密碼裸奔進(jìn)行時

“你改密碼了沒有？”不是調(diào)侃,不是搞笑，這樣的問候語是正在發(fā)生的事實。自從12月21日開發(fā)者技術(shù)社區(qū)CSDN的600萬用戶密碼外泄被曝光以來，多家國內(nèi)知名網(wǎng)站接踵而至，不同程度地被卷入了“密碼外泄”的傳言泥潭。一時間，網(wǎng)絡(luò)上風(fēng)聲鶴唳草木皆兵，隨便登錄一個常去的網(wǎng)站，往往劈頭就會撞上“重新設(shè)置密碼”的醒目提示。我們不妨用一句“老滾5”游戲中的流行語來描述這種現(xiàn)狀—“我從來不知道密碼也要天天修改，直到我的膝蓋中了一箭！”而這突如其來的第一箭，就是CSDN社區(qū)的600萬“被裸奔”賬戶。

技術(shù)社區(qū)被“爆庫”？

12月21日晚間，網(wǎng)上突然爆出一條消息：CSDN社區(qū)承認(rèn)有約600萬用戶密碼遭到外泄，且絕大部分是早年留存的明文密碼。

一石激起千層浪。

CSDN何許網(wǎng)站也？這四個字母是中國軟件開發(fā)聯(lián)盟（Chinese software develop net）的縮寫，也是中國最大的開發(fā)者技術(shù)社區(qū)。

某網(wǎng)友用一個想象出的場景來描述當(dāng)晚的情形—在某計算機專業(yè)的大學(xué)生寢室里，一個男生大叫道：“兄弟們，最新的日本某女星片子已經(jīng)下好，大家快過來看啊，相當(dāng)精彩??！”然而，這個寢室里的其他同學(xué)似乎對這哥們的再三邀請聽而不聞。因為大家都在眉飛色舞地談?wù)撝鳦SDN的明文密碼和用戶賬號泄露的事情，并在網(wǎng)上搜索下載CSDN那600萬的用戶數(shù)據(jù)……

“那一晚，全中國的程序員都在瘋狂地改密碼?！本W(wǎng)友“謝昊”的這條微博并不夸張。

因為CSDN的特殊地位，部分網(wǎng)友認(rèn)為這簡直是莫大的諷刺：“都什么年代了，還用明文密碼？”“一群技術(shù)青年竟然在一個如此沒技術(shù)含量的平臺上交流了那么多年！”

然而，隨后的一連串連鎖反應(yīng)顯示，這600萬數(shù)據(jù)的外泄也許只不過是露出海面的冰山一角。

600萬密碼折射的隱患

按照CSDN社區(qū)《公開道歉信》中的說法，由于時間久遠(yuǎn)的關(guān)系，一小部分用戶密碼確實采用了明文儲存。然而，這600萬密碼泄漏折射出的問題，絕不只有明文儲存而已。

在“開源中國”社區(qū)上，有網(wǎng)友針對網(wǎng)絡(luò)上流傳的CSDN外泄數(shù)據(jù)包進(jìn)行了分析，得出的結(jié)論讓人吃驚：

有近45萬的用戶使用123456789和12345678做密碼。有近40萬的用戶使用自己的生日做密碼。有近15萬的用戶使用自己的手機號做密碼。有近25萬的用戶使用自己的QQ號做密碼。設(shè)置成弱密碼的用戶占了590萬，也就是那種就算你用MD5或是SHA算法加密也能很快就被暴力破解出來的密碼。

只有8 000多個用戶的密碼長度大于8個字符，并包括了大寫字母、小寫字母和數(shù)字，而且不在字典表里。

即使在程序員云集的CSDN社區(qū)，他們設(shè)置的密碼也并沒有多高的安全系數(shù)。而且，太多人習(xí)慣用與個人信息相關(guān)的數(shù)字充當(dāng)密碼，一旦賬戶被破解或泄露，隨之陷入危險的還可能有用戶的手機號、QQ號甚至出生日期！

一般人的賬號密碼認(rèn)準(zhǔn)后基本不會變。也就是說，拿到CSDN社區(qū)的這份被盜資料后，就可以隨意登陸別人的郵箱、QQ、微博以及豆瓣，甚至破解出銀行密碼。

網(wǎng)友“林磊”做了一下實驗：“剛剛下載了那個文件，解壓后200多兆的文本。在里面搜了一下，自己的賬號果然在里面，用戶名、密碼、郵箱全部都在。頓時一陣無名火起，讓我們還怎么相信這些網(wǎng)站！”

“太丟人！”IT人“魚翅”一言以概之，“這次泄漏事件一出，就等于宣告程序員干不過黑客。”

“多米諾效應(yīng)”爆發(fā)

CSDN僅僅是一個原點，可能引發(fā)席卷整個互聯(lián)網(wǎng)的連鎖反應(yīng)，更多普通網(wǎng)民發(fā)現(xiàn)自己開始被卷入其中。一周之內(nèi)，天涯社區(qū)、新浪微博、騰訊QQ、京東商城、人人網(wǎng)、開心網(wǎng)、多玩游戲網(wǎng)、7k7k、世紀(jì)佳緣、珍愛網(wǎng)、美團(tuán)網(wǎng)、美空網(wǎng)和百合網(wǎng)等多家知名網(wǎng)站紛紛卷入“密碼泄露”的傳言。截至發(fā)稿時，來自奇虎360的最新監(jiān)測顯示，目前網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼已超過1億個。

就在這一周里，互聯(lián)網(wǎng)安全專家趙明（化名）在與網(wǎng)友的討論中得到一個迅雷下載鏈接。正當(dāng)他下載這個文件時，《迅雷》軟件右側(cè)的相關(guān)推薦里列出了7k7k網(wǎng)2 000萬、多玩游戲網(wǎng)800萬的數(shù)據(jù)包，他立刻同時下載。之后，這個列表還在不斷擴(kuò)大，天涯社區(qū)、嘟嘟牛、178和人人網(wǎng)等網(wǎng)站都已經(jīng)進(jìn)入推薦清單。

盡管人人網(wǎng)、開心網(wǎng)和7k7k等不少網(wǎng)站均對“被黑”一說予以否認(rèn)，稱從未使用明文密碼，但仍然提示“在CSDN或者其他論壇等使用相同賬號密碼則存在風(fēng)險，請盡快修改”。密碼外泄的“流感”一時引得網(wǎng)上人人自危，互聯(lián)網(wǎng)安全公司紛紛拉響紅色警報。

“我在天涯的賬號已經(jīng)被黑，無法登錄?！?2月26日，著名編劇寧財神在微博上宣布自己的天涯賬戶被盜，無法使用。除了寧財神，龍貓蓓、A弄月公子、蕊小蕊、東方_chi等眾多新浪微博用戶都稱發(fā)現(xiàn)自己的天涯賬號于近幾日被盜。

更嚴(yán)重的是，密碼被盜后，賬戶被黑客用來惡意發(fā)帖或進(jìn)行詐騙。新浪微博用戶“成都電臺陳露”表示，他的天涯賬號被盜后，居然被人用來在天涯的“情感天地”大發(fā)廣告！

事情到此還沒有結(jié)束，12月27日，網(wǎng)易163郵箱也傳出了“被黑”的消息。郵箱管理界面中被綁定了陌生的QQ號碼，有人認(rèn)為這是被攻擊的后門賬號。雖然網(wǎng)易隨后發(fā)出辟謠，表示此事子虛烏有，但看在已經(jīng)人心惶惶的網(wǎng)友眼中，自然很難做到無動于衷。和錢直接掛鉤的京東商城更是被爆出用戶信息大面積泄露，內(nèi)容包括姓名、地址、電話和Email等，被泄露后的用戶形同網(wǎng)上裸奔。

面對接踵而來的“多米諾效應(yīng)”，各網(wǎng)站聞風(fēng)而動，提示“盡快更改密碼”的安民告示幾乎隨處可見，各出招數(shù)應(yīng)對這波風(fēng)潮。

天涯社區(qū)就在網(wǎng)站首頁掛出了公告，澄清稱“泄露數(shù)據(jù)低于網(wǎng)上盛傳的4 000萬”，并稱已就此事向公安機關(guān)報案。

新浪微博在宣布密碼并未泄露后，很快推出了短信報警、登錄保護(hù)和賬號鎖定等功能。

網(wǎng)易宣布其自主研發(fā)的人臉識別系統(tǒng)已經(jīng)取得核心技術(shù)突破，明年上半年將用在郵箱等產(chǎn)品上（要求用戶在終端擁有攝像頭，通過攝像頭捕捉人臉信息進(jìn)行比對），并逐漸推廣。

騰訊方面發(fā)布聲明稱，已對泄密的QQ郵箱賬號限制登錄。請這部分用戶登錄時根據(jù)提示，在QQ安全中心使用密保工具箱來修改密碼。同時建議用戶定期修改密碼，盡量不要在多個重要賬戶中使用雷同密碼，避免賬號被盜。

人人網(wǎng)表示，對于密碼風(fēng)險特別高的用戶，該網(wǎng)站將暫時凍結(jié)賬號的使用，以待其聯(lián)系客服加強安全措施方可正常使用。

支付寶則向媒體表示，由于其功能對保密的要求比一般的互聯(lián)網(wǎng)社區(qū)網(wǎng)站更高，支付寶早就推出了專門的密碼安全控件。該安全控件實現(xiàn)了在SSL加密傳輸基礎(chǔ)上對用戶的關(guān)鍵信息進(jìn)行再次多重加密。

同時，很多網(wǎng)游公司在登錄時也都新加入了輸入驗證碼一項，以加強安全。

金山員工是始作俑者？

事情走到這一步，知名網(wǎng)站紛紛卷入。但事件的源頭到底是怎么一回事？曾有網(wǎng)友爆出，最早在迅雷公開提供數(shù)據(jù)庫下載的人為金山公司員工。

早在CSDN社區(qū)密碼遭泄的第二天，也就是12月22日，網(wǎng)上傳播的圖像顯示，有QQ用戶曾于21日下午2時許，在QQ群內(nèi)發(fā)布CSDN數(shù)據(jù)包的迅雷快傳鏈接。12月23日凌晨，一名ID為hzqedison的新浪微博用戶承認(rèn)，其本人是該文件的上傳者，并表示道歉。

為了洗清嫌疑，涉嫌“泄密”的當(dāng)事人韓斌（化名）曾向媒體講述事情的全過程。

韓斌表示，12月21日下午2時許，他在一個網(wǎng)絡(luò)安全相關(guān)的QQ群內(nèi)，看到了CSDN用戶賬號密碼的迅雷下載文件。由于他本人也是一名技術(shù)人員，并且是CSDN注冊用戶，因此他馬上將該文件下載，以查閱自己的賬號是否被盜。

“果然在里面查到了我的賬號！我的很多同事也是這個網(wǎng)站的注冊會員，我想把這份東西共享給他們，如果他們查到自己的賬號被泄，好快去更改密碼。于是我把QQ群內(nèi)要用迅雷專用工具下載的鏈接，轉(zhuǎn)化成了迅雷快傳的下載鏈接，并且發(fā)到了一個朋友圈內(nèi)的QQ群里?！?/p>

令韓斌大吃一驚的是，僅僅過了不到十分鐘，他所發(fā)布的相關(guān)內(nèi)容就被人截圖，并發(fā)布在了專業(yè)安全網(wǎng)站“烏云”（wooyun. org）上。“據(jù)我猜測，我把東西發(fā)在QQ群里后，又有人在不同的QQ群內(nèi)轉(zhuǎn)播，所以才會傳播出去。”韓斌說。

“我當(dāng)天就刪掉了迅雷上的文件，但沒想到事情會影響得這么大，很快有人策劃新聞，也有水軍來轉(zhuǎn)發(fā)、罵我。現(xiàn)在連我父母都打電話問我，我只能告訴他們我確實沒有做過這樣的事。我很愛我的工作，真的不想失去它?！表n斌的話語斷斷續(xù)續(xù)，聲音微微發(fā)顫。

12月26日，金山網(wǎng)絡(luò)發(fā)表聲明，承認(rèn)韓斌確為其公司員工，但同時表示，該員工并非在網(wǎng)絡(luò)上被“千夫所指”的黑客，也不是最早泄露用戶數(shù)據(jù)的人。

“事件絕對不是金山引起的，我們已經(jīng)掌握了始作俑者的部分資料?！苯鹕骄W(wǎng)絡(luò)公關(guān)部門相關(guān)負(fù)責(zé)人說。

撲朔迷離的“真相”

隨后，又有網(wǎng)友發(fā)現(xiàn)，早在12月4日，就有ID為“臭小子”的用戶在前述的專業(yè)安全網(wǎng)站“烏云”上發(fā)布了一份“中國各大站點數(shù)據(jù)庫曝光”的漏洞概要，截圖中也包括最早被泄露的CSDN相關(guān)數(shù)據(jù)庫。只是在當(dāng)時，這份截圖并沒有引起廣泛的關(guān)注。

那么，這才是本次風(fēng)波真正的源頭？遺憾的是，自從12月23日，“臭小子”在百度空間上發(fā)表名為《網(wǎng)上那些事和我無關(guān)！》的博客公告之后，始終沒有再出現(xiàn)在公眾的面前。即使在那篇博客中，他也只說“在這里我表示歉意，里面的數(shù)據(jù)庫我真的沒有，數(shù)據(jù)庫真的不是我搞的，我也沒有搞過?！?/p>

山重水復(fù)疑無路，料不到的是柳暗花明又一村。12月28日，CSDN創(chuàng)始人蔣濤公開指出遭遇上市公司栽贓，并公布被曝庫數(shù)據(jù)重合度對比，其目標(biāo)直指人人網(wǎng)。

在連續(xù)發(fā)表的微博中，蔣濤還寫道，密碼泄密事件發(fā)生迄今，僅CSDN第一時間公開道歉并通知用戶，其他人沉默或否認(rèn)。他還表示，一些網(wǎng)站還趁機渾水摸魚，將這些公開庫的數(shù)據(jù)直接導(dǎo)入自己用戶庫，也發(fā)通知給用戶改密碼，此外，釣魚網(wǎng)站和垃圾郵件都活躍了起來。

截至本刊發(fā)稿時止，事件的真相暫時還沒有水落石出，但后果卻是可以預(yù)想的。一位不愿具名的安全行業(yè)資深人士指出，泄密事件將造成持續(xù)連鎖反應(yīng)?！耙郧坝泄疽o網(wǎng)民發(fā)垃圾郵件，還要去購買有效用戶的信息，現(xiàn)在他們完全不用買了。我估計在未來一段時間內(nèi)，中國網(wǎng)民將會接收到大量的垃圾郵件。此外，也會有部分用戶存在銀行密碼被盜用的危險。”