2011年12月21日,北京望京地区某酒店内正在召开的“CSDN微峰会”,因为CSDN总裁蒋涛的突然退席而中断。
刚致完开场白,蒋涛的手机铃声猛然响起来,接完这个告急德律风后,蒋涛神情凝重地“逃离”了现场,耳边还回荡着德律风中员工的那句话:“蒋总,网站600多万注册用户信息被黑客曝光!”
与现实场景相对的虚拟网络世界里,CSDN网站中逾越600万个注册邮箱账号和对应的明文密码数据库已经被曝光。这还不是最严重的,成为众矢之的的CSDN泄露的600万密码只是牛之一毛,与其一道被“爆库”的还包含网易、人人、天涯、猫扑、多玩等多家年夜众网站及部分机构网站。
自此,中国互联网有史以来波及面最广、范围最年夜、危害最深的泄密事件全面爆发。
风篇:泄密旋风
蒋涛没有想到,2011年这个圣诞节成了中国黑客的狂欢日,随之而来的,是一场互联网界的恶梦。
12月21日,360平安卫士在微博上披露,有黑客在网上公开CSDN网站用户数据库,包含600余万个明文注册邮箱账号和密码,请广年夜法度员(软件工程师)务必重视并尽快修改密码。CSDN创建于1999年12月,会员囊括了国内90%以上的优秀法度员。
事实上,在360披露之前,CSDN数据的泄露就已经不是秘密。新浪某平安主管早在11月10日就透露,用户名密码泄露了的网站不只CSDN一家。
据一位知情平安人士对 《每日经济新闻》记者透露,新浪还曾针对此事内部讨论过应对办法,包含如何增强用户现有密码的庇护等。
12月4日,专业平安网站 “乌云”(wooyun)上,就有ID为“臭小子”的用户发布了一份 “中国各年夜站点数据库曝光”的缝隙概要,其中就包含CSDN相关数据库。
乌云在微博上称,“还感觉这些所谓的上市公司上市企业真的庇护好了你提交的数据么?中国各年夜站点数据库曝光”。遗憾的是,除少数平安圈人士,这则微博并没有引起太多用户的存眷。
有平安人士发现自己也“中招”了。在其注册使用的4个CSDN账号中,有两个账号名在盛年夜也注册使用,且密码同CSDN账号一致。通过对盛年夜通行证登录数据发现,4个账号都曾被测验测验登录,其中有两个登录成功。
作为国内IT手艺社区CSDN的一把手,蒋涛清楚地认识到事态的严重性。他随即颁发报歉声明,称外泄的CSDN账号数据根基上是2010年9月以前的数据,泄露原因正在查询拜访之中。蒋涛也在第一时间同新浪、网易、腾讯等主要互联网公司取得联系,希望对方可以在第一时间内奉告用户更改密码。
12月22日,CSDN邀请了杭州安恒信息手艺有限公司进行平安审计。资料显示,安恒信息曾被奥组委授予“奥运信息平安保障精采供献奖”。据一名那时参与审计的相关负责人士透露,平安审计组曾针对CSDN从外围进行了黑客模拟渗透机制,测试成果使人担忧,在不需要任何用户名、口令等的情况下,就可以很容易地进入CSDN后台,并获得相关数据。“目前CSDN已经将相关手艺缝隙修补完成。”该负责人士称。
这次真正毒手的问题是,以往一向在黑客圈传播的内部数据被广年夜用户通过数据包下载而取得。
“如果普通用户拿到这些信息,找一些认识人的密码,这是一件很可骇的事情。”蒋涛暗示。
事实证明,蒋涛的担忧并不是没有事理。公开的数据包下载,也让功德者通过邮箱验证,成功进入他人的邮箱。
12月28日,一名ID为“极品良粽”的用户在天涯论坛上曝料截图,其通过公开的数据包成功登录了演员董洁的邮箱及深圳卫视某员工的邮箱,还意外获知深圳卫视跨年演唱会的流程表中有关郎朗和韩庚的保险单。
云篇:乌云是谁
如果不是这起范围巨年夜的泄密事件,也许广年夜网民还不会如此迅速地知道这个叫做“乌云”的缝隙述说平台。
从2011年12月4日最初的缝隙述说起头,原本名不见经传的乌云网,因近期一系列网站泄密事件而声名鹊起。该网站先后曝出CSDN、天涯、铛铛、京东商城等网站存在平安缝隙。
这是一个最初由几名从事平安行业的自愿者倡议搭建的位于厂商和平安研究者之间的平安问题反馈平台,目前为非盈利。截至目前,共有500多位研究人员为120多个企业提交了接近4000个平安问题。
据乌云相关负责人WooYun介绍,乌云平台最初招募了一些 “白帽子”(WhiteHat,即正面、正当的黑客,现实生活中的身份是平安专业人士——编者注),主要的平安研究人员包含互联网公司平安工程师、平安公司平安研究员以及平安手艺欢愉喜爱者,他们将发现的厂商缝隙问题提交乌云平台,由乌云平台奉告厂商,乌云平台会事先设定一个月时间让厂商确认该缝隙以及修复问题,若一个月后厂商依然没有解决问题,乌云平台则将缝隙信息对外发布。