本篇文章1723字,读完约4分钟
Csdn不是唯一有这个问题的。由于缺乏对安全的关注,许多快速发展的互联网公司无意中为自己埋下了潜在安全隐患的种子。 昨天,曾引起业界关注的csdn网站用户数据泄露事件被宣布曝光。北京警方对csdn网站未执行国家信息安全等级保护制度导致的用户信息泄露事件进行了行政警告处罚,这是中国信息安全等级保护制度实施以来首次发出“罚款”。 csdn成立于1999年,是中国最大的it知识服务集团。目前,该网站拥有2000万注册用户,50万注册企业和合作伙伴,日访问量约2000万次。[/h 6亿用户被泄露 去年12月21日,一位网友爆出国内程序员社区csdn安全系统遭到黑客攻击的消息,csdn数据库中600万用户的登录名和密码被泄露。随后,天涯社区、嘉园、Kaixin.com等十多个中国知名网站的近5000万用户的信息被黑客在互联网上发布。 有一段时间,很难判断这个消息是真是假,互联网上的每个人都处于危险之中。 根据国家互联网应急中心(cncert)的统计,有26个疑似泄露的数据库,涉及2.78亿条账号和密码信息。 csdn在微博上证实了这起事故,并表示已经报案。关于大规模用户数据泄露,csdn回应称,经过初步分析,csdn在2009年将该数据库用作备份。 警方调查显示,犯罪嫌疑人承认在2010年4月利用csdn网站的漏洞非法入侵服务器获取用户数据,并承认入侵某个充值平台和某个股票系统的犯罪事实。 这种行为被称为“拖库”,这意味着黑客将网站服务器上的数据库秘密下载到自己的计算机上;在数据库冲突的情况下,黑客试图登录不同的平台,如电子支付、微博、聊天、购物等。通过拖动数据库获得大量的注册邮箱和密码,如果有人习惯使用相同的注册邮箱和密码,他们将很容易被黑客入侵数据库。 同时,北京警方对csdn网站进行了调查,发现未落实国家信息安全等级保护制度、安全管理制度和技术保护措施落实不到位是用户信息泄露的主要原因。 北京市公安局根据《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)第二十条第(1)款的规定,对csdn网络运营公司提出具体整改要求,并对北京创新乐智信息技术有限公司进行行政警告处罚。 杭州安恒信息科技有限公司向csdn提供的审计报告显示,csdn网站开源系统等第三方系统存在第三方系统漏洞、旧系统失效、应用程序漏洞、系统后台认证等四大问题,使其网站存在安全隐患,暴露出大量信息。csdn创始人江涛曾承认:“csdn对敏感信息不敏感,缺乏安全意识。”当csdn只有不到100台服务器,注册信息只包括邮箱和密码时,他曾经认为注册信息不太私密,不会引起黑客的兴趣。 “整个事件中最不可思议的是,像csdn这样以程序员和开发人员为核心的大型网站实际上使用明文存储密码。”专业的it博客“月光博客”写道:“对编程知之甚少的程序员知道,为了用户的安全,用户密码的加密信息应该保存在数据库中。最简单的md5(密码+随机字符串)通常类似于UC。像ucenter这样的论坛会再次对这些信息进行md5,所以即使黑客下载了数据库,破解用户密码也不容易。” csdn不是唯一有此问题的。由于缺乏对安全的关注,许多快速发展的互联网公司无意中为自己埋下了安全风险的种子。据江涛介绍,目前,整个互联网的安全形势极其悲观:70%以上的加密算法密码库可以通过高频碰撞破解,80%以上的互联网公司存在漏洞,60%以上有安全政策的公司仍然存在漏洞。地下数据库显示,网站暴露出的问题甚至更多。 今年1月以来,北京警方对全市106个互联网网站进行了信息安全检查,现场发现并整改了206个安全隐患。然而,360网站安全检测平台发现,36%的网站存在高风险漏洞,16%的网站存在中等风险漏洞,总比例为52%。国内网站的安全防护能力还有待提高。 今年1月,csdn和阿里巴巴云结成战略伙伴关系,共同打造一个安全可靠的开发商服务平台。当时,江涛反思道:“如何让开发商信任csdn,如何提高开发商的安全技能,如何为开发商创造价值,这是csdn安全事件后反思的主题。”“ 互联网安全仍然是一个紧迫的问题。天涯昨日告诉记者,目前在用户数据泄露方面没有进展。
