中国互联网的十二月大灾变# WaterWorld - 未名水世界
k*o
1 楼
开发者门户CSDN泄漏600万用户数据,其中包含极为敏感的用户名、密码。垂直游戏网
站多玩网泄漏800万用户数据,大部分加密也有小部分明文保存,措手不及的用户们瑟
瑟颤抖。
紧接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、
珍爱网等众多网站也都陷入用户数据泄漏丑闻,包括CSDN、人人网、新浪微博、QQ邮箱
、知乎多个网站已经在消息披露后提升了安全等级,提醒可能被波及的用户更改密码。
仅现在已经确认被波及的用户规模已经超过千万,本来大家都在在暖气房为年终报
表、业绩数据里奔忙,现在不得不面对可能存在的未知威胁,并且你对威胁什么时候到
来完全一无所知。
中国互联网的十二月大灾难
连环泄漏像是有心人刻意为之
在两天内,先是CSDN紧接着是多玩网,超过十家网站纷纷爆出用户资料泄漏丑闻,
暂且不论那些未被证实的泄密网站有多少属实,仅就现在披露的数据已经引起了非常大
规模的影响。
这些大型网站通常已经有三年以上的历史,期间有机会接触用户信息的程序员不计
其数,是否有泄密可能根本无据可查,更谈不上什么责任认定跟追究了。即便是报警也
只能算是策略性行为,起不到太实质性的作用,在事件策划者自揭谜底之前,没有任何
一个网站敢说自己是清白的。
事件策划者既然敢曝露如此多的用户数据,必然做了足够多的自我保护措施,确保
没有人能够找到他们的真实身份。至于策划这一事件究竟是为了什么,显然目前还没有
清晰的答案,也许是为了攻击竞争对手,也许是为了转移大家的注意力,也许只是恶意
黑客的玩笑而已。
对互联网的影响远比想象中更深刻
“我无法想象这些大网站无法保障我的信息安全,我的邮箱、支付宝、QQ都使用了
相同的密码,这意味着黑客可以肆意去攻陷我的在线帐户”,这段话正是大多数普通用
户心理的真实写照,在他们看来网站保障用户信息安全是理所当然的义务,普通用户可
能会对在线服务失去信心。
问题的核心是没有人知道自己是否受到影响,普通人并不会像程序员建立数据库导
入SQL文件然后查询,也不知道自己日常使用的网站资料安全是否完备。通常被曝光的
数量往往远大于真实存在的数量,没有人知道自己的帐号、密码、电子邮件、信用卡密
码会不会被放在信封。
这些帐号信息可能会对用户的关联帐户产生巨大危害,并且这样的危害基本是无法
阻止的,因为大多数人对邮件使用了相同密码,你如果能够通过登陆及邮件更改密码,
那么恭喜你,因为那些恶意攻击者也可以。
更大的危害是,泄漏的用户数据可能被有心的黑客用作建设密码破解数据库(彩虹
表),帮助恶意黑客们更有效攻陷在线帐户。甚至他们会基于此建立更有效的方式,利
用社会工程学来突破传统保护系统的封锁。
怎样的密码才是更安全的?
网友对开发者门户CSDN泄漏的数据进行了分析,发现排名前三的用户密码是 “
123456789”、“12345678”、“11111111 ”,这三个弱密码在泄漏密码中的占比高达
10%。考虑到用户密码的的巨大差异性,这已经是一个非常高的比例。(CSDN有下载限
制,所以很多账户建立的目的是下载,所以就是输入个不会忘的、简单的密码。这部分
密码不可能是用户真实的常用密码。)
弱密码是指简单容易被破解的密码,而且这还是在业内的开发者门户网站,在普通
网站使用弱密码的用户比例可能更高。
当然,作为用户有义务设置更高强度的密码,但是这些密码居然成功通过了CSDN网
站的验证,大多数网站都具有弱密码检测功能,提示使用弱密码的用户更换更高强度的
密码。这意味着大多数国内网站的弱密码检测功能都是存在尝试缺陷的,甚至仅仅是判
断字符数而不包含必备的常规判断。
那什么样的密码更安全?
数字、大小写字母、符号相互组合,字符数越多越安全,但前提是不要给日常使用
带来太多障碍。考虑到大多数网站已经配置记忆登陆功能,这并不是一个特别大的障碍
。如果可能的话,重要帐户使用单独的密码,尽量定期更改敏感密码
给互联网创业公司的安全警钟
CSDN资料泄漏事件中,受到威胁的主要是早期注册并且没有更改过密码的用户,多
玩网方面给出的回复大致相同。
这样的情况在大多数创业公司存在,这次事件波及到的很多网站也是近几年才成长
起来的创业公司。在初期由于人手、资源有限,大量的精力都被投入到运营与功能开发
中,缺乏对用户资料的有效防护,容易忽略对用户资料安全的重视。
然后他们做大之后会发现存在的安全隐患,然后腾出人手来修复存在的安全问题。
但这次资料泄漏事件给创业公司敲响了警钟:用户的资料安全始终应该被放在足够重要
的位置,否则可能会成为压倒骆驼的最后一根稻草。
站多玩网泄漏800万用户数据,大部分加密也有小部分明文保存,措手不及的用户们瑟
瑟颤抖。
紧接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、
珍爱网等众多网站也都陷入用户数据泄漏丑闻,包括CSDN、人人网、新浪微博、QQ邮箱
、知乎多个网站已经在消息披露后提升了安全等级,提醒可能被波及的用户更改密码。
仅现在已经确认被波及的用户规模已经超过千万,本来大家都在在暖气房为年终报
表、业绩数据里奔忙,现在不得不面对可能存在的未知威胁,并且你对威胁什么时候到
来完全一无所知。
中国互联网的十二月大灾难
连环泄漏像是有心人刻意为之
在两天内,先是CSDN紧接着是多玩网,超过十家网站纷纷爆出用户资料泄漏丑闻,
暂且不论那些未被证实的泄密网站有多少属实,仅就现在披露的数据已经引起了非常大
规模的影响。
这些大型网站通常已经有三年以上的历史,期间有机会接触用户信息的程序员不计
其数,是否有泄密可能根本无据可查,更谈不上什么责任认定跟追究了。即便是报警也
只能算是策略性行为,起不到太实质性的作用,在事件策划者自揭谜底之前,没有任何
一个网站敢说自己是清白的。
事件策划者既然敢曝露如此多的用户数据,必然做了足够多的自我保护措施,确保
没有人能够找到他们的真实身份。至于策划这一事件究竟是为了什么,显然目前还没有
清晰的答案,也许是为了攻击竞争对手,也许是为了转移大家的注意力,也许只是恶意
黑客的玩笑而已。
对互联网的影响远比想象中更深刻
“我无法想象这些大网站无法保障我的信息安全,我的邮箱、支付宝、QQ都使用了
相同的密码,这意味着黑客可以肆意去攻陷我的在线帐户”,这段话正是大多数普通用
户心理的真实写照,在他们看来网站保障用户信息安全是理所当然的义务,普通用户可
能会对在线服务失去信心。
问题的核心是没有人知道自己是否受到影响,普通人并不会像程序员建立数据库导
入SQL文件然后查询,也不知道自己日常使用的网站资料安全是否完备。通常被曝光的
数量往往远大于真实存在的数量,没有人知道自己的帐号、密码、电子邮件、信用卡密
码会不会被放在信封。
这些帐号信息可能会对用户的关联帐户产生巨大危害,并且这样的危害基本是无法
阻止的,因为大多数人对邮件使用了相同密码,你如果能够通过登陆及邮件更改密码,
那么恭喜你,因为那些恶意攻击者也可以。
更大的危害是,泄漏的用户数据可能被有心的黑客用作建设密码破解数据库(彩虹
表),帮助恶意黑客们更有效攻陷在线帐户。甚至他们会基于此建立更有效的方式,利
用社会工程学来突破传统保护系统的封锁。
怎样的密码才是更安全的?
网友对开发者门户CSDN泄漏的数据进行了分析,发现排名前三的用户密码是 “
123456789”、“12345678”、“11111111 ”,这三个弱密码在泄漏密码中的占比高达
10%。考虑到用户密码的的巨大差异性,这已经是一个非常高的比例。(CSDN有下载限
制,所以很多账户建立的目的是下载,所以就是输入个不会忘的、简单的密码。这部分
密码不可能是用户真实的常用密码。)
弱密码是指简单容易被破解的密码,而且这还是在业内的开发者门户网站,在普通
网站使用弱密码的用户比例可能更高。
当然,作为用户有义务设置更高强度的密码,但是这些密码居然成功通过了CSDN网
站的验证,大多数网站都具有弱密码检测功能,提示使用弱密码的用户更换更高强度的
密码。这意味着大多数国内网站的弱密码检测功能都是存在尝试缺陷的,甚至仅仅是判
断字符数而不包含必备的常规判断。
那什么样的密码更安全?
数字、大小写字母、符号相互组合,字符数越多越安全,但前提是不要给日常使用
带来太多障碍。考虑到大多数网站已经配置记忆登陆功能,这并不是一个特别大的障碍
。如果可能的话,重要帐户使用单独的密码,尽量定期更改敏感密码
给互联网创业公司的安全警钟
CSDN资料泄漏事件中,受到威胁的主要是早期注册并且没有更改过密码的用户,多
玩网方面给出的回复大致相同。
这样的情况在大多数创业公司存在,这次事件波及到的很多网站也是近几年才成长
起来的创业公司。在初期由于人手、资源有限,大量的精力都被投入到运营与功能开发
中,缺乏对用户资料的有效防护,容易忽略对用户资料安全的重视。
然后他们做大之后会发现存在的安全隐患,然后腾出人手来修复存在的安全问题。
但这次资料泄漏事件给创业公司敲响了警钟:用户的资料安全始终应该被放在足够重要
的位置,否则可能会成为压倒骆驼的最后一根稻草。