“这两天改密码改到手软。”在北京CBD工作的白领李浩表示,通过查询,发现自己的天涯账号已被泄露,而他的开心网、人人网、微博等几乎所有账号都使用相同ID、密码,不得不一一更改。
中国互联网正在遭遇史上最大规模的用户信息泄露事件——12月21日至26日短短几天时间,多家大型网站的用户数据库被泄露,几千万用户账号和密码被公开。
而业内人士认为,最近公开的仅仅是部分在黑客交易市场中流传很久的老旧数据库,不同黑客组织实际掌握的用户数据库规模应该远大于1亿条,而目前中国黑客的黑色产业链规模价值或达上百亿元。
天涯、CSDN用户
信息泄露
“我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一”,从12月26日开始,天涯社区在网站首页挂出致歉函,承认其部分用户个人信息已遭泄露,但并未透露泄露的原因。
“我们已经第一时间向海南省公安厅、海口市公安局报了案,警方表示已经立案。”天涯社区市场部公关经理初蒙做出反应。但记者发现,尽管网站所属地公安机关已立案调查,但目前相关网站泄露的用户账户密码信息仍在网上疯传。
通过搜索引擎等方式,仍可轻易搜索到CSDN(专业开发类技术社区)、天涯社区和人人网疑似泄露文件的P2P种子,并可通过下载软件正常获得。IT人士称,一般用户只要用相关软件打开该数据库文件,同样可轻易获得泄露的用户名、注册邮箱和密码信息。
“通过查询,我发现自己的账号信息也被泄露了”,上海一位姚姓培训师表示对此“非常震惊”,“泄露的注册邮箱、用户名和密码,也正是我在京东、新蛋等电商网站上所使用的,一旦他人通过泄露的文件提前获取了相关信息,那么我在电商网站上保存的姓名、住宅地址和联系电话等内容,可能已经被别人获得了。”
此外,新浪官方也在事发后发布公告称,在对数据进行研究后发现,“极小部分用户因使用和其他(泄露用户信息文件)网站相同账号密码,可能导致其微博账号不安全”。
第三方机构艾瑞的统计数据显示,在国内所有下载软件市场中,迅雷的月度覆盖用户数超过九成。迅雷副总裁王珊娜表示,此前迅雷已将上述泄露文件进行屏蔽,用户无法通过迅雷下载相关内容。
“我们在第一时间从CSDN官方得到了相关文件的链接,之后立刻在迅雷下载平台对该文件进行了屏蔽,并对迅雷网盘、迅雷快传等网络工具也进行了快速处理。”王珊娜称。
不过调查发现,有心人士仍可绕开迅雷使用其它流行的P2P软件正常下载泄露的用户信息文件。
“目前可证实此前明文保存用户密码并已部分泄露的国内网站为CSDN和天涯社区”,资深IT人士龙威廉对本报称,“人人网、多玩网等其它网站目前也有疑似用户数据库文件在网上传播,但现在尚未得到证实。”
据龙威廉分析,此番CSDN和天涯的数据库泄漏事件,极有可能祸起一种专业的黑客攻击手段——“拖库”。
“黑客通过查找网站漏洞、然后‘挂马’的方式,非法将网站的数据库导出,接着导入黑客自己的数据库或在网上公布供他人下载”,龙威廉称,“黑客并没有入侵用户本地电脑,因此此事件和用户电脑本身的安全无关,所以普通用户也无法事先知晓或防范。”
“明文密码”
被指是罪魁祸首
关于此次泄露原因,也是众说纷纭,而当前网站注册普遍采用的“明文密码”被看做是“罪魁祸首”。
国内某知名手机维护软件研发公司的员工陈先生称,国内网站目前多数没有专业的密码管理手段,也没有针对该领域的行业标准:“国内网站都是各自设置自己网站的密码安全策略,所以才导致网站泄露明文保存用户信息和密码的情况。”
“而最不安全的保存方式是直接存储明文,用户密码什么样,网站数据库就存成什么样。这种情况一旦数据库泄露,黑客就可直接掌握所有密码。”360安全工程师石晓虹博士分析。
“对黑客而言,明文密码的盗取简直就是探囊取物,不是他们想不想要,而是要不要的问题。”一位受害企业员工对记者说。
CSDN在道歉信中透露,CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。但是直至2010年8月底CSDN才清理掉所有明文密码。采用明文密码是一个相对低端的模式,很容易就被黑客破解。
而天涯社区表示,由于历史原因,天涯社区早期使用过明文密码,此次被盗的是2009年之前的备份数据,2010年之后升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了用户账号的安全性问题。
而那些未使用过明文密码的网站如人人网、新浪微博等也很难独善其身。因为很多用户习惯用同一个用户名和密码来注册多个网站,一旦有一个账号密码泄露,就很可能波及其他重要账号的安全,例如网上支付、邮箱、聊天账号等。因此,近日也有网上爆出人人网、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户数据资料也被公开。目前,不少网站都向用户发出修改密码的提示。
“从积极的角度考虑,此次事件对于公众提升安全意识起到了积极的促进作用,让网民知道即便电脑不中毒,账号同样可能被盗。”石晓虹表示,无论未来黑客是否会继续公开更多网站的数据库,只要网民注意重要账号单独设置密码、定期修改密码,就能够将黑客窃取网站数据库的安全威胁降到最低。
黑客产业链
浮出水面
随着泄密事件愈演愈烈,隐藏背后的黑客产业链也浮出水面。
天涯社区公关经理初蒙表示,天涯被盗取的用户账号规模低于网络传言的4000万。不过,业内人士预计,泄露网站数据库的行为可能会引发连锁效应,更多网站的数据会被黑客放出。
此前,中国互联网络信息中心发布的《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。
据360分析评估,上述被盗号的1.21亿网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据,危害远远超过盗号木马。
在今年9月的一场信息安全论坛上,Chown Group(信息安全专业委员会)发起者之一李麒曾表示,目前中国黑客的黑色产业链规模价值上百亿元。他举例称,某活跃于黑色产业链的知名黑客,一年能够赚五千多万;一些大网站的数据库是明码标价,一个库端下来,价值六百多万;黑色产业链的人开始向一些网站收保护费,标准是一个月两万。
李麒称,目前黑色产业链已经有了严格的代理制度,金牌总代、区域总代、一级总代、二级总代,制造木马,大木马里再装小木马,针对不同的游戏都能做,此外,从制造木马到买卖、销售、分销、洗信(盗号)已经有了一条龙服务。
一般而言,单纯倒卖用户数据库并不赚钱,有些数据库经过多次交易后,几百个账号的价格只有几分钱,因此不少黑客盗取用户数据库之后通过发布诈骗信息、转卖给黑公关或竞争对手等多种途径完成利益最大化的变现。
例如,不少黑客利用密码库尝试窃取QQ、MSN等聊天软件账号和微博、人人、邮箱等账号,向好友发送借钱诈骗消息,发布广告信息或钓鱼诈骗链接。
一些花销颇多的网游用户也是黑客攻击的重点对象。一些游戏厂商的用户数据库被黑客窃取后,可能被黑客转卖给其竞争对手,成为竞争厂商争夺用户资源的“营销对象”。金山网络安全专家李铁军透露,这些数据在刚被盗取出来时售价非常昂贵,某些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价。
更严重的情况还有,当黑客利用密码库在网上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和网上支付密码相同,支付账户中的余额就可能被黑客全部盗取。
国内知名黑客绿色兵团创始人Goodwell近日也指出,如果能控制100万的用户电脑终端,不管是恶意插件还是木马或是小软件,只要黑客能“挟持”用户的一些操作,哪怕是打开IE跳到一个默认的导航页面,也能为其带来每年2000万的广告及流量收入。