CSDN用戶遭泄密案告破首吃信息安全“罰單”

2012-03-21 09:42 第一財(cái)經(jīng)日?qǐng)?bào)

　　昨日，曾引發(fā)業(yè)界關(guān)注的CSDN網(wǎng)站用戶數(shù)據(jù)泄密案宣告破獲。北京警方對(duì)CSDN網(wǎng)站未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度造成用戶信息泄露事件做出行政警告處罰，這是國(guó)內(nèi)自落實(shí)信息安全等級(jí)保護(hù)制度以來開出的第一張“罰單”。

　　CSDN創(chuàng)立于1999年，是中國(guó)最大的中文IT知識(shí)服務(wù)集團(tuán)。目前，網(wǎng)站擁有2000萬注冊(cè)用戶、50萬注冊(cè)企業(yè)及合作伙伴，日訪問量約2000萬次。

　　600萬用戶遭泄密

　　去年12月21日，曾有網(wǎng)友爆料稱，國(guó)內(nèi)程序員社區(qū)CSDN的安全系統(tǒng)遭到黑客攻擊，CSDN數(shù)據(jù)庫中的600萬用戶的登錄名及密碼遭到泄露。隨后，天涯社區(qū)、世紀(jì)佳緣、開心網(wǎng)等十余家國(guó)內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。

　　一時(shí)間，消息真假難辨，互聯(lián)網(wǎng)上人人自危。

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)數(shù)據(jù)統(tǒng)計(jì)稱，被公開的疑似泄露數(shù)據(jù)庫26個(gè)，涉及賬號(hào)、密碼信息2.78億條。

　　CSDN在微博上確認(rèn)了這一事故，并表示已經(jīng)報(bào)案。對(duì)于大范圍的用戶數(shù)據(jù)泄露一事，CSDN回應(yīng)稱，經(jīng)過初步分析，該庫系2009年CSDN作為備份所用。

　　警方的調(diào)查顯示，嫌疑人承認(rèn)是在2010年4月利用CSDN網(wǎng)站漏洞，非法侵入服務(wù)器獲取用戶數(shù)據(jù)，還交代了曾經(jīng)入侵過某充值平臺(tái)及某股票系統(tǒng)等犯罪事實(shí)。

　　這種行為的行業(yè)術(shù)語稱作“拖庫”，指黑客把網(wǎng)站服務(wù)器上數(shù)據(jù)庫偷偷下載到自己電腦中；而撞庫則是，黑客用拖庫所得的海量注冊(cè)郵箱和密碼，在電子支付、微博、聊天、購物等不同平臺(tái)上試探登錄，如果有人習(xí)慣使用相同的注冊(cè)郵箱和密碼，很容易會(huì)被黑客撞庫盜號(hào)。

　　與此同時(shí)，北京警方對(duì)CSDN網(wǎng)站開展了調(diào)查，發(fā)現(xiàn)其未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，安全管理制度和技術(shù)保護(hù)措施落實(shí)不到位是造成用戶信息泄露的主要原因。

　　北京市公安局向CSDN網(wǎng)運(yùn)營(yíng)公司提出了具體整改要求，并依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（中華人民共和國(guó)國(guó)務(wù)院令147號(hào)）第二十條第（一）項(xiàng)規(guī)定，對(duì)北京創(chuàng)新樂知信息技術(shù)有限公司做出行政警告處罰。

　　杭州安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示，由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應(yīng)用程序漏洞、系統(tǒng)后臺(tái)認(rèn)證等四大問題，使其網(wǎng)站存在安全風(fēng)險(xiǎn)，泄露了大量信息。

　　CSDN反思

　　CSDN創(chuàng)始人蔣濤曾坦言，“CSDN對(duì)敏感信息不敏感，也缺乏安全意識(shí)。”在CSDN擁有不到100臺(tái)服務(wù)器，注冊(cè)信息只包括郵箱和密碼的情況下，他一度認(rèn)為，這些注冊(cè)信息并不具備太強(qiáng)的隱私性，也不會(huì)引起黑客的興趣。

　　“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼。”專業(yè)IT博客“月光博客”撰文表示，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息，最簡(jiǎn)單的MD5(密碼+隨機(jī)字符串)，一般類似UCenter這樣的論壇還會(huì)將這個(gè)信息再M(fèi)D5一次，這樣黑客即使下載了數(shù)據(jù)庫，破解用戶密碼也不是一件容易的事情。”

　　不止CSDN一家有這樣的問題。由于對(duì)安全的不重視，不少急速發(fā)展的互聯(lián)網(wǎng)企業(yè)在不經(jīng)意間為自己埋下了安全隱患的種子。據(jù)蔣濤介紹，目前，整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀極不樂觀：70%以上的加密算法密碼庫都可以通過高頻碰撞破解，80%以上的互聯(lián)網(wǎng)公司都存在漏洞，60%以上有安全策略的公司還存在著漏洞，地下數(shù)據(jù)庫顯示，網(wǎng)站暴露出來的問題甚至更多。

　　自今年1月，北京警方對(duì)全市106家互聯(lián)網(wǎng)網(wǎng)站開展信息安全檢查工作，發(fā)現(xiàn)并現(xiàn)場(chǎng)糾正206處安全隱患。而360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)隨機(jī)抽取的93233個(gè)國(guó)內(nèi)網(wǎng)站分析發(fā)現(xiàn)，存在高危漏洞的網(wǎng)站比例達(dá)36%，存在中危漏洞的網(wǎng)站則有16%，兩者合計(jì)比例高達(dá)52%，國(guó)內(nèi)網(wǎng)站安全防護(hù)能力仍有待完善。

　　今年1月，CSDN和阿里云結(jié)成戰(zhàn)略合作關(guān)系，共同打造安全可信的開發(fā)者服務(wù)平臺(tái)。當(dāng)時(shí)蔣濤反思稱，“如何讓開發(fā)者信任CSDN，如何提高開發(fā)者的安全技能，如何為開發(fā)者創(chuàng)造價(jià)值，這是CSDN安全事件之后反思的主題。”

　　互聯(lián)網(wǎng)安全問題依然刻不容緩。天涯方面昨日對(duì)記者表示，目前關(guān)于用戶數(shù)據(jù)泄露一事暫無進(jìn)展可透露。