超1亿用户密码被黑客公开泄露

2011年12月27日 02:41来源：京华时报 作者：周琦

中国互联网史上最大泄密事件的影响仍在进一步扩大。继12月21日上午，有黑客在网上公开CSDN网站的用户数据库，导致600余万个注册邮箱账号和与之对应的明文密码泄露之后，昨天，又有天涯、新浪微博、腾讯QQ、人人、开心网等知名网站的用户称密码遭网上公开泄露。来自奇虎360的最新监测发现，目前网上公开暴露的网络账户密码超过1亿个。

天涯社区

公开致歉已经报案

“我在天涯的账号已经被黑，无法登录。”昨天，著名编剧宁财神在微博上宣布自己的天涯账户被盗，无法使用。除了宁财神，龙猫蓓、A弄月公子、蕊小蕊、东方_chi等众多新浪微博用户都称发现自己的天涯账号于近几日被盗。

更严重的是，密码被盗后，账户被黑客用来恶意发帖或进行诈骗。新浪微博用户“成都电台陈露”表示，他的天涯账号被盗后，被人用来在天涯的“情感天地”发了很多广告，导致助理版主将他的账号直接封掉，而他无法和天涯社区的相关版主进行沟通，澄清广告并不是自己所发，也无法要回账号，十分着急。

对于天涯用户账号“被泄密”的规模，互联网漏洞报告平台“WooYun”昨天对外宣称，根据他们的监测，天涯社区有4000万用户的明文密码（即用户密码什么样，网站数据库就存成什么样）已泄露，“WooYun”漏洞报告平台还公布了天涯被泄露的部分用户密码信息截图。

昨天，天涯社区在网站首页挂出公告，称天涯已就用户数据泄露一事向公安机关报案，目前尚未确认具体的泄露数据规模及原因，但应该低于网上盛传的4000万这一数字。可以确定的是，天涯社区与CSDN用户数据库泄露事件如出一辙，这次天涯社区遭公开的用户密码，同样是以明文方式来保存的。天涯方面表示，此次被盗的数据为2009年之前的备份数据，2010年之后，公司升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了用户账号的各种安全性问题。天涯方面还通过微博、邮件、手机短信、客服中心、媒体呼吁等多种渠道向用户公开致歉，并将有针对性地提醒和帮助用户更新或找回密码，尽可能地将用户损失降至最低。

“此次用户数据被泄露虽然不是针对天涯社区一家网站，但确实给我们敲响了警钟。”天涯社区总裁邢明呼吁互联网同行、相关监管机构及政府部门直面互联网诚信及安全问题，共同携手为建立一个可信任的互联网环境努力。

新浪微博

数据加密并未被盗

除了CSDN和天涯，昨天，许多腾讯QQ、新浪微博、人人网用户也反映自己的账户和密码被公开在网上，甚至有的账号还被用来诈骗。还有网友称新浪微博用户资料疑似被泄露，并公布了疑似被盗的新浪微博数据库下载地址，该网友上传的数据库文件显示，共有超过476万个用户账户和密码被泄露。

昨天，新浪微博对此回应称，新浪微博用户账号信息采用加密存储，并未被盗。经核实，网友上传的数据绝大部分不是新浪微博账号，“极小部分新浪微博用户因使用和其他网站相同的账号密码，可能导致其微博账号不安全。新浪已对这部分用户做了保护，并提醒所有用户尽快进行账号安全设置”。

人人网昨天也澄清称，自建站以来，人人网从未以明文方式存储用户的账号和密码，没有任何用户数据通过人人网对外泄露。但由于部分用户使用同一个用户名和密码来注册其他网站，所以其人人网账户也有被盗的风险，人人网提醒所有与CSDN相同账号密码的互联网用户及时修改密码。

腾讯方面昨天发布声明称，已对泄密的QQ邮箱账号限制登录，请这部分用户登录时根据提示，在QQ安全中心使用密保工具箱来修改密码，同时建议用户定期修改密码，尽量不要在多个重要账户中使用雷同密码，避免账号被盗。

专家说法

明文密码是罪魁祸首

“都是明文密码惹的祸。”对于此次互联网泄密风波，360网络安全专家石晓虹指出，最不安全的数据保存方式就是直接存储明文，一旦数据库泄露，黑客就可直接掌握所有密码。有些网站由于用户数据安全意识欠缺，曾经明文保存过用户密码，近期被黑客公开的密码数据库大多属于此类情况。据他判断，这些数据库实际上已经泄露了一定的时间，只是在今年底被黑客密集曝光罢了。

互联网安全专家董朋鸣指出，在此次事件中，在黑客产业圈中被卖了多年的数据都被拿了出来，这至少证实了网络安全行业历年来的安全警告并非空穴来风，希望IT行业和用户的安全意识能通过这次事件有一个较大的提升。

石晓虹认为，在网络安全方面，国内立法相对还较为滞后，对黑客盗取网站数据的行为目前在法律上取证较难，犯罪成本相对较低，因此迫切需要加快信息安全立法。

黑客元老推演“网络大泄密” 这些数据早没有利用价值

万涛告诉早报记者，这些用户信息在业内已经是公开的，只是最近有好事者将其公布在网络上。他表示，上述信息已经没有任何利用价值，“不可能谁拿了这个库还能赚钱。”

中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言，此次遭泄露的信息应该只是“冰山”一角。

“有点挑战实名制的意味”

12月21日晚，国内知名IT社区CSDN发布公告称，部分用户数据遭泄露，用户名和用户密码或已公开，提醒用户修改密码。之后，国内另一知名社区天涯也发布公告称，因遭到黑客攻击，多家网站的部分用户数据库外泄，天涯也是受害者之一，恳请用户修改天涯社区账户密码。

细心用户不难发现，事发后天涯和CSDN均表示，被泄露的数据库是截至2009年用于备份的用户信息，并非最新的用户数据，不禁让人联想刷库（注：黑客术语，指黑客入侵网站服务器，盗取数据库内的资料，也被称为“拖库”）是否发生在数年前，眼下所见的都是被人榨干最后一滴水的陈年资料。

的确就是这样。

万涛表示，这些库很早就被拖库了，现在只是有人借助于网络将其公开，“这种明文密码的库，和现在的数据库不同，不可能有谁拿了这些明文密码的库再来赚钱，公开这个更像是一个娱乐的心态。”

所谓的明文密码，就是指直接将用户输入的密码，不经过任何加密，直接存储到数据库中，这种保存方式的安全性可想而知，但目前大部分网站均采用加密保存。

当初是谁刷库、赚了多少钱或许很难知道，不过现在将这些原本业内公开的“秘密”放在公众前的目的似乎比较容易猜测。

龚蔚向早报记者表示，此次大规模信息泄露事件不像是有组织的行为，“我看不出这个事情最终的受益者是谁，也看不出来有组织性。”龚蔚猜测，这更像是一个蝴蝶效应，拥有CSDN数据库的人可能对这些所谓的“秘密”感到好奇，忍不住将其上传至网络，而在看到CSDN用户数据被公开后，手中握有天涯数据库的人不得不将同样为明文密码的用户信息公布，“因为再不公布的话，那些用户就会更改密码了。”

不过，龚蔚担心这次公布的或许是手下留情，并未公布最新的数据内容。

值得注意的是，在上述网站用户信息被公开前数天，北京市刚出台了《北京市微博客发展管理若干规定》，要求微博实现实名制。万涛笑称，有点像对实名制挑战的意味。

黑客是如何偷的？

即使这些用户名和密码已经没有利用价值，即使这些密码现在成为茶余饭后的笑谈，不少人还是很好奇黑客究竟怎么去刷库的，尤其是偷取一个知名IT社区的数据库，这更像是一种赤裸裸的挑衅。

龚蔚解释称，数据库被盗完全是出在网站自身的环节上，只要整个网站中有任何一个漏洞，都能通过这个漏洞通向核心的数据库。这好比“木桶原理”，“任何一个短板都会决定你的最终水位，任何一个环节有问题都可以导致数据库被盗。”

简单而言，用户在登录网站输入密码时，通常含有密码的数据会传回数据库进行比对，这些数据早在用户第一次注册时就已存在，并且通常是以加密的方式存储。

抛开此前的明文密码不谈，目前的密码数据库均是通过哈希函数的方式进行加密，存储的数据是用户密码的哈希值。

但是哈希函数并非万无一失，两个不同的密码可能哈希值会一样，这种情况被成为“碰撞”，而这正是黑客用来窃取数据库获得信息的途径。

龚蔚称，目前的加密算法，即哈希函数都是公开的，除非自己设计一个很好的能够避免出现“碰撞”的哈希算法，否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。

为什么有些网站对于数据库泄露并不担心，因为这些网站认为自己的数据库是经过加密的，即使你拿到了数据库，如果无法通过哈希算法解开数据库，也无济于事。

如果设计出了碰撞几率低的算法，但黑客手中掌握了大量的碰撞库，这些都是常用密码所对应的哈希值，一旦有密码数据库泄露，黑客就会比对其中的哈希值与手中的碰撞库，如果匹配成功，就能找到用户的原始密码。

龚蔚表示，可以将偷取的过程形容为四个过程：第一是否能进得来；第二个是就算进得来，但能否看得见；第三是就算看得见核心数据，但能否拿得走；最后一步是就算能偷取整个数据库，但最终能否解得开。

虽然目前公开的明文密码已经没有利用价值，但通常而言，刷库只是黑客产业链中的一部分，接下来还有“洗库”，即对数据库中的资源进行层层利用。龚蔚介绍，这个产业链价值比较大的是，第一波进行虚拟币等信息的剥离，例如支付宝和QQ等，拿到用户的账号后就会进入账户尝试，如果有虚拟金钱就会转走，或将QQ号倒卖；第二次“洗”是对于个人信息的收集，有些账户可能包括个人信息内容，这些会卖给那些需要的人；第三次“洗”是关联手机号的信息，卖给转发垃圾短信的，这样一层层“洗”下去直到没有价值为止。

“刷库和洗库的分工很明确，洗库的人不会去刷卡，而且有专人负责对于各类不同账号的尝试，例如有人擅长操作QQ等。”龚蔚说道。

一旦黑客手中的用户库颇具规模后，就可以分析用户。万涛称，由于人的习惯性因素，密码不可能改来改去，总有一些关联，当有了用户资源后，可以生产字典，用于“暴力”破解。

“网站也不知漏洞何在”

让人不安的是，即使包括天涯和CSDN在内的社区都已提醒用户修改密码，但对黑客而言，用户如何修改密码并非关键，黑客的目标在于网站的数据库，无论用户密码是什么，一旦通过“碰撞”破解哈希函数，那用户再怎样修改密码也是无用功。

掌控权并非在用户手中，而且到目前为止上述网站也没有公布到底是哪个环节出了问题。

龚蔚认为，没有公布原因就意味着网站自己也不知道哪里出了问题，“好比你钱包被偷了，但是不知道是在哪里被偷的，只知道买一个新的钱包，并称更安全。”

万涛透露，数年前曾爆发过多起数据库被刷库的事件，只是由于网络传播力度不如现在，知道的人并不多，且对于一个发生过拖库的网站而言，说不定已经被人植入木马或者留下后门还不知道。

但为何这些网站还是没有吸取同行的教训？龚蔚表示，大型网站往往为了抢占用户资源而过快扩张，例如各个门户网站的微博，这些都可能会留下遗留症。万涛称，门户网站对于安全的态度取决于用户对它的价值，门户网站在安全上的确投入很多，但一般都是保证内容不被篡改。

“旧债总是要还的。”万涛说，很难让一项业务在没挣钱的情况下去付出更多的安全成本，这是目前安全文化的一个状况，不仅仅是IT行业。

此次的用户信息泄露更像是对实名制的一种挑战。万涛认为，目前整个法律体系根本不适应互联网的发展，尤其是在目前的体系下，把实名制寄托给运营商有很大问题，“过分强调实名制是有风险的，目前对它的风险估计不足。”

【明文密码】

简单来说，明文密码就是没有隐藏、显而易见的密码，与之相对的是暗码，或称密文密码，指的是系统收到你的密码后，通过某种加密算法进行编译后，对编译结果进行保存。如果你的密码为12345，则明文密码显示为12345，暗码显示为*****。如果告诉你*****而不告诉你解码规则，你就很难翻译出12345。【专家支招】

一、经常更换密码；二、网站登录密码要区别于注册邮箱密码，以免被黑客登录邮箱，暴露更多个人信息；三、重要网站采用账户安全保护；四、涉及到银行或其他金融类的用户名、密码，要区别于一般网站的用户名、密码。

新浪微博否认用户密码外泄

2011年12月27日 01:10 来源：新京报 作者：林其玲  

本报讯 （记者阳淼）CSDN、天涯社区等知名大论坛的用户密码大批外泄事件导致互联网界“草木皆兵”。昨日，据传用户密码已外泄的新浪微博、人人网、开心网等网站先后公开声明账户密码安全；支付宝、腾讯QQ等互联网服务亦公开了用户资料加密流程。

多家网站被传用户资料外泄

继本月中旬CSDN网站600万用户账户信息和密码外泄后，天涯社区上周日承认用户资料外泄，据估算约有4000万用户的邮箱、社区密码等资料外泄。前者是中国最大的计算机技术社区，后者是最大的论坛社区，二者密码泄露事件引起各界关注，众多其他网站也发生密码泄露的传言开始大规模流传。

26日凌晨，有实名认证用户在新浪微博发出下载链接，称新浪微博密码也已经泄露，该链接可下载到密码资料压缩包。本报记者下载了大小为170M左右的该文件，并请数据库技术方面的技术人员打开该文件进行比对。

记者与技术人员按照文件中所载的部分用户名与密码登录新浪微博试验，在连续试验30多个账号、密码对后，无一成功登录。此后，推特上一位用户发现，这份文件与前几天传言中另一网站外泄的用户资料包除头尾几处记录外，几乎完全相同，可能系根据后者伪造。

集体否认外泄

新浪微博昨天下午对本报正式回应称，新浪微博用户账号信息采用加密存储，并未被盗。在对流传的数据资料包进行进一步研究后，新浪微博表示“经核实，该份数据绝大部分不是新浪微博账号。极小部分用户因使用和其他网站相同账号密码，可能导致其微博账号不安全。我们已对这部分用户做了保护，并提醒所有用户尽快进行账号安全设置”。

记者使用与天涯社区相同的注册邮箱登录新浪微博时，亦收到系统首页提示称，该邮箱与一些网站外泄资料中的邮箱相同，并要求修改密码。12月22日晚，京探网亦向用户发出修改密码友情提示。

人人网、开心网昨日对本报记者表示，网站密码采用加密方式保存，从未发生过外泄情况。

支付宝、腾讯QQ否认用户资料外泄后，还向记者回复了较为详细的技术细节以证明用户资料拥有高强度的加密措施，并表示有多种技术方式保护用户的密码和资料。

■ 幕后

倒卖用户信息产业链已形成

黑客入侵相关网站，盗取用户信息，通过发垃圾广告等五种方式渔利

黑客盗取CSDN、天涯、新浪等众多知名互联网的用户信息，可不是为了耍酷。京探网CTO黄荣明昨日透露，盗取用户信息的根本目的是为了倒卖信息赚钱，目前一条倒卖用户信息的完整灰色产业链已经形成。

更多数据已被转手

京探网（bj100.com）CTO黄荣明昨日爆料称，在网上公开CSDN的用户资料，相比目前互联网上被盗的众多用户数据来说只是很少的一部分，更多的数据应已经被黑客转手卖钱。

近年来，互联网用户账号、密码信息被盗现象，在全球范围内屡有发生。今年4月，日本索尼公司约1亿名PlayStationNetwork网络账户曾遭到黑客攻击，该公司被迫关闭PlayStationNetwork近1个月时间。

“在国内类似行为已存在多年，甚至已形成‘灰色产业链’。黑客利用网站服务器的安全漏洞，侵入相关网站，盗取用户数据库等信息，然后私下进行传播、倒卖。”瑞星安全专家唐威称。

国家计算机网络应急中心此前发布的数据显示，今年上半年，遭遇过病毒或木马攻击的网民为2.17亿人，占网民的44.7%。有过账号或密码被盗经历的网民达1.21亿人。

“黑客”早已“平民化”

黄荣明称，虽然黑客盗号赚钱的灰色产业链一直存在，但关注点已经发生变化了。

“前几年，盗取游戏账号非常火。这两年电子商务相关的金钱交易更受黑客关注。因为黑客攻破用户账户信息后，就能直接窃取资金。而且黑客的手段也多种多样，有直接盗取账号，有制作假冒网页获取资金等。支付宝、网银等，都成为黑客的攻击对象。”

据悉，现在“黑客”早已“平民化”。各种偷盗工具可以用钱买到，要成为一个普通黑客的门槛已经大大降低。来自360安全中心的监控信息显示，制作木马的行当甚至已形成品牌，一些网站就以定做、出售各类盗号木马生成器为主业。

至于如何通过产业链渔利，360工程师宋申雷透露，通常有五种手段。“第一种，给其他网站做推广，给用户发垃圾广告，或发送钓鱼网址。第二，用户的邮箱可能和淘宝支付宝绑定，黑客直接盗刷。第三，用被盗用户的邮箱去刷粉丝。第四，获取用户账户里的有价值信息。第五，偷窥隐私、保密性质的东西，或者进行人肉搜索。”

本报记者 林其玲

■ 提示

专家建议避免“一码走天下”

很多用户为了图省事，使用相同的邮箱、密码注册大量社区网站，甚至有些用户还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。

某大型电商网站工程师陈皓在其博客酷壳网上公布了他对CSDN外泄密码的分析：有近45万的用户使用“123456789”和“12345678”做口令；有近40万的用户使用自己的生日做口令；约15万的用户使用自己的手机号做口令。近25万的用户使用自己的QQ号做口令；在全部600万用户中，设置成弱口令的用户占了590万。陈皓称，“一个密码泄露之后，连QQ号甚至手机号、生日这些个人资料也外泄了”。

这种“一码走天下”的方式看似省事，但只要有任何一个注册过的网站发生用户资料外泄，不法分子就可能利用其中的账号、密码资料去别的网站进行试探登录，获取用户的个人资料、隐私信息，导致用户的数字资产或实际资产损失。

陈皓给出了自己的密码管理建议，最基本的，应该拥有几组账号和密码：一个账号/密码用于一些大的可以依赖的站点，如：MSN、Gmail等，因为这些公司通常有足够的实力保护用户信息：另一个账号/密码用于一些国内的一些大的网站，如QQ，开心、新浪微博等；第三个账号/密码用于一些经济活动，如网银，淘宝，支付宝。最后一个账号/密码设置得最简单，用于登录一些不安全或临时性需要注册的网站。

（阳淼）

■ 案例

“胖胖牛”两年前开始销售数据库

昨天，记者在站长网的程序源代码交易论坛里，发现一个名为“出售460万CSDN技术论坛问答数据”的帖子。名为“胖胖牛”的版主，在帖子里称，他手里有“CSDN问答数据460万条，ACCESS格式，每个文件一个版块，共292个文件，总体大小32G左右。”

“胖胖牛”表示，购买者可联系他的QQ，“数据转移方式可以选择自行下载，也可以由我免费刻录DVD光盘并邮寄，交易方式可以中介，也可以淘宝。”值得注意的是，“胖胖牛”的发帖时间是2009年8月10日，至今已有两年多时间了。

天涯泄密案已报警 亡羊补牢漏洞仍存

2011年12月27日 18:29  来源：21世纪经济报道 作者：陈承

“我们已经第一时间向海南省公安厅、海口市公安局报了案，警方表示已经立案”，12月26日，天涯社区市场部公关经理初蒙向本报表示。

12月25日，国内著名网络论坛天涯社区被爆泄露了其4000万用户的个人数据，其中包括用户名、密码和注册邮箱等敏感内容。这是继12月21日，知名IT网络社区CSDN被指泄露600余万用户信息后，第二家被网站官方确认已泄露部分用户未加密密码的国内著名网站。

“4000万这一数值是黑客提供的下载文件中标识的，就目前核查的情况，实际数据低于这一数字。” 初蒙说。

“目前可证实此前明文保存用户密码并已部分泄露的国内网站为CSDN和天涯社区”，资深IT人士龙威廉对本报称，“人人网、多玩网等其它网站目前也有疑似用户数据库文件在网上传播，但现在尚未得到证实。”

祸起“拖库”？

“我们非常抱歉地通知您，近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一”，从12月26日开始，天涯社区在网站首页挂出致歉函，承认其部分用户个人信息已遭泄露。

“由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据”，天涯社区市场部公关经理初蒙书面回复本报时称，“2010年之后，我们升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。”

初蒙并未透露导致天涯社区部分用户个人信息泄露的具体原因，只是表示：“关于此次数据被盗事件发生的动机、手段及波及的规模，我们会积极配合公安机关、政府监管部门的调查和取证，调查进展请关注有关部门的通报或说明。”

据龙威廉分析，此番CSDN和天涯的数据库泄漏事件，极有可能祸起一种专业的黑客攻击手段——“拖库”。

“黑客通过查找网站漏洞、然后‘挂马’的方式，非法将网站的数据库导出，接着导入黑客自己的数据库或在网上公布供他人下载”，龙威廉称，“黑客并没有入侵用户本地电脑，因此此事件和用户电脑本身的安全无关，所以普通用户也无法事先知晓或防范。”

国内某知名手机维护软件研发公司的员工陈先生也对本报称，国内网站目前多数没有专业的密码管理手段，也没有针对该领域的行业标准：“国内网站都是各自设置自己网站的密码安全策略，所以才导致网站泄露明文保存用户信息和密码的情况。”

陈先生分析，据他了解，即使部分网站对用户帐户和密码进行加密保存，仍有可能被黑客以暴力破解的方式对数据进行解密。“国内网站相关人员普遍对密码学研究不透彻，缺乏针对加密算法的安全性研究。”

漏洞仍存

尽管网站所属地公安机关已立案调查，但至发稿时，相关网站泄露的用户帐户密码信息仍在网上疯传。

本报记者通过搜索引擎等方式，轻易搜索到了CSDN社区、天涯社区和人人网疑似泄露文件的P2P种子，并可通过下载软件正常获得。其中后两者以压缩包的形式，将用户名、注册邮箱和密码内容用。txt记事本文件的格式明文保存。

疑似CSDN社区的泄露文件，则以.sql数据库文件的形式明文保存。IT人士称，一般用户只要用相关软件打开该数据库文件，同样可轻易获得泄露的用户名、注册邮箱和密码信息。

“通过查询，我发现自己的帐号信息也被泄露了”，上海一位姚姓培训师向本报记者表示对此“非常震惊”，“泄露的注册邮箱、用户名和密码，也正是我在京东、新蛋等电商网站上所使用的，一旦他人通过泄露的文件提前获取了相关信息，那么我在电商网站上保存的姓名、住宅地址和联系电话等内容，可能已经被别人获得了。”

此外，今天新浪官方发布公告称，在对数据进行研究后发现，“极小部分用户因使用和其他（泄露用户信息文件）网站相同帐号密码，可能导致其微博帐号不安全”。

第三方机构艾瑞的统计数据显示，在国内所有下载软件市场中，迅雷的月度覆盖用户数超过九成。迅雷副总裁王珊娜对本报表示，此前迅雷已将上述泄露文件进行屏蔽，用户无法通过迅雷下载相关内容。

“我们在第一时间从CSDN官方得到了相关文件的链接，之后立刻在迅雷下载平台对该文件进行了屏蔽，并对迅雷网盘、迅雷快传等网络工具也进行了快速处理”，王珊娜称。

不过记者试验发现，有心人士仍可绕开迅雷使用其它流行的P2P软件正常下载泄露的用户信息文件。

实名制隐忧

“以前国内也发生过一些网站泄密情况，但直接公开这么多网站的密码，这还是第一次”，龙威廉说。他透露，此前黑客盗取网站用户数据库后，一般的做法都是隐秘地在网站上兜售相关文件以获取利益。

而此次国内数家著名网站遭到大规模泄密事件，其时机相当微妙——此前，北京市刚刚下发通知，要求微博网站开展实名制管理，十多天后，上海相关部门也宣布率先开展对新注册用户微博真实信息的要求，并从12月16日开始试行。

“这次CSDN泄露的数据库文件，通过解压缩后可以发现，其文件最后修改日期是2011年10月16日”，龙威廉称。而据了解，此前两个月，网络并未出现上述文件。

龙威廉分析，目前泄漏的信息主要是用户名、邮箱、密码，如果采用网站实名制，则用户的真实姓名、身份证号码、生日、出生地区等隐私信息将有可能泄漏，犯罪分子可以使用非法获取的身份证等信息进行诈骗等犯罪活动，冲击国内的信用体系。

网站用户数据无标准无监管

2011年12月27日 02:47    来源：广州日报 作者：段郴群 肖小蓓

用时“唐僧肉” 不用时弃之如敝履 各大网站近日频曝用户数据被盗 记者调查：

网站用户账号和密码泄露事件愈演愈烈，继CSDN之后，昨日人气网站天涯社区也被爆用户数据被泄露，另有多家网站的数据疑似被泄露。

本报记者了解到，目前互联网用户数据安全面临诸多尴尬，需要时就是“唐僧肉”，各家网站竞相争夺，增加网站流量，但另一方面，各大网站为吸引用户简化注册，并不重视数据安全，目前，对于用户数据没有统一的安全标准，也没有第三方机构的监管。

文/记者段郴群、肖小蓓

随着中国互联网近年的快速发展，争夺用户成为了每家网站迅速“长大”的重点，同时，在热钱的催化作用之下，巨大的用户量也是网站吸引风投的资本，因此众多网站纷纷简化注册过程。

对此，一家网站负责人罗定对本报记者表示，网站要发展，最大的动力就是来自用户量即流量的增加，而这也是新网站吸引投资方的主要资源。

“孤儿数据”或被出售

金山网络信息安全专家李铁军昨日表示，简单的注册确实吸引了海量用户，但恰恰也为黑客提供了方便。而同时，在采取各种办法吸引用户成功注册后，网站对用户数据却并不重视。

业内认为，目前用户数据安全问题是互联网快速发展之后面临的普遍问题，不少互联网企业不重视用户数据，因为安全对一个企业来说是要花钱但不产生收入的事情，而且即使用户数据被盗，对某些企业来说也不会有很大损失，因此企业在安全防范方面投入非常少，即使在出事之后也不重视，而是想办法遮掩。

同时，昨日还有业内人士爆料，一些小的团购网站采取各种手法收集大量用户资料，但不久网站因为各种原因倒闭，用户数据则成“孤儿数据”，可能被出售给竞争对手。

有消息称，此次被泄露的天涯用户数量达到4000万。昨日，记者登录天涯社区看到，首页的道歉称“近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一”。网易邮箱、人人网、开心网等常用邮箱和SNS网站都先后发出通知，建议用户修改密码。

同时，有网友爆料称，大量国内知名网站如人人网、uuu9、多玩、ENET硅谷动力、百合网、珍爱网、世纪佳缘、开心网、当当网等都遭到数据库被盗，涉及用户资料达5000万之上，但数据并没有得到相关网站的官方证实。

泄露事件发生后，有网友建议，要提高防范意识，定期修改密码，不要所有网站密码都一致，尽量让不同账号信息进行分级管理，尤其是重要密码一定特殊处理。

现状：网站为吸引用户简化注册

呼吁：

改变用户数据“几不管”

事件曝光后，网友除了急忙修改自己的账号、密码之外，也呼吁加强互联网安全监管。同时，不少用户认为泄露数据企业没有保护自己的合法利益，仅仅是一声道歉就完了。

广东一家律师事务所的江艳冰表示，目前互联网的相关法律法规不完善，用户想要维权是有较大难度的。

吴江：谁来为“5000万网友账号泄露”负责？

2011年12月24日 00:50   来源：武汉晚报 作者：吴江  

互联网从来没有像现在这样让人感到不安全。近日，包括CSDN在内的多家互联网公司客户注册信息库被黑客公开。已有超过5000万用户账号和密码在网上公开扩散。（12月23日《新快报》）

尽管此次泄露的用户信息，并非直接的个人信息，而仅仅是个人用户的账号和秘密，但是，通过这些账号和秘密，其实相当于获取了打开网民个人信息的钥匙。毕竟现实中一个账号密码走天下，仍然是网民中的大多数，因此，只要一把钥匙丢失，极有可能打开网民所有的私人账户。不难设想，尽管可能还尚未失窃，但钥匙丢了对于网民信息安全的威胁实在是不言而喻。

此外，不管是内鬼也好，黑客也罢，既然网民的账号、密码可以被窃取并泄露，实名制网站中所保存的更为重要的个人身份信息，恐怕也同样很难保证绝对安全。而随着互联网和电子商务被广泛应用，大量个人数据和信息都通过网络保存和传输，网民信息泄漏的风险无疑极大的增加，而相关的保护机制究竟是否到位？相关的责任有无明晰？甚至相关的法律与究责机制是否建立？恐怕也都还是一个个问号。

在这方面，国外也曾遇到过类似的问题。例如，韩国知名网站也曾发生过大规模泄露网民信息事件，不仅引发了韩国国民的热议，更使得韩国行政安全部对网络实名制进行了反思。此后，出于保护个人信息安全考虑，韩国政府决定分阶段逐步取消网络实名制，并要求个人或企业使用用户身份证信息需要事先获得政府批准。

新京报：网站用户密码泄露，警钟为谁而鸣

2011年12月27日 01:10  来源：新京报 作者：新京报社论

“泄密门”一方面暴露了网民安全意识普遍较低，另一方面更说明一些互联网公司缺乏安全运营的条件，而相关法律规范也有待完善。

据报道，继12月21日国内最大的开发者社区CSDN.NET的600万用户的账号和密码遭黑客泄露之后，天涯又传出有4000万用户的密码流出。此外，涉嫌被黑客公布用户信息的还有多家网站，涉及用户资料估计超过5000万份。

“泄密门”影响下，为了保护个人隐私和权益，大量网民不得不着手修改上网密码。

“泄密门”的爆出，终于使原来潜伏在水面之下的互联网信息安全问题成为公众关注的焦点。尽管在此之前，网站密码库的泄露在技术圈子内早已是公开的秘密，但一般民众并不知晓，而相关网站为了维护商誉与商业利益，也不会主动坦诚自己曾经遭遇黑客攻击。因此，从敲响网络安全警钟的角度讲，“泄密门”的爆出，对中国互联网的发展并非全是害处。

首先，应被“泄密门”警醒的是广大网民。在互联网时代，网络安全意识应该像日常交通安全意识一样，作为常识被确立。显然，“泄密门”暴露了我国网民安全意识普遍较低的现状。以CSDN为例，作为国内权威的技术论坛，该社区的用户在技术方面堪称专业，但流出的CSDN密码却显示，大批用户使用的竟是“12345678”“11111111”这样超简单的密码。不设置过于简单的网络密码、不在不同网站使用相同密码、不在互联网上存储过于隐私的资料……这些常识还远未成为常识。

另外，应该被警醒的还有互联网公司们。由于缺乏相关法律依据，且同为泄密事件的受害者，遭泄密的网站目前似乎还不必为“泄密门”担责，但是，这并不能说明他们在泄密事件中没有责任。比如，对用户密码进行加密存储，应该是商业网站的运营常识，然而，由于种种原因，像这次泄密的CSDN、天涯等网站，却长期使用明文密码，以至轻易遭窃。

很多网站为了吸引更多用户、实现更好的用户体验，而刻意简略注册过程，纵容用户使用简单密码，从而给黑客留下了可乘之机。对于这样的网站，今后应该通过完善《网络信息安全法》之类的立法，以追究其渎职之责。

当然，对于黑客，或者商业网站或其内部人员有恶意泄露用户信息牟利的行为，则应该被追究责任。2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，已有相关规定，也有现实案例。

当前，微博实名制、铁路网上实名售票等正在推行，“泄密门”也提示人们：由于网站用户和身份资料紧密捆绑，这也使网民信息泄露的风险大增。如何严格保密，将是网络实名制不得不面临的考验。韩国也曾主导推行过网络实名制，但最终受挫，导火索正是源于一起数千万用户个人真实信息泄露事件。

天涯4000万用户密码遭泄露

2011年12月27日 18:47  来源：长江商报 作者：翟莹

长江商报消息 本报讯（记者 翟莹）知名程序员网站CSDN用户数据库泄露问题继续“发酵”，昨日，知名人气网站天涯和新浪微博被传相继“中招”，天涯4000万用户数据泄露，新浪微博也有近400多万用户信息泄露，对此，天涯方面回复称，此次被盗数据为2009年之前的备份数据，而新浪微博则否认了泄露传闻。

“天涯”中招用户数据泄露

“密码事件延续，是一个不好的消息，但知道真相总比不知道要好，天涯社区4000万用户明文密码泄露”。昨日，一条关于天涯用户密码被泄露的微博在网上疯狂流传。记者按照图片信息登录天涯，发现部分信息真实有效。

无独有偶，知名编剧宁财神也在微博上称：“我在天涯的账号已经被黑，无法登录。”值得一提的是，与CSDN用户数据库泄露事件如出一辙，这次天涯社区遭公开的用户数据，同样是以明文方式来保存的。

此外，关于“新浪微博476万账户密码被公开”的消息也在网上流传。对此，新浪微博相关负责人回复本报记者称，“新浪微博用户账号信息采用加密存储，并未被盗。”不过新浪微博同时发出警告，“提醒所有用户尽快进行账号安全设置。”

而天涯则表示，此次被盗的是2009年之前的备份数据，2010年之后升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了用户账号的各种安全性问题。至于泄密用户规模，天涯并未给出具体数据。

个体维权成功几乎不可能

事实上，自CSDN的用户数据库遭公开以来，已陆续传出多个网络社区或SNS网站用户数据库被黑客盗取。

对此，金山毒霸反病毒工程师李铁军表示，明文方式存储非常不安全，如果黑客能够进入网站数据库，即使其采用匿文存储，黑客将其解密的概率仍能达到90%。此外，用户想找到黑客身份几乎是不可能的事。

逾5000万网民信息泄露

2011年12月27日 18:51  来源：海峡都市报

赶紧上网修改密码，成为前天许多人上网后集中做的一件事情。

前天，360安全卫士官方微博发布红色安全警报称，CSDN（中国软件开发联盟）、嘟嘟牛、178游戏网等多家网站近期被黑客公开用户数据库，目前已有超过5000万用户账号和密码在网上公开扩散。截至目前，除CSDN发表声明承认用户数据库信息泄露外，其他网站还未正面回应。CSDN已发表声明公开道歉，要求相关用户立即修改密码，还表示已向公安机关正式报案。

360网络安全专家石晓虹博士表示，一些网站安全系数低，被黑客入侵服务器，盗取了包含网友用户名、密码的数据库。目前除CSDN外，已通过技术验证确认有其他网站用户数据库信息被泄露。有传言称，人人网、天涯、开心网、百合网、多玩网等国内多家知名网站大量用户资料外泄。

石晓虹提醒，由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码，如果一家网站服务器被黑客攻破，用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号一并失窃。

金山毒霸也发布红色预警称，此事件和用户电脑本身的安全无关，黑客并没有入侵用户本地的电脑，只是盗窃了用户在某些网站注册时提交的个人信息。请所有密码设置简单的用户以及所有网站使用同一用户名和密码的用户尽快修改。