关报案,当前仍未证实具体的泄露报告范围及原因,但应当差于网上盛传的4000万这一数字。可以确定的是,天涯社区与CSDN用户报告库泄露事件如出一辙,这次天涯社区遭公开的用户密码,同样是以明文方式来保存的。天涯方面表明,本轮被盗的报告为2009年以前的备份报告,2010年之后,公司升级改造了天涯社区用户账号管理功能,运用了强加密算法,处理了用户账号的各种安全性困难。天涯方面还通过微博、邮件、手机短信、客服中心、媒体号召等多种途径向用户公开致歉,并将有针对性地警示和帮助用户更新或找回密码,尽或许地将用户损失降到最低。 “本轮用户报告被泄露尽管不是针对天涯社区一家网站,但的确给我们敲响了警钟。”天涯社区总裁邢明号召互联网同行、有关监管机构及政府部门直面互联网诚信及安全困难,共同携手为建立一个可信任的互联网环境付出。新浪微博
报告加密仍未被盗 除了CSDN和天涯,昨天,很多腾讯QQ、新浪微博、人人网用户也反应自己的账户和密码被公开在网上,甚至有的账号还被用来诈骗。仍有网友称新浪微博用户资料疑似被泄露,并发布了疑似被盗的新浪微博报告库下载地址,该网友发布的报告库文件表明,共有胜过476万个用户账户和密码被泄露。 昨天,新浪微博对此回应称,新浪微博用户账号信息采取加密存储,仍未被盗。经核实,网友发布的报告绝多部分不是新浪微博账号,“极小部分新浪微博用户因运用和其余网站相同的账号密码,或许致使其微博账号恐慌全。新浪已对这部分用户做了保护,并警示所有用户赶紧执行账号安全设置”。 人人网昨天也澄清称,自建站以来,人人网从未以明文方式存储用户的账号和密码,没有任何用户报告通过人人网对外泄露。但受于部分用户运用同一个用户名和密码来注册其余网站,所以其人人网账户也有被盗的风险,人人网警示所有与CSDN相同账号密码的互联网用户及时修改密码。 腾讯方面昨天公布声明说,已对泄密的QQ邮箱账号制约登录,请这部分用户登录时依据提示,在QQ安全中心运用密保工具箱来修改密码,同期建议用户定期修改密码,尽量不要在多个重要账户中运用雷同密码,避免账号被盗。泄露原因
明文密码是罪魁祸首
均为明文密码惹的祸。最恐慌全的报告保存方式就是直接存储明文,一旦报告库泄露,黑客就可直接掌握所有密码。有些网站受于用户报告安全意识欠缺,曾经明文保存过用户密码,最近被黑客公开的密码报告库大多属于此类情形。据他分析,该数据库事实上已经泄露了适当的时间,导致在今年末被黑客密集曝光罢了。 在本轮事件中,在黑客产业圈中被卖了多年的报告都被拿了出来,这起码确认了网络安全行业历年来的安全警示并不是空穴来风,期望IT行业和用户的安全意识能通过这次事件有一个较大的提高。 在网络安全方面,国内立法相对还较为落后,对黑客盗取网站报告的举动当前在法律上取证较难,犯罪成本相对较低,所以急切需要加速信息安全立法。在互联网时代,每个网民都不应主动去搜集和偷窥他人的隐私。当前刑法修正案中对于盗取用户信息其实已有清晰规定,偷窃、倒卖报告库属于违法举动,近年来国内已显现过多起因偷盗网游公司账号而承受法律惩处的案例。 12月28号消息,2011年12月19号有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博又一次表示互联网信任危机一触即发,其后的48小时,中国互联网迎来了有记录以来最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对此次事件执行深度解析。 此次黑客发布的用户账号约为1亿个用户账号及密码有关信息,预计地下黑客掌握了许多的互联网用户账号信息,此次泄露及发布的与事实被黑客掌握的用 户账号数对比导致冰山一角,预计有将差不多4到6亿的用户账号信息在黑客地下领域流传(2011年互联网报告统计,中国互联网网民为4.8亿),这次被黑客公 布爆库的网站报告信息导致黑客地下流传的极少一部分。 其中有很大一部分网站采取明文方式存储用户密码,分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采取公开的MD5算法对用户密码执行存储,通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。账号泄露的基本时间表
12月21号:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露
12月22号:中国各大知名网站全面沦陷.涉及规模甚广,泄露信息涉及用户有关业务甚多.... 一场席卷全中国的密码安全困难暴发了.... 12月23号:经历证实 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露 12月23号:网友爆料 天涯沦陷...7K7K包中包含天涯帐户密码!!!互联网安全何在??? 12月24号:178沦陷 UUU9沦陷 事态蔓延... 12月24号:天涯全面沦陷 泄露多达900W帐户信息... 12月24号:网易土木在线也沦陷,报告量惊人... 12月25号:百度疑因帐号放开平台泄露帐户信息... 12月25号:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.而且本身帐户信息全部泄露... 12月25号:UUU9.COM被黑客两次拖库.. 12月25号:事态升级天涯疑泄露4000W用户资料 12月25号:178第二次被拖库泄露报告110W条 12月25号:木蚂蚁被爆加密密文用户报告,约13W报告 12月25号:知名婚恋网站5261302条帐户信息确认... 12月26号:myspace泄露,迅雷又成功离线3个泄露包! 12月26号:ispeak泄露帐户信息 已验证!请官方通知会员修改密码! 12月26号:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次 12月26号:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露报告不详 12月26号:塞班智能手机网校验精准率达到70%!!或塞班智能手机网沦陷 12月27号:网易土木论坛通过碰撞分析密码,用户资料全部真实!共计135文件,4.31G 资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.) 12月27号:178.com彻底沦陷,共计泄露多出1100W+ 报告! 12月27号:766验证泄露,泄露报告十余万! 12月27号:ys168验证泄露,泄露报告三十余万! 12月27号:凡客20W 当当10W 卓越20W 用户资料验证泄露 12月28号:太平洋电脑泄露200W用户资料包含用户帐户 12月28号:大学报告库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露报告不详,只能靠截图揣摩! 下方为此次账号泄露情形的基本信息表: CSDN共计泄露640万个帐号,泄漏信息:帐号、明文密码、电子邮件; 多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称; 178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA) 天涯:共计泄露4000万个帐号(预计胜过4000W报告),泄漏信息:帐号、明文密码、电子邮件 人人网:共计泄露500万个帐号,泄漏信息:明文密码、电子邮件 UUU9.COM:共计泄露700万个帐号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称 网易土木在线:约4.3GB 137个文件,泄漏信息:帐号、MD5加密密码、其余有关报告 梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。 北京麒麟网信息科技有限公司:共计泄露9072966个帐号,泄漏信息:帐户、明文密码 知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码 Ispeak.CN:共计泄露1680271个帐号,泄漏信息:帐户、明文密码、昵称 木蚂蚁:共计泄露13W帐号,泄漏信息:帐户、加密密码、报告库排序ID、其余信息 塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱 766.COM:共计泄露约12W帐号,泄漏信息:帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、报告库排序ID ys168:共计泄露约30W帐号,泄漏信息:帐户、明文、电子邮箱 当当:共计泄露约10W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话 凡客:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话 卓越:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、,电话谁是幕后的主谋
龚 蔚觉得,从某种意义上表达任何一个安全厂商都或许是事件之后直接的利益得到者,第一次发布CSDN泄密信息为金山一个不知名的技术人士,但事件的第一个出场人 物不是该数据的最早拥有者,且就算凭借他的一己之力也不或许掌握这样庞大的报告,面对事件导致的极大社会影响谁都可以预知,显然作为长期站在黑客对立面 的商业公司肯定不愿意搅这趟浑水。 他表明,从技术面,一个或者几个联合体的黑客团队完全或许掌握这些庞大的地下信息,但是发布这些信息显然是对他们没有任何价值的,就当前来说还没有一个黑客团队发布对该事件的任何信息,发布近亿的用户报告就为了一个出名显然不或许。 他 觉得这次得信息泄露就是一场蝴蝶效应,当一部分密码被泄露后,一面用户首先会做的就是更改他所有网站的密码,而另一面对于黑客来看,他以前掌握的这些 用户账号密码但来自于其余不同的网站,当黑客发现他们的密码将不再有任何的价值和意义时,立即娱乐大众拿出自己掌握的报告来与大家分享一下,用黑客那种独 有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反映。产业链解析
黑客地下产业细分很清晰,一旦得到用户账户信息(黑客们习惯称为刷库),将执行流水化的洗库工作,庞大的群体等候着这些账户密码(黑客俗称洗库), 下线洗库的首先分析能否可以登录其余所有的将差不多500个大型网站,然后分门别类的区分出不同的账号价值,比如短位QQ账号(5名6名的QQ号),带有虚拟 币的系统比如支付宝系统,网游系统,通过首次的刷库将其最直接的虚拟币或游戏账号执行转移,第二梯队依据刷下的库对用户账户信息执行过滤,将用户的一部分 基本信息执行保存,比如密码习惯,找回密码的答案,然后再依据这些信息去试图用户其余的账户,同期执行二次刷库。 掌握某些网站的核心维护人士的用户账号信息后,他们的密码很或许就是某些网站的维护密码,这为刷库的黑客导致了许多的入侵机会,他们将令试图这些管理员的密码扩大入侵的规模,(黑客俗称“社会工程学破解”)。 许多的产业链在等着这些刷库工作者,用户数、游戏经营商需要注册用户数,广告商要用户数,刷库的可以在短时期内将任何有需求的注册用户数提高上去,而且均为真实的用户。 更为可怕的是,依据报告库可以分析出账户的社会关系,假使一个密码报告库里只有5个人用,那就是马甲了。假使一个邮件后缀只有30个用户那你们就是某种特定关系的朋友或者是同事。 一个IP用户不同账号同期发了几次微博,那你一定离得很近。假使一个密码找回的困难有着同样的答案且不多过10个重复率,那你们之间一定有联系。仍有许多的黑客分析算法,目的只有一个这会作为下一个产业链的开始,可以是诈骗,可以是敲诈。由于他知道网民后面所有的秘密。 就算最后所有的价值都被榨取完了,这些账号依旧有利用价值的,这些信息将被无情的低价倒卖给一部分专门发送垃圾邮件,垃圾广告的群体,你的每一次点击将令给他导致1毛钱的收入。