鋒篌邿躇掖摽毯腔鋒桴睿楊薺滅鳶

網絡泄密背後脆弱的網站和法律防火墻

www.prototype.com.hk

國內最大的程序員社區CSDN上600萬用戶資料被公開，同時黑客公佈的文件中包含有用戶的郵箱賬號和密碼，信息安全黑洞巨大。CFP 在迎接2012的最後幾天裡，中國的互聯網世界上演瞭一出史上規模最大的泄密事件。 從CSDN、天涯等論壇社區，到人人網、開心網、多玩網等多個社交、遊戲網站，再到京東商城、當當網、淘寶網等電子商務網站，均牽涉其中。傳聞還波及支付寶、工商銀行、民生銀行及交通銀行等支付和金融機構。政府網站也未能幸免，廣東省出入境政務服務網站的444萬條用戶信息，在2011年12月30日被證實泄露。 一時間，各大網站及互聯網用戶人人自危，“今天你密碼泄露瞭嗎”成為流行網絡的問候語。創新工場旗下安全寶公司推出的用戶密碼查詢框，在短短幾天內查詢數就超過瞭180萬人次。 國傢互聯網應急中心（CNCERT）發佈的數據顯示，截至2011年12月29日，國傢互聯網應急中心通過公開渠道獲得疑似泄露數據庫26個，涉及賬號、密碼2.78億條。其中具有與網站、論壇相關聯信息的數據庫有12個，涉及數據1.36億條；無法判斷網站、論壇關聯性的數據庫有14個，涉及數據1.42億條。 財新《新世紀》瞭解到，泄密事件發生後，國傢工業和信息化部已經啟動應急預案，組織通信管理局、國傢互聯網應急中心及相關互聯網企業和網絡安全專傢，瞭解核實事件情況，評估事件影響和危害，研究提出應對措施。 但事實上，CSDN、天涯等多傢網站的用戶數據庫被盜，已經不是最近才發生的事件，大爆發隻是黑客集中的披露行為而引發——這些被拋出來的，隻是幾乎榨幹瞭所有價值的過期數據庫。 大泄密 “我們深表歉意，建議修改密碼” 引爆整個事件的導火索，是CSDN用戶數據庫的“意外”曝光。2011年12月21日，有網友在微博上爆料稱，CSDN網站的安全系統遭到黑客攻擊，包括600萬條用戶名和密碼泄露——數據庫正在網上快速擴散。 CSDN的創始人蔣濤，也是當天在微博上看到瞭這條信息。“第一反應就是確認是不是真的。”蔣濤對財新《新世紀》記者回憶稱，工程師從網上找到那個文件，“和我們的數據庫比對下來，很不幸，確實大部分都是。” 12月21日晚間，CSDN在其網站及官方微博上確認瞭數據庫泄露一事：“近日發生瞭CSDN部分用戶數據泄露事件，對此我們深表歉意，同時懇切地建議2010年9月之前的註冊用戶和沒有修改過密碼的用戶，盡快修改密碼。” 通知用戶的同時，CSDN緊急對下載源進行封堵。“微博擴散的速度太快瞭，這麼多的賬號在裡面，如果數據庫擴散到瞭幾萬、幾十萬人的手上，你都不敢想象它能被利用成什麼樣子。”蔣濤很快聯系上瞭騰訊和迅雷，要求關閉和重置下載源。騰訊和迅雷也快速做出瞭響應。 蔣濤承認：“到那個時候已經很難擋住瞭，雖然關掉瞭下載點，但是文件已經出去瞭，在點對點的傳輸上，就很難控制住瞭。” 隨後的幾天，CSDN的數據庫與其他後續爆出的數據庫一道，依然在網上被瘋傳。在這期間，CSDN聯系瞭郵件廠商，一同發送郵件給用戶提醒修改密碼。“我們自己發送瞭200多萬封，郵件廠商幫忙發瞭300多萬封。” 然而，潘多拉魔盒已經打開，CSDN數據庫的泄露僅僅是個開始。“沒想到後面的事情越來越大，已經到瞭不可收拾的程度。”蔣濤說。 12月22日，知名IT博客“月光博客”披露，多玩網數據庫泄露超過800萬條信息，有大量用戶名、明文密碼、郵箱及部分加密密碼。“經過驗證，使用該數據庫中的用戶名和密碼可以正常登錄多玩網。” 同日，標註為“人人網500萬用戶資料”的文件開始在網上流傳，嘟嘟牛、7k7k、178遊戲網、CSDN等多傢網站數據庫文件的截圖也出現在微博上，涉及的用戶信息總量超過5000萬條。但人人網否認用戶數據遭到泄露，他們在官方微博上提醒稱，“如果您的人人網賬號密碼和CSDN或其他網站一致，建議您馬上修改密碼，以免賬號被盜。”人人網相關人員在接受采訪時表示，提醒用戶隻是出於安全考慮。 12月25日，泄密規模進一步擴大，網絡上開始流傳天涯論壇的用戶數據庫，信息總量超過4000萬條。隨後，這一新聞被天涯社區官方致歉信證實：由於歷史原因，天涯社區早期使用明文密碼，在2009年11月改成加密密碼，但是部分老的明文密碼庫未被清理，黑客泄露的正是2009年11月升級密碼保存方式之前所註冊的用戶。不過天涯社區並未在公告中對泄露的用戶規模進行確認。天涯社區公關經理初蒙在接受財新《新世紀》記者采訪時表示，確認用戶信息遭泄露後，已經向海南省公安廳、海口市公安局報案，案件目前正在偵查之中。 12月26日，網上又傳出某微博的用戶資料疑似被泄露，並公佈瞭某微博數據下載地址。這個疑似數據庫一共有約476萬條賬戶和密碼信息。 此後，泄密事件繼續發酵升級，傳聞開始波及到電子商務及銀行系統。12月27日，烏雲漏洞報告平臺披露京東商城的漏洞，“在某些業務上存在用戶權限控制不當的漏洞，導致任意用戶登錄系統後，都可以正常訪問到所有用戶的信息，包括姓名、地址、電話、Email等。”這一漏洞報告得到瞭京東商城方面的響應。 12月28日，“當當網1200萬用戶信息遭泄露”的說法亦被“小部分”證實。當當網的公告稱：“經核實，網絡公佈的信息數據隻有極小部分屬實，且均系2011年6月之前的老數據，該部分數據是由於之前遭到網絡黑客攻擊被盜取。” 烏雲漏洞報告平臺在12月28日也再次報告稱，“支付寶用戶大量泄露，被用於網絡營銷，泄露總量達1500萬-2500萬之多，泄露事件不明，裡面隻有支付寶用戶的賬號，沒有密碼”。支付寶隨後回應稱，支付寶賬號不是私密信息，在很多地方都可以搜集到，隻有賬號沒有密碼，對用戶資金安全沒有任何威脅，“支付寶采取金融級的信息安全標準去保護用戶信息及資金安全，我們承諾沒有任何人能從支付寶獲得用戶的密碼等私密信息。過去沒有，以後也沒有，請大傢放心”。 但12月29日，更嚇人的消息又在網上瘋傳：交通銀行、民生銀行分別泄露用戶資料7000萬和3500萬份，“卡號、姓名、密碼都有”，並配有截圖。當天下午，交通銀行、民生銀行、工商銀行等分別發佈公告辟謠，稱“用戶資料外泄的傳聞純屬謠言”。 當日晚間，又有網友披露稱，廣東省公安廳出入境政府服務網網上申請數據泄露，幾乎所有提交網上申請用戶的真實姓名、出生年月、電話、護照號碼、港澳通行證號碼等信息均可查到，泄露的總信息量高達444萬條。這一信息被廣東省公安廳證實：2011年6月24日至2011年12月29日期間，在廣東申請出入境的用戶信息遭到泄露。 僅僅一個星期，泄密已經從CSDN一傢網站的危機演化成為瞭席卷整個互聯網的大事件。一時間，各大網站人人自危，真假數據庫屢屢出現。國傢互聯網應急中心對所曝光的數據進行瞭抽查核實，發現部分數據是有效的，經過與相關網站、論壇聯系後，確認CSDN社區、天涯社區兩傢網站發生瞭用戶數據泄露事件，但泄露原因還有待進一步分析；對於其他網站、論壇，雖然曝光數據中個別條目有效，但不能判定發生瞭網站、論壇用戶數據泄露事件。 金山網絡反病毒工程師李鐵軍12月30日接受財新《新世紀》記者采訪時則表示，根據他們從網上下載的數據庫，剔除重復信息之後，有超過1億條的用戶信息在此次事件中泄露。 一位不願具名的網絡安全工程師也向財新《新世紀》記者證實，經過重合度分析、數據庫格式判斷等驗證分析，基本可以斷定“有十幾傢網站的數據庫比較靠譜，應該是真實的”。 大規模用戶數據泄密後，各種“渾水摸魚者”也隨之而來。蔣濤告訴財新《新世紀》記者，一些人開始制造假的數據庫來混淆視聽；一些網站通知所有用戶修改密碼，以乘機激活“沉睡”用戶；甚至一些網站把曝光的數據庫直接導入自己的數據庫，然後發通知給用戶修改密碼，不費吹灰之力即獲得上千萬規模的用戶。當然，對用戶影響最直接的是各種垃圾郵件、釣魚郵件多瞭起來。 真正令人擔心的是，或許還有更大規模的數據被地下黑客所掌握，隻是沒有公佈而已。著名網絡安全專傢龔蔚（goodwell）公開表示，這次曝光的1億多條用戶賬號及密碼等相關信息，隻是黑客所掌握數據的“冰山一角”，預計有將近4億-6億的用戶賬號信息在黑客地下領域流傳。 偶然中的必然 “這些數據庫在黑客圈幾年前就有瞭，這一次隻不過是個比較集中的爆發” 是誰，在什麼時候，拿走瞭這些涉及用戶隱私的數據？原本隱秘在黑客圈的數據庫緣何會曝光在公眾面前？互聯網是否還有安全可言？此輪網絡大泄密，讓這些問題成瞭普通互聯網用戶最自然的追問。 “這些數據庫在黑客圈幾年前就有瞭，這一次隻不過是個比較集中的爆發。”安全寶CEO馬傑對財新《新世紀》記者稱，CSDN數據庫的曝光看似偶然，實則必然。“冰凍三尺非一日之寒，互聯網行業安全問題的累積已經太多瞭，遲早會爆發。”馬傑在安全行業超過十年，曾任瑞星研發總經理，負責個人和企業的安全產品。 這也是網絡安全行業人員近乎一致的觀點。天融信公司高級安全顧問呂延輝向財新《新世紀》記者證實，最早在2008年時，就曾聽說有一些網站的數據庫在黑客圈流傳。 本次密碼信息最先被公佈的CSDN社區，後來曾組織安全專傢進行討論，得知公司的數據庫事實上早就在黑客的手上瞭。“並不是說這一刻先攻破瞭CSDN，放出數據庫，然後下一刻攻破瞭天涯再放出數據庫。而是這些數據他們手上一直都有，隻不過拋出來的時間不一樣。”蔣濤說。 天融信成都分公司技術負責人鄒曉波稱，早期的很多網站，都可以通過服務器滲透，取得後臺數據庫的權限，直接取得數據。“黑客圈內人都知道誰被盜瞭，他們不一定公佈，但是會炫耀，在小范圍內流傳，大部分沒有去獲利。” CSDN社區數據庫的曝光，曾經被指向一名ID為Hzqedison的金山公司員工，他分享數據庫下載地址的截圖最早在網上流傳。12月22日，CSDN數據庫外泄一事被廣泛關註的時候，Hzqedison在微博表示道歉。隨後，金山公司也發表聲明，金山員工並非網絡上傳言的黑客，並非最早對外發佈密碼庫的第一人。 Hzqedison解釋瞭事情的經過：“12月21日，我在一個聊天群裡看到CSDN數據庫的迅雷下載地址，就離線下載瞭該文件來檢查自己賬號是否被泄露。為瞭讓同事們也檢查，才做瞭分享貼到同事群裡。5分鐘後，該地址截圖被發到瞭烏雲漏洞報告平臺上，得知後我立即刪除瞭迅雷分享地址。因為刪除很及時，該地址隻有幾名同事下載過，而且從未將數據庫文件外泄。” 李鐵軍告訴財新《新世紀》記者，據他瞭解，當時該金山員工上傳CSDN數據庫時，是“秒傳”的，說明這個數據庫文件在迅雷下載服務器中早已存在。 “是誰最早上傳瞭這些數據庫，現在已經很難確定。”李鐵軍說，除瞭CSDN的數據庫，還有其他網站的數據庫一起在網上流傳。因為CSDN的影響力比較大，所以就傳開瞭。 事實上，CSDN數據庫曝光之前已有征兆。李鐵軍告訴財新《新世紀》記者，他在12月14日前後，即泄密事件發生的前一周，就已經註意到有很多網友在微博上反映賬號被盜，“這是黑客在用數據庫去試探某微博的數據庫，有些就撞到瞭”。 馬傑分析，這次曝光的網站數據庫應該是最近幾年間連續不斷被刷庫的。“安全圈也知道，這幾年地下黑客圈在刷庫，也知道一些數據庫在黑客圈流傳。” 所謂刷庫，是指黑客入侵網站服務器之後竊取用戶數據庫的行為，互聯網業內也稱其為“拖庫”，取其諧音，也形象稱之為“脫褲”（參見輔文“致命的漏洞”）。 看上去，金山員工“偶然”的發現和分享，加上地下黑客累積經年的刷庫行為，以及數據庫在圈子中的一輪輪擴散，最終促成瞭這次網站數據庫大規模的曝光。 但是，這裡面依然隱藏著兩個問題。第一，金山員工如何能“偶然”發現原本在地下黑客圈流傳的數據庫？第二，僅是CSDN的數據庫曝光，緣何能引發一連串的數據庫浮出水面？ 地下黑客圈傳輸或交換文件，一般都是點對點的傳輸，有時甚至通過郵寄移動硬盤或光盤來實現。但隨著被刷的數據庫越來越多，轉手的次數越來越多，參與的人數也越來越多，出錯和曝光的概率就越來越大。 烏雲漏洞報告平臺的創建人劍心分析說，由於不同黑客掌握的數據庫各有不同，刷出來的數據庫會在黑客圈中交換，這樣就會一輪一輪的擴散。很有可能是某個人在轉手傳播的過程中，由於文件太大，無法實現網絡上點對點的傳輸，不得不利用迅雷、網盤一類的工具進行上傳和下載。在這過程中，工具會把這些文件泄露出來，甚至會在搜索“數據”等關鍵詞時出現推薦。這樣擴散的范圍就更大，進入與黑客圈有交流的安全圈也就不足為奇瞭。 至於網站用戶密碼連續被報丟失的現象，呂延輝解釋說，一些數據庫曝光之後，黑客手中那些與之雷同的數據庫就沒有價值瞭。並且，引發公眾關註後，基本所有網站都會通知用戶修改密碼，政府相關部門可能還會介入，那麼其他的一些非核心數據庫的價值也就更低瞭。 呂延輝表示，可以看出來，這次曝光的數據庫都是在地下黑客圈轉手很多次的，本身價值也不大，再加上CSDN數據庫的曝光，其他數據庫的含金量進一步降低，那些手上有庫的人拋出來也不奇怪，這才形成瞭一連串的規模效應。 脆弱的網站安全 互聯網從提供內容為主發展到有很多網上購物與社交，但安全現狀停步不前 泄密事件，將眾多網站在安全方面的脆弱暴露無遺。知名網絡安全專傢、安天實驗室首席技術架構師江海客直言，這是一個安全崩盤的時代。 安全圈內資深人士的共識是，被黑客攻擊和刷庫，各大網站幾乎是無一幸免，隻是程度和范圍的不同。在做安全行業的人看來，目前大部分網站的安全性都不足。“這一次表面上看是明文密碼庫的問題，但實際上多數網站從根本上都沒有重視自身的信息安全。”天融信公司副總裁劉輝對財新《新世紀》記者表示，網站把絕大部分資金投入到日常運營中，隻有被攻擊或吃過教訓後，才想起來安全的重要性。 “一些網站之所以容易被‘脫褲’，很大一部分原因就是因為本身就穿得太少瞭。”劉輝說，很多經營性網站甚至都沒有專門的網絡安全工程師。 CSDN社區數據庫在此次事件中最先曝光。蔣濤也坦言，“原來對安全的認識還停留在相對低的水平上，覺得自己的數據不是什麼關鍵數據，別人拿去也沒什麼用。” 但這次一連串的數據庫泄密事件證明，互聯網存在很大的關聯性，特別是擁有大量用戶的網站，更不是一個孤立的存在，很多用戶的郵箱、賬號都與別的系統相關聯，一旦有事，就會造成跨網站的連鎖反應。另外，由於安全問題出在瞭服務器端，普通用戶基本沒有辦法防范，數據庫被刷後曝光出來，用戶隻能被動的修改密碼。 馬傑則指出，現在互聯網從原來提供內容為主，到現在有很多的網上購物與社交，網站的重要性進入瞭另外一個層面，但安全現狀停步不前。“現在網站數據中所包含信息的價值在上升，但安全防護的措施並沒有加強。”他說。 另一方面，專業做網站功能、應用和服務的人，與專業做安全的人，在技術思維上也存在巨大差異。“一個B2C網站的程序員，做瞭一個系統，花瞭幾個月的功夫，自己覺得沒什麼問題，然後請專業做安全的人去找漏洞，結果做不到十分鐘就破解瞭。”李鐵軍舉例說，二者沒有高下之分，隻是職業的特征決定瞭思路上的差異。 思路上的差異，加上安全意識的不到位，導致瞭網站安全的脆弱。CSDN、天涯社區至今仍未披露數據庫外泄的具體原因。馬傑告訴財新《新世紀》記者，從技術上講，有很多種方法可以刷庫，“就像一個很大的房子，可以爬窗戶、撬門，或者從煙囪進來，甚至挖個地道進來，就看黑客想花多大的功夫和精力”。 通常來說，黑客都是通過發現網站或應用軟件的漏洞進入服務器，然後想辦法提升權限，就可以把數據庫下載下來。對一些防護比較弱的網站，甚至都不用進入網站就能刷庫。安全行業資深人士TK說：“隻要分兩步，第一步找到一個SQL註入點，執行一條備份命令，備份到一個目錄去；第二步，從目錄把數據下載回來。根本不需要獲得網站的權限，隻要有SQL註入的漏洞，就可以爆庫瞭。” 劍心告訴財新《新世紀》記者，決定在12月30日臨時關閉烏雲平臺的其中一條原因，就是擔心後續幾天爆出的網站漏洞會越來越多，引起互聯網用戶的恐慌。烏雲漏洞報告平臺是由一群互聯網安全研究人員自發組織的信息安全溝通平臺，研究人員在上面提交廠商的安全問題，也披露一些通用的安全咨詢和安全使用。有超過500個“白帽子”安全研究人員和120多個廠商參與平臺，反饋和處理瞭接近4000個安全問題。在泄密事件引發大范圍關註後，烏雲平臺因曾多次發佈相關安全漏洞預警而被關註。 劍心也證實說，目前國內除極少數大型網站外，可能都被黑客刷過庫，包括一些門戶網站，一些漏洞都是在烏雲平臺上被證實的。此外，近年來快速膨脹的電子商務網站，在劍心看來，安全性更是糟糕，烏雲平臺已經多次證實並報告瞭他們的漏洞。這其中就包括11月10日所報告的當當網漏洞，可以抓取超過4000萬條用戶信息。 相對而言，金融系統的安全性較強。銀行通常會采用硬加密的技術，既不僅依靠登錄密碼和交易密碼，還需有一個外在於密碼系統的物理密鑰，比如發送到手機的動態口令或U盾密鑰，其安全性要高於單靠密碼的“軟加密”方式。但是，隨著第三方支付、代收費、代繳費等業務的展開，銀行系統需要開放的接口也越來越多，對銀行系統的安全提出瞭更高的要求。 Tags: Rapid Prototyping, Rapid Prototyping China, Plastic Tooling, Plastic Tooling China, Rapid Prototype, Rapid Prototype China, Rapid Tooling, Rapid Tooling China, CNC Prototype, CNC Prototype China, Functional Prototype, Functional Prototype China, Metal Prototype, Metal Prototype China, Plastic Prototype, Plastic Prototype China, Rapid Manufacturing, Rapid Manufacturing China, Low volume production, Stereolithography, Stereolithography China, Vacuum Casting, Vacuum Casting China, whatsapp marketing, wechat marketing, seo, e marketing, SEO, SEO, web design, 網頁設計, SEO, SEO, SEO, SEO, Whatsapp Marketing, TVC, Wechat Marketing, Wechat Promotion, web design, 網頁設計, whatsapp marketing, wechat marketing, seo, e marketing, 網頁設計提供seo, e marketing, web design by zoapcon.