CSDN密码危机扩大 建议乡网用户更改密码

自去年年底CSDN上600万用户资料被公开，其中包括用户邮箱账号和密码，致使以相同邮箱在不同网站注册的用户账户纷纷被盗，严重影响到用户信息安全。

近几天象山同乡网有几个老账户被盗，凌晨大量发布卖器官广告。

建议：在多个网站用相同邮箱注册的用户，请尽快修改密码，尽量不使用同一个密码。

修改密码点击： http://xiangshanren.com/bbs/home ... ile&op=password

2011-12-23 02:13:18　来源: 每日经济新闻

12月21日，国内最大的程序员社区CSDN上600万用户资料被公开，同时黑客公布的文件中包含有用户的邮箱账号和密码。

昨日，继CSDN信息安全出现之后，网上更是传出包括人人网、开心网等多家互联网公司的用户被公开的消息，不过上述公司均对此予以否认。随后，包括360和金山都相继发布警告，通知相关用户尽快更新密码。

或成史上最大信息泄露事件

12月21日，360安全卫士在微博披露：“今日有黑客在网上公开了CSDN网站用户数据库，包括600余万个明文的注册邮箱账号和密码。CSDN是国内最大的程序员网站，请广大程序员务必重视并尽快修改密码，包括CSDN账号密码，以及采用相同注册邮箱和密码的其他网络账号，如邮箱、微博、购物网站、聊天软件等账号，以免蒙受盗号损失！”

晚间，CSDN就在其官方网站上贴出了相关的公开道歉信，公开信中披露，目前泄露出来的CSDN账号数据基本上是2010年9月之前的数据，泄露原因正在调查中。

在此次事件中，CSDN此前采用的明文密码方式被认为可能是 “罪魁祸首”。CSDN还在这封道歉信中透露，CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码，但是直至2010年8月底CSDN才清理掉所有明文密码。采用明文密码是一个相对低端的模式，很容易就被黑客破解。

在CSDN用户数据库泄露后，有消息称人人网、开心网、世纪佳缘等网站的用户数据库或被相继公开，一时之间一场“密码危机”被推向高潮。

对此，上述网站方面也做出了相应的回应。人人网方面表示：“人人从上线开始就没有记录明文密码。在此事件后，人人网立刻采取对用户账户的安全保护措施，利用站内信通知所有可能存在账户安全隐患的用户立刻修改密码并进行安全升级，防止账户被盗。如果用户的人人网账号密码和CSDN或其他网站一致，建议马上修改密码，以免账号被盗。在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险，请尽快修改。”

随后记者致电同样出现在被泄露名单中的开心网。开心网方面表示，目前尚未接到关于用户密码泄密的问题，不过公司方面也在关注此事的发展。

“CSDN这次大规模的用户信息泄露，可能会给包括支付宝在内的类似公司造成一些困扰，因为不排除用户用同样的邮箱和密码同时注册多个网站。”支付宝方面表示，“我们正在将获得的资料和支付宝用户进行核对，如果发现有相同会及时做出相关的保护措施。”

网络安全问题再受拷问

上百万的用户信息被黑客泄露，众多网友纷纷在第一时间修改了相关用户名密码，不少网友和业内人士也在质疑相关网站所采用的安全模式问题，。

据此前360发布的《2011年上半年互联网安全报告》，黑客窃取网站数据库的危害已远远超过盗号木马。因为如果一家网站服务器被黑客攻破，成百上千万用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号也一并失窃。

值得注意的是，接近年末互联网的安全问题也接踵而至。此前爆发的微博、MSN大面积盗号事件，其攻击方式均为黑客“拖库”后试探盗号的。11月上旬，MSN就曾经遭遇到大面积的账号被盗事件。当时不少用户发现自己的账户出现异常情况，其中有些是自己账号无法登录，系统提示“密码错误”，有些则是用户收到好友突然发来借钱的消息。

不仅如此，最近一直在推行实名制的新浪微博也遭遇了相同的情况。本月中旬有多数网友反映自己的微博账号疑似被盗用，在登录新浪微博时，出现需要更改密码才可登录的情况。新浪微博对此表示，通过排查发现近期多起账户被盗现象。

上述事件都是因为注册账号时用同一邮箱或是密码所致。目前可供用户使用的互联网服务很多，基本都通过用户邮箱注册。用户可能在不同的网站注册时，会设置相同的密码。导致一旦某个网站的密码被盗，多个网站的账号均可能被盗。

360方面表示，网络服务商应重视并加强对用户数据的安全保护，除了修复网站和服务器系统漏洞外，还应注意对用户数据进行加密存储，把黑客攻击的风险降到最低。金山也在相同时间发布了预警公告，并否认了公司员工为首个网上传播的网民。

今天去首都在线机房清点服务器和网络设备，忙了一天。回到公司听说网络流传CSDN帐号数据库的事情，也不断有朋友和会员问我这个事情，CSDN帐号数据库是不是明文保存密码，是否安全？考虑到大家对这个问题都非常关注，解释一下相关的情况：

CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。

我2010年来CSDN上班以后，接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中，发现CSDN帐号的安全性仍存在潜在的问题：虽然密码保存已经修改为加密密码，但老的保存过的明文密码未清理；帐号数据库运行在Windows Server上的SQL Server，仍有被攻击和挂马的潜在危险，所以我要求程序员将所有明文密码全部清空。

2010年9月我组建了新的研发团队重写CSDN用户管理功能，在《我来CSDN的这一年》 详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线，使用了强加密算法，帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN帐号的各种安全性问题。

以下是大家可能关心的问题：

一、CSDN帐号数据库是明文保存密码吗？
2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理；2010年8月我来CSDN以后清理掉了所有明文密码。所以从2010年9月开始全部都是安全的，9月之前的有可能不安全。

二、我的CSDN帐号是安全的吗？需要修改密码吗？
1、2010年9月之前的注册用户和没有修改过密码的用户，请立即修改密码；
2、如果你是2010年9月以后注册的帐号，不必修改密码，但邮箱有泄露可能性；
3、如果你是2011年1月以后注册的帐号，帐号，密码和邮箱都非常安全；

三、CSDN帐号数据库现在是安全的吗？
历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库，进行了多方面的安全加固，密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的？
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。

五、如果我的CSDN帐号已经被盗怎么办？
1、使用忘记密码功能，系统会重置密码，将新密码发到你的注册邮箱
2、给管理员发邮件，请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题？
1、我们将针对2010年9月之前的注册用户，提示修改密码，并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示，要求用户修改密码，并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码，并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录，针对网络上面泄露出来的帐号数据库进行验证，凡是没有修改过密码的泄露帐号，全部重置密码。


补充说明一点：

ITeye网站没有帐号密码被泄露的风险。ITeye网站得益于ruby on rails框架内置的特性，从一开始就使用了md5+salt的加密方式，从来没有保存过明文密码。且一直高度重视密码安全性问题：例如强制弱密码用户修改密码；密码三次输入不对就禁止登录。大家可以放心。

有人写了一个小程序，统计了这次公布的 6428632个CSDN密码。

谈到密码问题，普通青年一般喜欢用123456；文艺青年喜欢用5201314；二逼青年则喜欢用888888。

看看你的密码是否上榜？

121121121

问题是   进入这么个象山论坛发布个所谓的“广告”   有必要动用黑客技术去窃取他人账号密码吗？  唉。。。。

       进入此类论坛发个广告也根本无需黑客技术盗用他人的账号密码 ， 随便申请个账号就可以进来了 。  也许该查查内部管理权限的问题。

唉。。。。

唉。。。。 发表于 2012-3-8 15:36
进入此类论坛发个广告也根本无需黑客技术盗用他人的账号密码 ， 随便申请个账号就可以进来了 。  也 ...

乡网论坛系统用的是国内用得最广的Discuz系统，密码是加密，管理员根本不知道用户密码。