谁泄露了我的密码
00:00　　来源： 　作者：　　共有评论条
&&&&日，CSDN网站用户数据库信息被公开置于网络之中，包括600余万个明文的注册邮箱账号和密码。一天之后，人人网、天涯、开心网、多玩、世纪佳缘、珍爱网等网站的用户数据资料相继&沦陷&，资料信息被放到网上公开下载。此次事件是中国互联网史上规模最大的泄密事件。一场互联网恐慌如蝴蝶效应一般迅速波及开来。事件的真相究竟是什么？请看本刊综合报道。
&&&&日，一条信息从程序员宋强的电脑屏幕弹出：&今日有黑客在网上公开了CSDN网站用户数据库信息，包括600余万个明文的注册邮箱账号和密码。&
&&&&宋强心头一紧，在搜索之后找到了压缩包下载，解压缩后，他找到了自己的注册名与相对应的密码，&一看就懵了，用户名密码全对。&宋强赶快把信息告诉同事，&几个同事一查发现，用户名和密码也对上了，信息都被泄露了。&
&&&&此后几天，宋强发现，密码泄露像多米诺骨牌一样蔓延，人人网、多玩、天涯、猫扑、世纪佳缘等知名网站的数据也相继遭泄露。宋强将自己的MSN签名也改成了&今天，你的密码泄露了吗？&
&&&&CSDN网站创始人兼CEO蒋涛通过微博表示，泄密后第一时间他们就联系下载源禁止下载，公开道歉以及重置密码通知相关用户。同时联系邮件服务商发送邮件通知,并向公安机关报警协助调查。也联系安全公司对CSDN全站系统进行审计，查补漏洞。&关于密码泄密，我们第一时间公开道歉并通知用户。现在事情还在调查中，不便透露更多的内容。&蒋涛说，事实清楚之后，一定公开所有信息。
&&&&之后宋强了解到，是一名金山公司的员工把数据放到迅雷上供人下载。&有人说黑客攻击了CSDN网站，然后把数据公布到网络上。我越想越可怕，金山作为一家安全公司，在得知某些网站数据泄露后，对泄密资料进行传播，究竟是何目的？&
&&&&金山公司
&&&&密码信息泄露事发后，金山公司中一个ID为&hzqedison&的员工被质疑为信息发布的始作俑者。
&&&&12月22日，有网友接力传播QQ截图，图像显示，有QQ用户曾于21日下午2时许，在QQ群内发布CSDN数据包的迅雷快传链接。一石激起千层浪，泄露事件的源头也在渐渐清晰。12月22日晚，hzqedison在新浪微博承认，其本人是该文件的上传者，并表示道歉。
&&&&随后，金山公司迅速发表声明，表示金山员工并非在网络上备受指责的黑客：今日有传言称金山员工hzqedison为CSDN密码库黑客，经调查，hzqedison并非所谓黑客，事实上金山在事件爆发后迅速向网民发出预警。期间hzqedison将部分网上流传密码库分发给同事自查不慎被外人所获知，已迅速删除，仅被个别同事下载。在12月4日，漏洞网站
乌云已出现密码库。金山回应称，该员工并非最早对外发布密码库的第一人，传言不实。
&&&&hzqedison在微博中讲述了事情经过：&昨天（12月21日）我在一个聊天群里看到CSDN的数据库的迅雷下载地址，离线下载了该文件来检查自己账号是否被泄露，为了让同事们也检查，才做了分享贴到同事群里。5分钟后，该地址截图被发到了乌云漏洞平台上，得知后我立即将迅雷分享地址删除。因为删除很及时，该地址只有几名同事下载过，且从未将数据库文件外泄。&
&&&&互联网专家、闪聚CEO刘兴亮认为，从目前金山公布的信息，不能将这名员工认定为黑客，因为此前这些信息早已出现在网络之中。记者致电金山公司，问及密码信息泄露一事，一名工作人员的第一反应就是，&这事不是我们干的，背后有竞争对手在捣鬼。&
&&&&同时，金山员工hzqedison也通过微博表示：&做错事要承认错误，但网上称我最早在迅雷泄露了用户数据，这不是事实，是污蔑，因为我下载前就已有分享地址；还有人称我是黑客，其实包括我以及几位同事的账户名和密码均被曝光（邮箱后缀为），黑客是绝不会曝光自己的。更有人抹黑金山公司，这些纯粹是别有用心，是某公司背后在推动。&
&&&&&竞争对手&、&某公司&、&别有用心&等字眼出现在网络后，许多网友迅速将另一家网络安全公司360公司列为重点怀疑对象。
&&&&360公司
&&&&日，当360公司通过微博发布CSDN网站用户密码信息泄露后，360企业传播部就接到了媒体打来的电话。&电话问我们是不是因为CS－DN没有与我们合作，所以我们才发布了这样的信息提醒。网站密码泄露是安全事故，关系到公众利益。360发现情况后，第一时间联系受害网站通报信息，同时通过官方微博、官网安全播报向广大网民进行安全预警，提供保护密码安全的方法。&360公司品牌传播顾问尹小山说。
&&&&他从网上得知，这次安全事故缘起于金山毒霸的一名员工上传用户数据库进行分享所致。&说金山的这名员工是黑客，我们认为是无稽之谈。作为安全厂商的一名员工，他绝对不会去攻击网站数据库的。但是，上传分享用户数据库，却是一种缺乏责任心的体现。&
&&&&然而，网上质疑360公司借此炒作之声不断出现，也把阴谋、利益等字眼联系到360身上。
&&&&&360的很多员工也是这次安全事故的受害者，他们不得不紧急修改自己的密码。这次安全事故的危害很大，用户资料的安全远比竞争对手重要得多。金山如果认为是竞争对手操纵该公司的员工上传分享用户数据库，那真是太荒唐可笑了。&尹小山说，面对安全事故，对安全厂商来说，最重要的是提供各种解决方案，减少用户的损失，而不是指责竞争对手。安全事故发生后，360公司告诫安全技术人员，一定要以&金山泄密门&为鉴。
&&&&从事计算机行业的高萌看到自己的用户名和密码被公布之后，第一反应就是&心慌&。具有计算机博士学位的高萌知道，类似的信息被公布之后，将带来一连串的连锁反应。&很多人的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码，如果一个信息被公布，其他的常用邮箱和密码也可能面临被泄露的风险，导致很多重要账号一并失窃。&高萌将重要的账号都重置了密码。
&&&&研究网络信息安全的其事安全团队负责人刘雨介绍，口令泄露事件表明我国用户信息安全没得到有效保护，一方面国内互联网企业对系统信息安全、数据安全没有强效的保护措施和管控制度，导致用户数据存在被违规导出、拷贝和传输的可能性；另一方面，我国目前对保护用户信息安全方面的立法建设也相对滞后，用户个人信息明码标价地在数据黑市被倒买倒卖。&相信很多人的手机都收到过推销短信，而且推销短信越来越有针对性，这都是用户信息泄露的典型表现。&
&&&&刘雨认为，无论是否被泄密，网民都应将常用邮箱、网上支付、聊天软件、微博等重要账号单独设置密码，并保持定期更换密码的习惯。&网上很多站点诸如其事口令库、安全宝等可以查询口令是否泄露过。&
&&&&&密码信息泄露事件，对于用户的心理恐慌远远大于实际影响。&刘兴亮认为，我国网络安全问题已非常突出。
&&&&三大银行否认密码泄露
&&&&日，有爆料称交通银行7000万客户、民生银行3500万用户以及工行用户资料外泄，泄露数据包括用户的姓名、卡号、密码等敏感信息，并发布信息截图。对此，三家银行均发布声明否认有用户资料外泄。业内专家则指出，银行卡交易系统不可能存在明文密码，但银行信息安全依然值得关注。
&&&&据中国工商银行相关部门负责人表示，泄密传言不符合实际，银行的客户信息和密码是安全的。这位负责人表示，工商银行在系统中对于客户密码的存储与传输均采用加密方式，在与第三方公司的电子商务合作中，涉及的密码信息均要求在该行系统页面上进行操作。此外，工行相关部门负责人则回应称，网络传言
中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡，且相关文本中包含了订单号等内容，可以判断信息不是来自银行数据库。
&&&&根据公开资料，所谓&硬加密&，就是不光靠密码解密，还必须有一个外在于密码系统的物理密钥，比如发送到手机的动态口令或者U盘密钥，其安全性通常高于单靠密码的&软加密&方式。
&&&&曾参与开发银行卡相关系统的徐湘涛在接受记者采访时表示，通常银行卡的密码是不可逆加密的，系统里根本就不可能存在明文密码，也不存在所谓给安全部门留明文密码的后门。但国内银行的安全问题依然值得关注，银行在很多环节采用普通电话、邮件文本附件传送交易指令和数据，这很容易在某一环节就被截取信息。
&&&&在各银行作出相关回应之后，12月29日晚21点22分，不实消息的传播者发表声明，由于未经核实发布信息，给各银行带来不良影响，表示歉意。中国政法大学教授洪道德表示，不实消息的传播者可能因此面临法律制裁。
&&&&第三方支付平台泄密？
&&&&有业内人士猜测，如果截图和文件是真实的，最大可能性是第三方支付平台的数据库被盗取，密码则是第三方支付平台的支付密码。
&&&&一家第三方支付公司相关负责人则表示，截图来自第三方支付平台数据的可能性不大。&首先，支付机构并未与商业银行共享包括卡密码等在内的客户信息;其次，从截图看，露出密码部分均为数字，而大多数支付密码为拼音、数字、符号等不同种类组成。&该支付机构人士认为：&这更可能是一份钓鱼网站多方获得信息的汇总。&
&&&&事实上，近期第三方支付平台支付宝也深受用户资料泄密困扰。此前有消息称，支付宝用户信息大量外泄，被用于网络营销，泄露的支付宝用户信息总量达1500万~2500万之多，但泄露信息只限支付宝用户的账号，没有密码。支付宝官方则回应称：&我们承诺没有任何人能从支付宝获得用户的密码等私密信息。&
&&&&徐湘涛提醒，营销公司、诈骗团伙对用户信息，包括SNS关系很感兴趣，&最好是各站用户名邮箱密码均不同，至少支付等重要密码和普通的网站要不同。&
&&&&12月28日晚间，工业和信息化部就近期部分互联网站信息泄露事件发布通告，对窃取和泄露用户信息的行为表示强烈谴责。
&&&&网络泄密或与实名制有关
&&&&据报道，黑客在&《北京市微博客发展管理若干规定》刚刚出台，要求微博实名制的时点上，选择从专业性极强的CSDN下手，其中似乎存在微妙关系。有业内人士分析，此次事件或是黑客因不满网络实名制而发起的挑战。
&&&&对于手中握有各类&网络存折&的网友而言，&密码危机&实难让人安眠。事实上，早在2007年韩国首推网络实名制时就出现过类似泄密事件，约3500万用户的实名信息外泄。有分析认为，网络实名制之于打击网络犯罪、净化网络环境有益，但需要以强大的隐私保护为后盾，否则只能衍生更多的网络问题。在当前中国个人信息保护立法进程基本处于停摆状态，社会道德风险日益加大的情境下，一旦实名制引来网络泄密，或将冲击国内信用体系，带来信任危机。
&&&&此次事件对中国互联网发展而言，绝非毫无益处，当长存于人们视野之外的信息安全问题引发关注，也在提醒人们微博实名制、铁路售票实名制的推行可能带来安全风险。&如何严格保密，将是网络实名制不得不面临的考验。&
&&&&&泄密&并非近期才发生
&&&&互联网人士指出，网站&泄密&情况一直都有，只是近期被密集曝光。问题主要出在国内很多网站包括政务网站系统架构水平低、安全意识差。用户对此完全不可控，只能靠网站不断维护。
&&&&资深程序员徐湘涛表示，首先，明文保存密码是多个商业网站用户信息被泄露的关键。另外目前国内不少网站包括政务网站，系统架构水平较低，网站开发和管理人员的安全意识比较差。&网站需要做好数据隔离，最基本的比如用多层防火墙隔离存储用户数据的服务器，限定只能在内网访问该服务器，外网不能访问。&
&&&&按照我国有关规定，银行网站必须进行&&代码审计&，在网站开发人员之外另聘第三方的专业人员审查网页代码是否存在漏洞，但对电子商务网站尚未有此要求。美国则要求在其资本市场上市的互联网公司进行&代码审计&。
&&&&后续报道：
&&&&记者1月10日从国家互联网信息办获悉，近期一些媒体报道或在网上流传的数家网站用户信息被泄露的事件，引起互联网管理部门的高度重视。目前，相关事实已由公安机关查明，违法人员已经或将要被依法严肃查处。
&&&&截至发稿，公安机关此次已查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄露案件3起，刑事拘留4人，予以治安处罚8人。□
数据统计中，请稍等！
您可能对这些感兴趣
往期期刊：
--请选择--
地址：山东青岛太平路33号电话：6 编采：2 广告：6 发行：5电子邮箱： 邮编：266001Copyright @. 读报参考 All Rights Reserved&&点击排行榜
热门游戏专题
游戏类型:射击上市时间:游戏语言:英文游戏类型:动作射击上市时间:游戏语言:英文游戏类型:策略模拟上市时间:游戏语言:英文
| CopyRight &
ALi213.Net All Right Reserved 游侠网 版权所有广告合作联系：天涯泄露4000万用户的密码，我终于中枪了
分类: &&& 标签: , , , ,
泄密，劳资中枪 之前泄露的csdn和人人网用户数据库里都没有我的帐号邮箱，让我很惴惴不安，这密码到底是丢了没丢呢？现在泄露了4000万对用户名密码，我终于结结实实地中枪了。 天涯数据.kz 下下来，是个奇怪的压缩文件，需要用国产软件快压来解压，可我一点也不想安装这个“免费、方便、快速的压缩和解压缩利器，拥有一流的压缩技术，是国内第一款具备自主压缩格式的软件”。 快压此前一直是非常小众的压缩软件，现在攻击者偏巧使用了这么冷门的自主压缩格式，而快压也很配合地在cnbeta上发表《》一文来推广自己，这不得不让人怀疑快压在此次泄密事件中扮演的角色。 按照老规矩，出动sandboxie，在沙盘里安装快压，解压.kz文件，清空沙盘，这个“国内第一款具备自主压缩格式的软件”就从我的硬盘上滚蛋了lol。 在这里顺带提醒一句：请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件，如果不得不用，像我这样在sandboxie里安装运行，用完即删。 解压出来一共50个txt文件，卧槽，这找起一个id来得多麻烦啊，我们用cat把这些txt合并到一个文件里。 cat *.txt>all.txt 据说泄露了4000万，但我这怎么只算出来3000万多一点点？ wc -l all.txt
再用grep查找自己的用户名和邮箱，发现自己中枪了！ grep 邮箱 all.txt
grep 用户名 all.txt
******@******.cn
#中枪了！ 还好这个密码曾经是我很常用的强密码，但10年以来已经逐步被淘汰掉了(感谢QQ盗号者此前多次盗我QQ)。 我此时此刻非常非常痛恨天涯，干你娘的“天涯社区 - 全球华人网上家园”，叫你丫禁止用户使用弱密码，把我的主密码都泄露了，干干干干干干干干干干干干干干干干干干干干干干干干干干干干！ 我以后再也不上天涯，我衷心祝愿天涯早日关门歇业！！！ 网站根本不应强制用户使用强密码 这再次证明了我的观点：网站根本就不应该强制用户使用强密码！！！ 用户使用了强密码，而网站没能力保护用户的密码，这责任谁来承担？如果不是因为当初注册的时候天涯禁止我使用弱密码，我现在根本就不会牺牲这个强密码。 为各位同学提供一点安全建议 最后再次提醒各位朋友，千万不要在这种不重要的网站上使用强密码！！！ 我认为有资格要求用户使用强密码的地方包括：网银、淘宝、支付宝、域名注册商、主机托管商、各类B2C商城等直接与金钱打交道的网站，拥有贵重装备的网游帐号，QQ、常用邮箱、与工作有关的帐号。 剩下各类论坛和SNS，尤其是是那种注册后就扔掉、一年也上不了两次的账户，根本没必要使用强密码。在注册一个网站帐号之前，可以先到 上找找有没有人注册了拿出来共享的帐号，注册帐号的时候可以用 等提供的临时邮箱，总之：你所填写的个人信息越少，密码泄露造成的损失就越少。 对安全性要求高的同学还可以尝试一下lastpass这种密码生成和管理软件。 题外话 另外，有同学说那个_12160.dbh 与人人网的xh-2.txt 相似度很高，看来我在《》一文里的怀疑和声明不是没有道理的。 本站文章除注明转载外，均为本站原创编译转载请注明以下信息 文章转载自：鲁夫的爱 [ http://opengg.me/ ]本文标题：天涯泄露4000万用户的密码，我终于中枪了本文地址：http://opengg.me/689/tianya-leaks-40-million-passwords/
最新评论常用标签 分类目录
Licensed under
& 2016 鲁夫的爱 -
is ON 生成本页面用时 0.250 秒，查询 52 次.内容字号：
段落设置：
字体设置：
精准搜索请尝试：
天涯社区4000万用户资料泄露，帐号密码依旧明文
来源：作者：子非责编：子非
12月25日消息 继近几日CSDN等网站爆出用户数据库被窃取之后，乌云-漏洞平台报告称天涯社区4000万用户资料泄露，账号密码邮箱明文保存，并经验证为有效数据，从一些途径得知目前已经扩散，请广大用户和企业做好应急响应处理。
2011年就要过去，万没想到国内互联网会以此种光景告别，如此重量级的数据库泄漏，导致大量网民的帐号密码邮箱暴露，可直接称之为全民修改密码的时代来临！
大家都在买
软媒旗下软件：||||||||
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号天涯也被暴库了，4000万用户密码泄露，这下真的天下大乱了…… | 创意科技小组 | 果壳网 科技有意思
164368人加入此小组
继12月22日国内最大的开发者社区CSDN.NET的用户密码遭到黑客泄漏之后，25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏，据了解此次被泄漏用户数量达到4000万。经过下载验证，泄漏的天涯密码测试很多均可直接登录。从密码的构成看，泄密的密码很多并非是弱密码，而是8位以上的强密码，因此可以认为天涯的确是以明文方式保存的用户密码，天涯这么瞎搞，会得到报应的。由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据。2010年之后，我们升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题，未来我们将不断升级和完善用户安全系统。还是一句话，赶紧去换密码吧。。
+ 加入我的果篮
果壳网主编，科学松鼠会成员
换密码中。。。
不上天涯的表示没压力……
智能科学专业
卧槽。。。。。。。。。。。
都是09年以前的啊。
少儿科普编辑，冶金工程学士
不上天涯……
看样子，不能有常用帐号和密码。。。
以前注册了一个。。没登录过几次。。。这次大换血把密码全部换掉。。现在qq密码忘了。。。正在申请重置。。。蛋疼。。
有机化学博士，法学学士
我也改了密码了，天涯都会这么干，纯属意外，太过分了。
果壳网CEO，科学松鼠会创始人
看来不得不换密码了
改密码···
古典吉他控，通信工程专业
干，再也不相信任何中国网站了。。。谁爱要我号谁要去吧，反正跟我支付宝密码不一样就行。。。真是手贱注册了个天涯号
看来这回攻击范围很广丫，CSDN.多玩，天涯…
看了天涯泄露的密码，得出一个结论：其实CSDN的用户设密码习惯已经比一般网民好多了。
语言学硕士
看来还是程序员的密码设置得有意思啊~
在这背后是否还孕育着更大的阴谋。。
程序员，科幻迷
一根巨大的阴毛漂浮在祖国上空
速度换了密码。。。我有一个很弱的疑问，黑客知道了社交网站或者论坛的密码有什么用啊。。。如果不是银行密码什么的。。。？？？
的回应：都是09年以前的啊。最新的消息称2010年也是明文保存的，so还是换密码吧……
的回应：速度换了密码。。。我有一个很弱的疑问，黑客知道了社交网站或者论坛的密码有什么用啊。。。如果不是银行密码什么的。。。？？？有密码有邮箱，可以根据你的密码拆解出你的网银or支付宝or其他能付钱的或者能当钱使的，最不济还可以打包卖钱，各种广告邮箱投递神马滴，现在不是就有疯传说CSDN泄露的邮箱可以卖几百万呢…………omg
的回应：以前注册了一个。。没登录过几次。。。这次大换血把密码全部换掉。。现在qq密码忘了。。。正在申请重置。。。蛋疼。。厉害 - -
涯叔我看不透你啊~~~话说哪个黑客这么蛋疼啊。。自己窃取了还要这么公布 不怕被抓吗 还是其实是做好事提醒我们改密码？
临床医学专业，玄牝之门小组管理员
天涯是7080的老青年玩的了，我们都逛果壳的！
进化心理学博士生
密码不密，黑客真黑。
下载中，看看是不是真货。
已经开始把所有密码都改一遍，这次都用不一样的，这些个无良网站，害死人了
心理学硕士，科幻控，翻译控
话说看来密码这个事情，重要的不是复杂而是每个网站都不一样啊。。反正人家都是用盗库的，哪有黑客傻到用脑子猜？所以再复杂的密码都没意义嘛，只能是苦了自己。。（大换血改了一通复杂到死的密码结果一个都记不住挨个儿点“忘记密码”，这么傻逼的事儿我干了会到处说吗=。=
早就忘了天涯账号和密码了。。。看来的开始大规模的换密码行动了，可是总是记不住自己密码的人肿么办呀╮(╯▽╰)╭
为啥被爆的都是我不用的网站呢
不知道果壳在名单中排在哪里……
就算被爆也无压力……我就是不换就是不换…
表观遗传博士生
的回应：有密码有邮箱，可以根据你的密码拆解出你的网银or支付宝or其他能付钱的或者能当钱使的，最不济还可以打包卖钱，各种广告邮箱投递神马滴，现在不是就有疯传说CSDN泄露的邮箱可以卖几百万呢…………omgCSDN的邮箱是真值钱， 活跃用户多、用户群定位明确。。。
我都不确定注册过天涯没
麻木了，现在国内除了QQ这种，我连新浪都是用的烂密码。
受杜牧诗密码的启发，我躺在床上思考一个小时，想出了一个因网站而异的古文字典密码算法。但是直到现在也没有勇气去改——太麻烦了T_T
的回应：天涯是7080的老青年玩的了，我们都逛果壳的！莫非果壳都是90后？！！！！
食品安全硕士
天涯猫扑都不喜欢 基本都是人人新浪微博和果壳引用
的回应：莫非果壳都是90后？！！！！偶是80后 都不喜天涯猫扑 基本都是人人新浪微博和果壳
前两天收到天涯的短信，提示尽快修改密码。可是，我ID是啥呀？密码是啥啊？还得找找泄露出来的文件查查……
的回应：莫非果壳都是90后？！！！！13哥也是！！！？？？？
(C)2016果壳网&&&&&京ICP备号-2&&&&&