“你改密码了没有?”不是调侃,不是搞笑,这样的问候语是正在发生的事实。自从12月21日开发者技术社区CSDN的600万用户密码外泄被曝光以来,多家国内知名网站接踵而至,不同程度地被卷入了“密码外泄”的传言泥潭。一时间,网络上风声鹤唳草木皆兵,随便登录一个常去的网站,往往劈头就会撞上“重新设置密码”的醒目提示。我们不妨用一句“老滚5”游戏中的流行语来描述这种现状—“我从来不知道密码也要天天修改,直到我的膝盖中了一箭!”而这突如其来的第一箭,就是CSDN社区的600万“被裸奔”账户。
技术社区被“爆库”?
12月21日晚间,网上突然爆出一条消息:CSDN社区承认有约600万用户密码遭到外泄,且绝大部分是早年留存的明文密码。
一石激起千层浪。
CSDN何许网站也?这四个字母是中国软件开发联盟(Chinese software develop net)的缩写,也是中国最大的开发者技术社区。
某网友用一个想象出的场景来描述当晚的情形—在某计算机专业的大学生寝室里,一个男生大叫道:“兄弟们,最新的日本某女星片子已经下好,大家快过来看啊,相当精彩啊!”然而,这个寝室里的其他同学似乎对这哥们的再三邀请听而不闻。因为大家都在眉飞色舞地谈论着CSDN的明文密码和用户账号泄露的事情,并在网上搜索下载CSDN那600万的用户数据……
“那一晚,全中国的程序员都在疯狂地改密码。”网友“谢昊”的这条微博并不夸张。
因为CSDN的特殊地位,部分网友认为这简直是莫大的讽刺:“都什么年代了,还用明文密码?”“一群技术青年竟然在一个如此没技术含量的平台上交流了那么多年!”
然而,随后的一连串连锁反应显示,这600万数据的外泄也许只不过是露出海面的冰山一角。
600万密码折射的隐患
按照CSDN社区《公开道歉信》中的说法,由于时间久远的关系,一小部分用户密码确实采用了明文储存。然而,这600万密码泄漏折射出的问题,绝不只有明文储存而已。
在“开源中国”社区上,有网友针对网络上流传的CSDN外泄数据包进行了分析,得出的结论让人吃惊:
有近45万的用户使用123456789和12345678做密码。有近40万的用户使用自己的生日做密码。有近15万的用户使用自己的手机号做密码。有近25万的用户使用自己的QQ号做密码。设置成弱密码的用户占了590万,也就是那种就算你用MD5或是SHA算法加密也能很快就被暴力破解出来的密码。
只有8 000多个用户的密码长度大于8个字符,并包括了大写字母、小写字母和数字,而且不在字典表里。
即使在程序员云集的CSDN社区,他们设置的密码也并没有多高的安全系数。而且,太多人习惯用与个人信息相关的数字充当密码,一旦账户被破解或泄露,随之陷入危险的还可能有用户的手机号、QQ号甚至出生日期!
一般人的账号密码认准后基本不会变。也就是说,拿到CSDN社区的这份被盗资料后,就可以随意登陆别人的邮箱、QQ、微博以及豆瓣,甚至破解出银行密码。
网友“林磊”做了一下实验:“刚刚下载了那个文件,解压后200多兆的文本。在里面搜了一下,自己的账号果然在里面,用户名、密码、邮箱全部都在。顿时一阵无名火起,让我们还怎么相信这些网站!”
“太丢人!”IT人“鱼翅”一言以概之,“这次泄漏事件一出,就等于宣告程序员干不过黑客。”
“多米诺效应”爆发
CSDN仅仅是一个原点,可能引发席卷整个互联网的连锁反应,更多普通网民发现自己开始被卷入其中。一周之内,天涯社区、新浪微博、腾讯QQ、京东商城、人人网、开心网、多玩游戏网、7k7k、世纪佳缘、珍爱网、美团网、美空网和百合网等多家知名网站纷纷卷入“密码泄露”的传言。截至发稿时,来自奇虎360的最新监测显示,目前网上公开暴露的网络账户密码已超过1亿个。
就在这一周里,互联网安全专家赵明(化名)在与网友的讨论中得到一个迅雷下载链接。正当他下载这个文件时,《迅雷》软件右侧的相关推荐里列出了7k7k网2 000万、多玩游戏网800万的数据包,他立刻同时下载。之后,这个列表还在不断扩大,天涯社区、嘟嘟牛、178和人人网等网站都已经进入推荐清单。
尽管人人网、开心网和7k7k等不少网站均对“被黑”一说予以否认,称从未使用明文密码,但仍然提示“在CSDN或者其他论坛等使用相同账号密码则存在风险,请尽快修改”。密码外泄的“流感”一时引得网上人人自危,互联网安全公司纷纷拉响红色警报。
“我在天涯的账号已经被黑,无法登录。”12月26日,著名编剧宁财神在微博上宣布自己的天涯账户被盗,无法使用。除了宁财神,龙猫蓓、A弄月公子、蕊小蕊、东方_chi等众多新浪微博用户都称发现自己的天涯账号于近几日被盗。
更严重的是,密码被盗后,账户被黑客用来恶意发帖或进行诈骗。新浪微博用户“成都电台陈露”表示,他的天涯账号被盗后,居然被人用来在天涯的“情感天地”大发广告!
事情到此还没有结束,12月27日,网易163邮箱也传出了“被黑”的消息。邮箱管理界面中被绑定了陌生的QQ号码,有人认为这是被攻击的后门账号。虽然网易随后发出辟谣,表示此事子虚乌有,但看在已经人心惶惶的网友眼中,自然很难做到无动于衷。和钱直接挂钩的京东商城更是被爆出用户信息大面积泄露,内容包括姓名、地址、电话和Email等,被泄露后的用户形同网上裸奔。
面对接踵而来的“多米诺效应”,各网站闻风而动,提示“尽快更改密码”的安民告示几乎随处可见,各出招数应对这波风潮。
天涯社区就在网站首页挂出了公告,澄清称“泄露数据低于网上盛传的4 000万”,并称已就此事向公安机关报案。
新浪微博在宣布密码并未泄露后,很快推出了短信报警、登录保护和账号锁定等功能。
网易宣布其自主研发的人脸识别系统已经取得核心技术突破,明年上半年将用在邮箱等产品上(要求用户在终端拥有摄像头,通过摄像头捕捉人脸信息进行比对),并逐渐推广。
腾讯方面发布声明称,已对泄密的QQ邮箱账号限制登录。请这部分用户登录时根据提示,在QQ安全中心使用密保工具箱来修改密码。同时建议用户定期修改密码,尽量不要在多个重要账户中使用雷同密码,避免账号被盗。
人人网表示,对于密码风险特别高的用户,该网站将暂时冻结账号的使用,以待其联系客服加强安全措施方可正常使用。
支付宝则向媒体表示,由于其功能对保密的要求比一般的互联网社区网站更高,支付宝早就推出了专门的密码安全控件。该安全控件实现了在SSL加密传输基础上对用户的关键信息进行再次多重加密。
同时,很多网游公司在登录时也都新加入了输入验证码一项,以加强安全。
金山员工是始作俑者?
事情走到这一步,知名网站纷纷卷入。但事件的源头到底是怎么一回事?曾有网友爆出,最早在迅雷公开提供数据库下载的人为金山公司员工。
早在CSDN社区密码遭泄的第二天,也就是12月22日,网上传播的图像显示,有QQ用户曾于21日下午2时许,在QQ群内发布CSDN数据包的迅雷快传链接。12月23日凌晨,一名ID为hzqedison的新浪微博用户承认,其本人是该文件的上传者,并表示道歉。
为了洗清嫌疑,涉嫌“泄密”的当事人韩斌(化名)曾向媒体讲述事情的全过程。
韩斌表示,12月21日下午2时许,他在一个网络安全相关的QQ群内,看到了CSDN用户账号密码的迅雷下载文件。由于他本人也是一名技术人员,并且是CSDN注册用户,因此他马上将该文件下载,以查阅自己的账号是否被盗。
“果然在里面查到了我的账号!我的很多同事也是这个网站的注册会员,我想把这份东西共享给他们,如果他们查到自己的账号被泄,好快去更改密码。于是我把QQ群内要用迅雷专用工具下载的链接,转化成了迅雷快传的下载链接,并且发到了一个朋友圈内的QQ群里。”
令韩斌大吃一惊的是,仅仅过了不到十分钟,他所发布的相关内容就被人截图,并发布在了专业安全网站“乌云”(wooyun. org)上。“据我猜测,我把东西发在QQ群里后,又有人在不同的QQ群内转播,所以才会传播出去。”韩斌说。
“我当天就删掉了迅雷上的文件,但没想到事情会影响得这么大,很快有人策划新闻,也有水军来转发、骂我。现在连我父母都打电话问我,我只能告诉他们我确实没有做过这样的事。我很爱我的工作,真的不想失去它。”韩斌的话语断断续续,声音微微发颤。
12月26日,金山网络发表声明,承认韩斌确为其公司员工,但同时表示,该员工并非在网络上被“千夫所指”的黑客,也不是最早泄露用户数据的人。
“事件绝对不是金山引起的,我们已经掌握了始作俑者的部分资料。”金山网络公关部门相关负责人说。
扑朔迷离的“真相”
随后,又有网友发现,早在12月4日,就有ID为“臭小子”的用户在前述的专业安全网站“乌云”上发布了一份“中国各大站点数据库曝光”的漏洞概要,截图中也包括最早被泄露的CSDN相关数据库。只是在当时,这份截图并没有引起广泛的关注。
那么,这才是本次风波真正的源头?遗憾的是,自从12月23日,“臭小子”在百度空间上发表名为《网上那些事和我无关!》的博客公告之后,始终没有再出现在公众的面前。即使在那篇博客中,他也只说“在这里我表示歉意,里面的数据库我真的没有,数据库真的不是我搞的,我也没有搞过。”
山重水复疑无路,料不到的是柳暗花明又一村。12月28日,CSDN创始人蒋涛公开指出遭遇上市公司栽赃,并公布被曝库数据重合度对比,其目标直指人人网。
在连续发表的微博中,蒋涛还写道,密码泄密事件发生迄今,仅CSDN第一时间公开道歉并通知用户,其他人沉默或否认。他还表示,一些网站还趁机浑水摸鱼,将这些公开库的数据直接导入自己用户库,也发通知给用户改密码,此外,钓鱼网站和垃圾邮件都活跃了起来。
截至本刊发稿时止,事件的真相暂时还没有水落石出,但后果却是可以预想的。一位不愿具名的安全行业资深人士指出,泄密事件将造成持续连锁反应。“以前有公司要给网民发垃圾邮件,还要去购买有效用户的信息,现在他们完全不用买了。我估计在未来一段时间内,中国网民将会接收到大量的垃圾邮件。此外,也会有部分用户存在银行密码被盗用的危险。”