首页 >法律

泄密门升级天涯四千万用户数据外泄

2019-03-14 03:03:19 | 来源: 法律

继前几日CSDN站被爆出明文存储的用户数据库被窃取之后,今天上又爆出天涯社区4000万用户资料泄露,账号密码邮箱明文保存,该资料已经上传播,初步验证为有效数据。

天涯社区自称是 全球影响力的中文论坛 ,创办于1999年,目前,天涯社区注册用户超过6000万,在国内社区型站颇具人气,而此次泄漏的用户数量达到总数的60%以上。

据天涯新浪微博上的介绍,由于历史原因,天涯社区早期使用过明文密码,2010年之后改成了加密密码。此次遭到黑客泄漏的用户便是2009年保存的备份数据。

该份高达386M的泄漏文件 天涯数据.kz 经过下载验证,里面保存了天涯的用户名、密码、邮箱三个数据,根据泄漏的天涯用户名和密码测试,大部分都可以可直接登录到天涯社区。从密码的构成看,泄密的密码很多并非是弱密码,而是8位以上的强密码,因此可以认为天涯的确是以明文方式保存的用户密码。

明文存储密码这种蠢事原来并不是CSDN一家站的个例,大名鼎鼎的天涯社区竟然也这么干,并且在2010年才修正,以前的明文密码也不清除,如此对待用户的个人隐私,天涯实在是令人大跌眼镜。现在用户真的需要扪心自问,中国的那些所谓的大站,你究竟还信任哪一家?

传的一份天涯用户密码文件,经验证有效

因此,曾经注册过天涯社区的用户,如果你在天涯的用户和密码也在其他站使用,那么请立刻修改你的密码为一个新密码,密码设置方法参见我早先的文章《个人密码安全策略》。

此外,据天涯称2009年才明文保存密码,但据我所致,有用户2010年注册,依旧是明文保存的密码,因为无法确认天涯目前是否还是明文保存密码,我建议天涯用户修改密码的时候,不要和其他站的密码一样,不要填写一个已知的强密码,以免泄漏更多的信息。

目前,天涯社区已经在新浪微博上就4000万用户密码泄露一事发布声明和对用户的致歉信,称已向公安机关报案,并呼吁用户修改密码。以下是声明:

关于天涯社区部分用户账号被泄露的声明:

由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据。2010年之后,我们升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。

对用户的致歉信

尊敬的天涯社区用户: 我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家站的部分用户数据库外泄,天涯也是受害站之一。为确保您的隐私及帐户安全,在此,我们恳请您尽快修改天涯社区相关帐户的密码。我们已经在个人首页发出提示修改密码的公告。

如果您在其他站也使用同一密码,请务必同时修改更新。目前天涯社区已向公安机关报案,公安机关也正在调查相关线索。 再次向您致以深深的歉意!

天涯社区的声明和道歉信,内容看起来和早先CSDN的差不多一样,估计天涯的人比较忙

忘记在哪看到的一个统计,说是国人密码是多字母+数字组合的。这种情况下数字往往有规律,比如生日,,纪念日,或是…银行密码,从社会工程学的角度来讲,这次明文密码泄漏是一次大馅饼。

2011/12/26 16:25:57 支持(32)反对(26) 回复

中国的老站,系统已经被改得一塌糊涂而无人有胆量去处理,出现这些事并不出奇,因为这些站的管理员估计自己都不了解系统整体运作情况,而且每天睡觉还很安宁 于 10:20:21 回复从技术上来说,把密码从明文改成Hash很简单的。

甚至动态的改都不是问题(动态指用户登录时,没转换的转换,转换了的忽略)

2011/12/26 0:37:41 支持(22)反对(18) 回复

期待腾讯的数据泄露zbg 于 0:27:41 回复腾讯貌似是md5值的,我以前做过登陆器,只要提交md5就可以登陆了重庆长峰医院 于 9:58:24 回复腾讯的出来就好玩啦 为什么我们就不能告站运营没保护好我们的隐私呢

2011/12/25 23:02:42 支持(23)反对(21) 回复

早在5年前进大学的时候就设计了一套密码系统,普通站全部用低级密码,专用注册邮箱),还有1级,2级密码,本机密码4套,不过CSDN因为要8位数密码,结果用了1级密码。这次除了密码,别的全部换掉,不过意义不大。

2011/12/26 11:57:14 支持(20)反对(18) 回复

这些所谓的号称 "全球"、"国际"、"宇宙"的门户站,真不知道你们是如何管理的,

泄密门升级天涯四千万用户数据外泄

用户如此重要的信息,你们使用明文,这个做法,我只能说是不道德的,可是你们失去的是用户的信任。络隐私、资产也应受到法律保护。

2011/12/26 13:52:28 支持(22)反对(21) 回复

好像用邮箱绑定天涯帐号时没要求输入邮箱的密码吧。那大家还慌什么?没事的,邮箱是安全的,只要邮箱在什么都在,当然了,要是你把天涯账户密码设置成你的邮箱密码了,那么就恭喜你了,呵呵~~另外,告诉大家,很安全,毕竟是从盗号风暴中坚挺过来的,绑定个,密码就可以设置成的,没有会去尝试你的密码。

2011/12/27 9:43:53 支持(27)反对(28) 回复

近密码事件真的超出了我的想像,我也爆个料吧,用友NC的密码虽然加密了,但却是可逆的,不知道这个是否符合财务软件的安全规范?再引申思考一下,为什么中国这么大的站和软件公司对用户密码都是如此处理?是技术能力不足?是重视不够轻率而为?还是必须这样做?!

2011/12/26 10:57:51 支持(24)反对(26) 回复

但凡含真实身份的密码都是独一的,且多个含真实身份的帐户间密码应该不一致。我觉得应该庆幸的是,多年前因国外软件兼容问题逼迫着在某高真实度帐户使用非常规密码(且由于懒多年未更新)居然从今天的结果来看是达到了高安全性

2011/12/26 16:41:58 支持(17)反对(19) 回复

昨天把CSDN的帐号,和注册邮箱的密码改了,刚才又把天涯的帐号和注册邮箱的密码改了。还有许多帐号,银,淘宝,论坛等等许多帐号。真是伤不起啊!我怀疑这些站搞明文密码是不是钓鱼啊!涉嫌窥探用户隐私啊!艹

2011/12/26 1:38:35 支持(15)反对(23) 回复

我2010年在天涯社区注册了一个账号,近该账号及对应邮箱收到色情邮件,这个账号和对应邮箱应该都是仅仅用于天涯社区的,决不可能是其他渠道,由此可见天涯社区至少还泄露了2010年的用户名和邮箱。

2011/12/26 16:49:11 支持(18)反对(28) 回复

(*)

验证(*)

猜你喜欢