“泄密”之秘
2011年12月21日,北京望京地區某酒店內正在召開的“CSDN微峰會”,因為CSDN總裁蔣濤的突然離席而中斷。
剛致完開場白,蔣濤的手機鈴聲猛然響起來,接完這個緊急電話后,蔣濤神情凝重地“逃離”了現場,耳邊還回蕩著電話中員工的那句話:“蔣總,網站600多萬注冊用戶信息被黑客曝光!”
與現實場景相對的虛擬網絡世界里,CSDN網站中超過600萬個注冊郵箱賬號和對應的明文密碼數據庫已經被曝光。這還不是最嚴重的,成為眾矢之的的CSDN泄露的600萬密碼只是滄海一粟,與其一道被“爆庫”的還包括網易、人人、天涯、貓撲、多玩等多家大眾網站及部分機構網站。
自此,中國互聯網有史以來波及面最廣、規模最大、危害最深的泄密事件全面爆發。
風篇:泄密旋風
蔣濤沒有想到,2011年這個圣誕節成了中國黑客的狂歡日,隨之而來的,是一場互聯網界的噩夢。
12月21日,360安全衛士在微博上披露,有黑客在網上公開CSDN網站用戶數據庫,包括600余萬個明文注冊郵箱賬號和密碼,請廣大程序員(軟件工程師)務必重視并盡快修改密碼。CSDN創立于1999年12月,會員囊括了國內90%以上的優秀程序員。
事實上,在360披露之前,CSDN數據的泄露就已經不是秘密。新浪某安全主管早在11月10日就透露,用戶名密碼泄露了的網站不只CSDN一家。
據一位知情安全人士對《每日經濟新聞》記者透露,新浪還曾針對此事內部討論過應對措施,包括如何加強用戶現有密碼的保護等。
12月4日,專業安全網站“烏云”(wooyun.org)上,就有ID為“臭小子”的用戶發布了一份“中國各大站點數據庫曝光”的漏洞概要,其中就包括CSDN相關數據庫。
烏云在微博上稱,“還覺得這些所謂的上市公司上市企業真的保護好了你提交的數據么?中國各大站點數據庫曝光”。遺憾的是,除了少數安全圈人士,這則微博并沒有引起太多用戶的關注。
有安全人士發現自己也“中招”了。在其注冊使用的4個CSDN賬號中,有兩個賬號名在盛大也注冊使用,且密碼同CSDN賬號一致。通過對盛大通行證登錄數據發現,4個賬號都曾被嘗試登錄,其中有兩個登錄成功。
作為國內IT技術社區CSDN的一把手,蔣濤清楚地認識到事態的嚴重性。他隨即發表道歉聲明,稱外泄的CSDN賬號數據基本上是2010年9月以前的數據,泄露原因正在調查之中。蔣濤也在第一時間同新浪、網易、騰訊等主要互聯網公司取得聯系,希望對方可以在第一時間內告知用戶更改密碼。
12月22日,CSDN邀請了杭州安恒信息技術有限公司進行安全審計。資料顯示,安恒信息曾被奧組委授予“奧運信息安全保障杰出貢獻獎”。據一名當時參與審計的相關負責人士透露,安全審計組曾針對CSDN從外圍進行了黑客模擬滲透機制,測試結果令人擔憂,在不需要任何用戶名、口令等的情況下,就能很容易地進入CSDN后臺,并獲取相關數據。“目前CSDN已經將相關技術漏洞修補完成。”該負責人士稱。
這次真正棘手的問題是,以往一向在黑客圈流傳的內部數據被廣大用戶通過數據包下載而獲得。
“如果普通用戶拿到這些信息,找一些認識人的密碼,這是一件很可怕的事情。”蔣濤表示。
事實證明,蔣濤的擔憂并非沒有道理。公開的數據包下載,也讓好事者通過郵箱驗證,成功進入別人的郵箱。
12月28日,一名ID為“極品良粽”的用戶在天涯論壇上曝料截圖,其通過公開的數據包成功登錄了演員董潔的郵箱及深圳衛視某員工的郵箱,還意外獲知深圳衛視跨年演唱會的流程表中有關郎朗和韓庚的保險單。
云篇:烏云是誰
如果不是這起規模巨大的泄密事件,或許廣大網民還不會如此迅速地知道這個叫做“烏云”的漏洞報告平臺。
從2011年12月4日最初的漏洞報告開始,原本名不見經傳的烏云網,因近期一系列網站泄密事件而聲名鵲起。該網站先后曝出CSDN、天涯、當當、京東商城等網站存在安全漏洞。
這是一個最初由幾名從事安全行業的自愿者發起搭建的位于廠商和安全研究者之間的安全問題反饋平臺,目前為非盈利。截至目前,共有500多位研究人員為120多個企業提交了接近4000個安全問題。
據烏云相關負責人WooYun介紹,烏云平臺最初招募了一些“白帽子”(WhiteHat,即正面、合法的黑客,現實生活中的身份是安全專業人士——編者注),主要的安全研究人員包括互聯網公司安全工程師、安全公司安全研究員以及安全技術愛好者,他們將發現的廠商漏洞問題提交烏云平臺,由烏云平臺告知廠商,烏云平臺會事先設定一個月時間讓廠商確認該漏洞以及修復問題,若一個月后廠商依然沒有解決問題,烏云平臺則將漏洞信息對外公布。
“我們只是對白帽子前期的身份進行核實,而對于其反映的廠商情況,則需要廠商自己去核實。”WooYun表示。
WooYun告訴《每日經濟新聞》記者,他們發現,廠商對安全問題并不特別重視,采取的態度一般是忽略或者根本就矢口否認,而這也造成了越來越多的安全研究者不再主動向廠商提交安全問題。
事實上,這種漏洞信息的披露是一把雙刃劍。如果廠商沒有足夠重視而被黑客利用的話,可能會起反作用。這也意味著烏云平臺的信息披露存在一定的風險,尤其在此次“泄密門”之后,烏云頻頻出擊,身不由己地站上了風口浪尖。
WooYun坦言,現有平臺作業的確有不夠完善之處,因此,12月30日,烏云網宣布暫時關站,進行系統升級。
電篇:金山閃現
或許是炫耀,或許是沖動,對于金山毒霸產品經理韓正奇來說,此次被外界質疑其是泄密源頭的經歷足以讓他終生難忘。
與其說韓正奇是此次泄露用戶信息的源頭,還不如說,今天的安全工作者需要重新審視安全工作的準則,重新思考如何保證隱秘的用戶數據庫不被暴曬在陽光下。
CSDN數據泄密的當天下午3點,金山內部的工作聊天群中的一群安全師正在討論剛剛在微博上曝光的CSDN數據庫泄露一事。
韓正奇從一個網絡安全相關的QQ群內下載了一份CSDN用戶賬號密碼文件。當他把QQ群內迅雷專用工具下載的鏈接轉換成迅雷快傳的下載鏈接,試圖發到一個朋友QQ群時,意外發生了。
僅僅幾分鐘,韓正奇傳的文件就在烏云網上出現了截圖。這也讓韓正奇成為網絡上被“千夫所指”的“黑客”。
事后,韓正奇在聲明中說,“關于無意傳播了CSDN泄露的用戶數據,我要深深地向所有受到困擾的網民說一聲‘對不起’,作為安全廠商的員工,我深知自己做了一件錯事,無意識在網上將下載的用戶資料作了分享。該事件導致眾多網民心里恐慌,我內心也十分不安,本身事情我也是受害者。”
韓正奇說,他在意識到問題后,立即將迅雷分享地址刪除。由于刪除及時,該地址只有幾名同事下載過,且從未將數據庫文件外泄。
“做錯事要承認錯誤,但網上稱我最早在迅雷泄露了用戶數據,這不是事實,是污蔑,因為我下載前就已有分享地址;還有人稱我是黑客,其實我和幾位同事的賬戶名和密碼均被曝光(郵箱后綴為kingsoft.com),黑客是絕不會曝光自己的。更有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
雖然上述聲明不足以消除外界對于韓正奇是此次泄密門主角的猜測,但蹊蹺的是,韓正奇使用的互聯網IDhzqedison是被誰對號入座的?事實是否如韓正奇所說,是有人要抹黑金山,或者是有競爭對手在背后推動,尚無從得知。
另一方面,一位金山內部人士對《每日經濟新聞》記者表示,該公司競爭對手360已經在當天12時33分官方微博發布CSDN數據庫泄露的消息,隨后微博、論壇和QQ群中均有眾多網民在傳播該數據庫。
電篇:金山閃現
或許是炫耀,或許是沖動,對于金山毒霸產品經理韓正奇來說,此次被外界質疑其是泄密源頭的經歷足以讓他終生難忘。
與其說韓正奇是此次泄露用戶信息的源頭,還不如說,今天的安全工作者需要重新審視安全工作的準則,重新思考如何保證隱秘的用戶數據庫不被暴曬在陽光下。
CSDN數據泄密的當天下午3點,金山內部的工作聊天群中的一群安全師正在討論剛剛在微博上曝光的CSDN數據庫泄露一事。
韓正奇從一個網絡安全相關的QQ群內下載了一份CSDN用戶賬號密碼文件。當他把QQ群內迅雷專用工具下載的鏈接轉換成迅雷快傳的下載鏈接,試圖發到一個朋友QQ群時,意外發生了。
僅僅幾分鐘,韓正奇傳的文件就在烏云網上出現了截圖。這也讓韓正奇成為網絡上被“千夫所指”的“黑客”。
事后,韓正奇在聲明中說,“關于無意傳播了CSDN泄露的用戶數據,我要深深地向所有受到困擾的網民說一聲‘對不起’,作為安全廠商的員工,我深知自己做了一件錯事,無意識在網上將下載的用戶資料作了分享。該事件導致眾多網民心里恐慌,我內心也十分不安,本身事情我也是受害者。”
韓正奇說,他在意識到問題后,立即將迅雷分享地址刪除。由于刪除及時,該地址只有幾名同事下載過,且從未將數據庫文件外泄。
“做錯事要承認錯誤,但網上稱我最早在迅雷泄露了用戶數據,這不是事實,是污蔑,因為我下載前就已有分享地址;還有人稱我是黑客,其實我和幾位同事的賬戶名和密碼均被曝光(郵箱后綴為kingsoft.com),黑客是絕不會曝光自己的。更有人抹黑金山公司,這些純粹是別有用心,是某公司背后在推動。”
雖然上述聲明不足以消除外界對于韓正奇是此次泄密門主角的猜測,但蹊蹺的是,韓正奇使用的互聯網IDhzqedison是被誰對號入座的?事實是否如韓正奇所說,是有人要抹黑金山,或者是有競爭對手在背后推動,尚無從得知。
另一方面,一位金山內部人士對《每日經濟新聞》記者表示,該公司競爭對手360已經在當天12時33分官方微博發布CSDN數據庫泄露的消息,隨后微博、論壇和QQ群中均有眾多網民在傳播該數據庫。
雷篇:迅雷懸疑
種種跡象表明,此次被曝光的用戶信息早已在黑客世界中暗暗流通,但是,緣何突破了那個神秘圈子并闖入了公眾視線?截至目前,“泄密門”事件的始作俑者在網警和有關部門的介入下,依然無解。
戲劇化的一面是,有業內人士認為,在這次大規模“爆庫”事件中,迅雷扮演了一個重要角色。
一位不愿透露姓名的安全專家認為,此前黑客均通過郵箱內部交流“黑”來的數據庫,但一些人通過迅雷離線下載或高速通道下載,這些數據庫就保留在了迅雷服務器。當其他用戶使用迅雷下載時,通過“相關推薦”功能把黑客用來內部交流的數據下載了下來。如此往復,導致被爆的庫越來越多,以至于所有數據大白于天下。
為了摸清其中緣由,《每日經濟新聞》記者下載了版本號7.2.4.3312的迅雷下載軟件,并隨即用其下載了一個編程程序。下載過程中,迅雷在其相關推薦欄里給出了“CSDN-中文IT社區-600萬.rar”下載地址。
為了進一步說明問題所在,記者試圖下載和被泄露數據庫無任何關聯的一款名為《劍靈》客戶端游戲,令人意外的是,在迅雷下載的右邊有相關推薦提示“使用了此鏈接的用戶還使用了如下鏈接”,是一份名為“280w-zur-u-e-p-R.kz”的文件,嘗試下載該文件時,顯示其為泄露的數據庫文件,而該文件右邊相關推薦又再次顯示另外29份黑客泄露的數據庫文件。
值得注意的是,此現象在迅雷7.1版本中并不存在。《每日經濟新聞》記者嘗試了其他下載工具,均沒有類似相關推薦提示。
“迅雷7.2的相關推薦,可能是揭秘黑客關系鏈的有效證據。”上述不愿透露姓名的安全專家表示。
上述猜測也得到WooYun的認同。WooYun認為,起初黑客私下交流的數據(最初的交流工具可能是QQ郵箱),而后被迅雷7.2意外泄露,由于參與下載的人越來越多,眾多網盤已成為分享數據庫的載體。
針對上述問題,迅雷在針對《每日經濟新聞》的官方回應中稱,首先,迅雷是最早屏蔽CSDN泄密數據的互聯網企業。迅雷稱,21日晚間8:40,迅雷在第一時間就根據CSDN方面提供的鏈接對相關泄密數據進行了全面屏蔽。“作為一個第三方下載平臺,迅雷已經盡到了最大的努力減少CSDN泄密事件給網民和企業帶來的損失。”
迅雷表示,迅雷絕對不會在服務器上存儲任何與泄密事件相關的數據庫,QQMail作為私人鏈接,用戶不能從迅雷“相關推薦”中直接下載。此外,迅雷“相關推薦”最多只能提供30條,只有當文件被下載次數達到一定閾值才有可能進入相關推薦,鑒于目前迅雷的用戶覆蓋量,小范圍傳播的文件被推薦的概率微乎其微。
但是,記者再次使用迅雷7.2下載“劍靈.rar”,從迅雷右邊的相關推薦里看到“280W-zur-u-e-p-R.kz”的34.69MB數據包,點擊下載后,迅雷又推薦了“5000萬_51693.zip”、 “300w -Yue.kz”、“350-E875131.kz”、“7k7k2000萬_2047.rar”、“1000W+IS2_16436.rar”等29個鏈接。
此外,迅雷指出,迅雷的“相關推薦”不是共享推薦,即用戶無法主動通過這一功能共享文件。這種推薦方式與購物網站會提示“買了此商品的用戶還買了***”一樣,推薦算法本身是由機器算法執行,無任何人工干預。
《每日經濟新聞》記者注意到,雖然迅雷聲稱其推薦的算法為機器算法執行,但是,目前迅雷正在試圖刪除相關推薦的鏈接來回避該問題。
“既然是機器算法,沒有人工干預,但是相關的鏈接為何消失了呢?”上述安全專家再次提出質疑。
截至記者發稿,迅雷方面亦未對此問題作出詳細解釋。
雨篇:安全追問
頻發的泄密危機正拷問著中國的互聯網安全。2011年12月27日,中國計算機學會青年計算機科技論壇廣州分會召開了“互聯網用戶資料泄露事件緊急會議”。16名與會專家一致認為,這次事件是迄今為止“中國互聯網史上最大信息泄露事件”。
專家們呼吁,希望工信部門和公安部門牽頭,成立專門的調查組,對本次事件進行調查,并公布調查結果。他們建議,針對用戶資料和個人隱私,政府應盡快建立法律法規進行規范,以維護個人權益。
據《每日經濟新聞》了解,早在2007年,公安部、國家保密局、國家密碼管理、國務院信息工作辦公室四部門就聯合制定了《信息安全等級保護管理辦法》,但是,該標準只是在一些大型網站執行,中小網站并沒有強制執行。
業內專家認為,頻頻爆發的數據庫信息的外泄正一點一滴地瓦解現有互聯網認證機制。目前的互聯網認證是基于電子郵件的認證,電子郵件在各個企業和互聯網公司都被用作標識用戶身份,而經過近幾年黑客多次的“洗禮”,目前國內互聯網企業中含有較大用戶基數的站點可能都已淪陷。
更令外界擔憂的是,即使知道自己用戶數據庫被竊取,大多數企業基于自身利益還是會保持沉默,就在此前,有媒體報道稱,從論壇、BBS到SNS、電商,各網站對安全的IT支出都很少。
據一家券商TMT研究部門的調研數據,目前中國互聯網公司的信息安全支出在整體IT支出中的比例不到1%,對安全性要求比較高的金融行業為10%。而歐美互聯網公司的安全支出占比普遍為8%~10%。
對于“囊中羞澀”的互聯網安全投入,騰訊公司聯席CTO熊明華對《每日經濟新聞》記者表示,騰訊目前擁有兩支獨立的安全團隊,一支負責騰訊內網的安全體系維護,另外一支則負責外網。
據記者了解,幾年前,騰訊曾遭遇盜號團隊的攻擊,竊取用戶密碼用以牟利。而后騰訊與有關部門集中打擊了犯罪分子,十多人因此獲刑。
據滕明華透露,此后騰訊花了3年時間對密保系統部門從底層開始了徹底的重構。
WooYun認為,中國的互聯網正經歷高速發展階段,安全與用戶體驗本身存在矛盾性,對于用戶而言,復雜的密碼固然比較安全,但卻嚴重影響用戶體驗。
CSDN蔣濤指出,目前黑客最流行的盜號手段是盜號賊利用竊取的其他網站的密碼數據庫在各大網站嘗試登錄。
360網絡安全專家石曉虹表示,不同黑客組織通過交易、共享等方式聚合不同網站的密碼庫,形成非常龐大的規模,然后將此黑客的密碼庫批發給專門從事“洗號”環節的不法分子。
據石曉虹透露,“洗號”分子一般會篩選有價值的注冊郵箱,比如知名企業的工作郵箱,然后竊取郵箱中的重要商業資料,甚至進一步通過社會工程手段進行詐騙。
此外,黑客分子還利用密碼庫在網上支付平臺自動批量發起交易,如果恰好用戶泄露的注冊郵箱和密碼與網上支付賬戶的交易密碼相同,支付賬戶中的余額就會被轉移。
危害還不僅限于此。石曉虹指出,黑客經常利用密碼庫嘗試登錄QQ、MSN等聊天軟件賬號,向好友發送借錢詐騙消息,或者在微博等社交網站上嘗試登錄,由此產生出付費加粉絲、發布廣告信息或釣魚詐騙鏈接等多種獲利途徑。
此前,韓國也發生了前所未有的信息泄露事件,三大門戶網站之一Nate和社交網站“賽我網”遭黑客攻擊,3500萬用戶信息外泄。
IT專家洪波認為,從2007年就開始實行網絡實名制的韓國,在“密碼危機”面前選擇了回到原點——取消實名制。這或許給時下正在極力推行網絡實名制的我國政府一個啟示:目前實名制的好處不明顯,風險卻十分巨大,在目前互聯網技術架構下安全難以保障的情況下,政府需要重新審視實名制。
京公網安備 11010502049343號