网络大泄密(2)

2012年01月13日 12:43
来源：新世纪周刊作者：朱以师于达维叶逗逗徐超王姗姗

0人参与0条评论

乌云同时还报告称，网易163邮箱被人大面积“种植”后门程序，在账号管理界面的找回密码选项，会有陌生QQ号码绑定。但网易公司在12月29日发表声明称，“网易邮箱密码泄露”的说法纯属谣言。

12月28日，“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实。当当网的公告称：“经核实，网络公布的信息数据只有极小部分属实，且均系2011年6月之前的老数据，该部分数据是由于之前遭到网络黑客攻击被盗取。

乌云漏洞报告平台在12月28日也再次报告称，“支付宝用户大量泄露，被用于网络营销，泄露总量达1500万-2500万之多，泄露事件不明，里面只有支付宝用户的账号，没有密码”。支付宝随后回应称，支付宝账号不是私密信息，在很多地方都可以搜集到，只有账号没有密码，对用户资金安全没有任何威胁，“支付宝采取金融级的信息安全标准去保护用户信息及资金安全，我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有，以后也没有，请大家放心”

但12月29日，更吓人的消息又在网上疯传：交通银行、民生银行分别泄露用户资料7000万和3500万份，“卡号、姓名、密码都有”，并配有截图。当天下午，交通银行、民生银行分工商银行等分别发布公告辟谣，称“用户资料外泄的传闻纯属谣言”

当日晚间，又有网友披露称，广东省公安厅出入境政府服务网网上申请数据泄露，几乎所有提交网上申请用户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息均可查到，泄露的总信息量高达444万条。这一信息被广东省公安厅证实：2011年6月24日至2011年12月29日期间，在广东申请出入境的用户信息遭到泄露。

仅仅一个星期，泄密已经从CSDN一家网站的危机演化成为了席卷整个互联网的大事件。一时间，各大网站人人自危，真假数据库屡屡出现。国家互联网应急中心对所曝光的数据进行了抽查核实，发现部分数据是有效的，经过与相关网站、论坛联系后，确认CSDN社区、天涯社区两家网站发生了用户数据泄露事件，但泄露原因还有待进一步分析；对于其他网站、论坛联虽然曝光数据中个别条目有效，但不能判定发生了网站、论坛用户数据泄露事件。

金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示，根据他们从网上下载的数据库，剔除重复信息之后，有超过1亿条的用户信息在此次事件中泄露。

一位不愿具名的网络安全工程师也向财新《新世纪》记者证实，经过重合度分析、数据库格式判断等验证分析，基本可以断定“有十几家网站的数据库比较靠谱，应该是真实的”

大规模用户数据泄密后，各种“浑水摸鱼者”也随之而来。蒋涛告诉财新《新世纪》记者，一些人开始制造假的数据库来混淆视听；一些网站通知所有用户修改密码，以乘机激活“沉睡”用户；甚至一些网站把曝光的数据库直接导入自己的数据库，然后发通知给用户修改密码，不费吹灰之力即获得上千万规模的用户。当然，对用户影响最直接的是各种垃圾邮件、钓鱼邮件多了起来。

真正令人担心的是，或许还有更大规模的数据被地下黑客所掌握，只是没有公布而已。著名网络安全专家龚蔚(goodwell)公开表示，这次曝光的1亿多条用户账号及密码等相关信息，只是黑客所掌握数据的“冰山一角”，预计有将近4亿-6亿的用户账号信息在黑客地下领域流传。

翻过新年，此波网络账号信息泄密的浪潮仍有余波。1月4日，一位网络ID为“网路游侠”的浪白帽黑客”在自己的博客上发布了新浪的漏洞：新浪iask站点存在SQL注入漏洞，利用漏洞可以读取iask数据库内容，包括明文密码在内的7000多万新浪用户信息。由于新浪实行“全站一号登录”，黑客利用这个漏洞还可以获得新浪微博的相关账号信息。“网路游侠”以知名魔术师刘谦的微博为例，通过构造数据库查询语句就轻松获得了刘谦的账号及密码信息，并成功登录。当天晚间，刘谦在微博上转发该博客，证实此事。不过，“网路游侠”称，这个漏洞他是在1月1日发现，已及时通知新浪官方，并在新浪修复了该漏洞后才在博客上公布文章，供参考学习之用。

截至发稿，新浪方面对此事尚未做出回应。事实上，早在2010年10月，乌云漏洞平台就曾报告称新浪iask站点存在SQL注入漏洞的安全问题。

偶然中的必然

“这些数据库在黑客圈几年前就有了，这一次只不过是个比较集中的爆发”

是谁，在什么时候，拿走了这些涉及用户隐私的数据？原本隐秘在黑客圈的数据库缘何会曝光在公众面前？互联网是否还有安全可言？此轮网络大泄密，让这些问题成了普通互联网用户最自然的追问。

“这些数据库在黑客圈几年前就有了，这一次只不过是个比较集中的爆发。”安全宝CEO马杰对财新《新世纪》记者称，CSDN数据库的曝光看似偶然，实则必然。“冰冻三尺非一日之寒，互联网行业安全问题的累积已经太多了，迟早会爆发。”马杰在安全行业超过十年，曾任瑞星研发总经理，负责个人和企业的安全产品。

这也是网络安全行业人员近乎一致的观点。天融信公司高级安全顾问吕延辉向财新《新世纪》记者证实，最早在2008年时，就曾听说有一些网站的数据库在黑客圈流传。

本次密码信息最先被公布的CSDN社区，后来曾组织安全专家进行讨论，得知公司的数据库事实上早就在黑客的手上了。“并不是说这一刻先攻破了CSDN，放出数据库，然后下一刻攻破了天涯再放出数据库。而是这些数据他们手上一直都有，只不过抛出来的时间不一样。”蒋涛说。

天融信成都分公司技术负责人邹晓波称，早期的很多网站，都可以通过服务器渗透，取得后台数据库的权限，直接取得数据。“黑客圈内人都知道谁被盗了，他们不一定公布，但是会炫耀，在小范围内流传，大部分没有去获利。

CSDN社区数据库的曝光，曾经被指向一名ID为Hzqedison的金山公司员工，他分享数据库下载地址的截图最早在网上流传。12月22日，CSDN数据库外泄一事被广泛关注的时候，Hzqedison在新浪微博表示道歉。随后，金山公司也发表声明，金山员工并非网络上传言的黑客，并非最早对外发布密码库的第一人。

Hzqedison解释了事情的经过：“12月21日，我在一个聊天群里看到CSDN数据库的迅雷下载地址，就离线下载了该文件来检查自己账号是否被泄露。为了让同事们也检查，才做了分享贴到同事群里。5分钟后，该地址截图被发到了乌云漏洞报告平台上，得知后我立即删除了迅雷分享地址。因为删除很及时，该地址只有几名同事下载过，而且从未将数据库文件外泄。

李铁军告诉财新《新世纪》记者，据他了解，当时该金山员工上传CSDN数据库时，是“秒传”的，说明这个数据库文件在迅雷下载服务器中早已存在。

“是谁最早上传了这些数据库，现在已经很难确定。”李铁军说，除了CSDN的数据库，还有其他网站的数据库一起在网上流传。因为CSDN的影响力比较大，所以就传开了。

事实上，CSDN数据库曝光之前已有征兆。李铁军告诉财新《新世纪》记者，他在12月14日前后，即泄密事件发生的前一周，就已经注意到有很多网友在新浪微博上反映账号被盗，“这是黑客在用数据库去试探新浪的数据库，有些就撞到了”

马杰分析，这次曝光的网站数据库应该是最近几年间连续不断被刷库的。“安全圈也知道，这几年地下黑客圈在刷库，也知道一些数据库在黑客圈流传。

所谓刷库，是指黑客入侵网站服务器之后窃取用户数据库的行为，互联网业内也称其为“拖库”，取其谐音，也形象称之为“脱裤”(参见辅文“致命的漏洞”)。