多家网站被传用户资料外泄 倒卖信息产业链已形成
CSDN、天涯社区等知名大论坛的用户密码大批外泄事件导致互联网界“草木皆兵”。昨日,据传用户密码已外泄的新浪微博、人人网、开心网等网站先后公开声明账户密码安全;支付宝、腾讯QQ等互联网服务亦公开了用户资料加密流程。
多家网站被传用户资料外泄
继本月中旬CSDN网站600万用户账户信息和密码外泄后,天涯社区上周日承认用户资料外泄,据估算约有4000万用户的邮箱、社区密码等资料外泄。前者是中国最大的计算机技术社区,后者是最大的论坛社区,二者密码泄露事件引起各界关注,众多其他网站也发生密码泄露的传言开始大规模流传。
26日凌晨,有实名认证用户在新浪微博发出下载链接,称新浪微博密码也已经泄露,该链接可下载到密码资料压缩包。本报记者下载了大小为170M左右的该文件,并请数据库技术方面的技术人员打开该文件进行比对。
记者与技术人员按照文件中所载的部分用户名与密码登录新浪微博试验,在连续试验30多个账号、密码对后,无一成功登录。此后,推特上一位用户发现,这份文件与前几天传言中另一网站外泄的用户资料包除头尾几处记录外,几乎完全相同,可能系根据后者伪造。
集体否认外泄
新浪微博昨天下午对本报正式回应称,新浪微博用户账号信息采用加密存储,并未被盗。在对流传的数据资料包进行进一步研究后,新浪微博表示“经核实,该份数据绝大部分不是新浪微博账号。极小部分用户因使用和其他网站相同账号密码,可能导致其微博账号不安全。我们已对这部分用户做了保护,并提醒所有用户尽快进行账号安全设置”。
记者使用与天涯社区相同的注册邮箱登录新浪微博时,亦收到系统首页提示称,该邮箱与一些网站外泄资料中的邮箱相同,并要求修改密码。12月22日晚,京探网亦向用户发出修改密码友情提示。
人人网、开心网昨日对本报记者表示,网站密码采用加密方式保存,从未发生过外泄情况。
支付宝、腾讯QQ否认用户资料外泄后,还向记者回复了较为详细的技术细节以证明用户资料拥有高强度的加密措施,并表示有多种技术方式保护用户的密码和资料。
- 幕后
倒卖用户信息产业链已形成
黑客入侵相关网站,盗取用户信息,通过发垃圾广告等五种方式渔利
黑客盗取CSDN、天涯、新浪等众多知名互联网的用户信息,可不是为了耍酷。京探网CTO黄荣明昨日透露,盗取用户信息的根本目的是为了倒卖信息赚钱,目前一条倒卖用户信息的完整灰色产业链已经形成。
更多数据已被转手
京探网(bj100.com)CTO黄荣明昨日爆料称,在网上公开CSDN的用户资料,相比目前互联网上被盗的众多用户数据来说只是很少的一部分,更多的数据应已经被黑客转手卖钱。
近年来,互联网用户账号、密码信息被盗现象,在全球范围内屡有发生。今年4月,日本索尼公司约1亿名PlayStationNetwork网络账户曾遭到黑客攻击,该公司被迫关闭PlayStationNetwork近1个月时间。
“在国内类似行为已存在多年,甚至已形成‘灰色产业链’。黑客利用网站服务器的安全漏洞,侵入相关网站,盗取用户数据库等信息,然后私下进行传播、倒卖。”瑞星安全专家唐威称。
国家计算机网络应急中心此前发布的数据显示,今年上半年,遭遇过病毒或木马攻击的网民为2.17亿人,占网民的44.7%。有过账号或密码被盗经历的网民达1.21亿人。
“黑客”早已“平民化”
黄荣明称,虽然黑客盗号赚钱的灰色产业链一直存在,但关注点已经发生变化了。
“前几年,盗取游戏账号非常火。这两年电子商务相关的金钱交易更受黑客关注。因为黑客攻破用户账户信息后,就能直接窃取资金。而且黑客的手段也多种多样,有直接盗取账号,有制作假冒网页获取资金等。支付宝、网银等,都成为黑客的攻击对象。”
据悉,现在“黑客”早已“平民化”。各种偷盗工具可以用钱买到,要成为一个普通黑客的门槛已经大大降低。来自360安全中心的监控信息显示,制作木马的行当甚至已形成品牌,一些网站就以定做、出售各类盗号木马生成器为主业。
至于如何通过产业链渔利,360工程师宋申雷透露,通常有五种手段。“第一种,给其他网站做推广,给用户发垃圾广告,或发送钓鱼网址。第二,用户的邮箱可能和淘宝支付宝绑定,黑客直接盗刷。第三,用被盗用户的邮箱去刷粉丝。第四,获取用户账户里的有价值信息。第五,偷窥隐私、保密性质的东西,或者进行人肉搜索。” 本报记者 林其玲
- 提示
专家建议避免“一码走天下”
很多用户为了图省事,使用相同的邮箱、密码注册大量社区网站,甚至有些用户还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。
某大型电商网站工程师陈皓在其博客酷壳网上公布了他对CSDN外泄密码的分析:有近45万的用户使用“123456789”和“12345678”做口令;有近40万的用户使用自己的生日做口令;约15万的用户使用自己的手机号做口令。近25万的用户使用自己的QQ号做口令;在全部600万用户中,设置成弱口令的用户占了590万。陈皓称,“一个密码泄露之后,连QQ号甚至手机号、生日这些个人资料也外泄了”。
这种“一码走天下”的方式看似省事,但只要有任何一个注册过的网站发生用户资料外泄,不法分子就可能利用其中的账号、密码资料去别的网站进行试探登录,获取用户的个人资料、隐私信息,导致用户的数字资产或实际资产损失。
陈皓给出了自己的密码管理建议,最基本的,应该拥有几组账号和密码:一个账号/密码用于一些大的可以依赖的站点,如:MSN、Gmail等,因为这些公司通常有足够的实力保护用户信息:另一个账号/密码用于一些国内的一些大的网站,如QQ,开心、新浪微博等;第三个账号/密码用于一些经济活动,如网银,淘宝,支付宝。最后一个账号/密码设置得最简单,用于登录一些不安全或临时性需要注册的网站。
- 案例
“胖胖牛”两年前开始销售数据库
昨天,记者在站长网的程序源代码交易论坛里,发现一个名为“出售460万CSDN技术论坛问答数据”的帖子。名为“胖胖牛”的版主,在帖子里称,他手里有“CSDN问答数据460万条,ACCESS格式,每个文件一个版块,共292个文件,总体大小32G左右。”
“胖胖牛”表示,购买者可联系他的QQ,“数据转移方式可以选择自行下载,也可以由我免费刻录DVD光盘并邮寄,交易方式可以中介,也可以淘宝。”值得注意的是,“胖胖牛”的发帖时间是2009年8月10日,至今已有两年多时间了。
奇虎360公司工程师宋申雷称,虽然大规模的网站用户信息泄露事件在圣诞节前后才爆发,但各大网站的数据库信息很早之前就被黑客掌握,并且应该有很长一段时间了。“在这段时间里,黑客们应该通过灰色产业链,赚了不少钱。”