2011年中國網站用戶信息泄露事件
事件經過
2011年12月21日,互聯網上傳出開發者社區CSDN遭黑客攻擊,600萬用戶帳號及明文密碼泄露,用戶資料被大量傳播[1]。
之後CSDN先後在其官方網站上發佈了聲明和公開道歉信解釋事件原因,稱已經向警方報案並提醒用戶更改密碼[2][3]。
12月22日,網上傳言最早流出數據的是金山公司員工hzqedison [4][5],hzqedison後在其微博解釋說只是偶然在互聯網上發現後在內部共享時不慎導致數據大面積流出,對此向網民道歉[6]。
12月23日6時36分,中央電視台新聞頻道《朝聞天下》節目報道了CSDN等多家網站用戶信息泄露的消息[7]。
12月23日,金山公司對金山員工hzqedison為CSDN密碼庫黑客的傳言發表聲明[8]。 金山公司推出密碼泄露快速查詢工具[9]。有律師質疑金山公司持有用戶數據提供公開查詢服務是否合法[10]。
12月25日,事件繼續升級,烏雲網再次爆出天涯社區4000萬用戶資料泄露,用戶明文密碼泄露[11][12][13]。 之後天涯社區在網站上發表致歉信[14][15]。
12月27日17時34分,中央電視台新聞頻道《新聞直播間》節目報道了天涯社區遭遇黑客攻擊,大量用戶帳號密碼泄露的消息。天涯社區工作人員稱黑客攻擊可以確認,但泄漏數量並非傳言的4000萬那麼多,天涯社區已就此事向公安機關報案,並通過微博、郵件、短訊等渠道向用戶致歉[16]。
12月28日,有黑客在烏雲網提報京東商城網站存在用戶信息完全泄露漏洞,京東商城回應將馬上處理[17]。
12月29日,京東商城發表聲明回應稱並未發現有安全漏洞存在,也沒有發現數據泄漏情況[18][19]。
12月29日,傳言當當網1200萬完整用戶數據已經泄露,包括用戶真實姓名、註冊郵箱、收貨地址、電話等信息。後當當網發表聲明稱:「經核查網絡公佈的信息僅有極小部分屬實,為此前黑客攻擊所竊取,已就此事向當地公安機關報案」[20]。
12月29日,有消息稱支付寶平台也遭泄露,但只包含用戶賬號名,不含其他信息。支付寶官方回應稱:賬號名並非私密信息,用戶資金安全不會受到任何威脅,並表示不會有人能竊取支付寶用戶的密碼等個人信息[20]。
12月30日,先後爆出多家網站存在安全漏洞而數據泄露消息的烏雲網[21]宣佈,將進行網站升級調整漏洞處理流程及公開機制而暫時關站[22]。
2012年1月4日,白帽黑客「張百川」在其個人博客「遊俠安全網」[23]上發佈消息表示新浪愛問存在SQL注入漏洞,利用漏洞可讀取數據庫內的約7000萬用戶帳號、明文密碼等信息,漏洞詳情發出前已通知新浪修復了該漏洞[24]。新浪愛問知識人產品微博承認了存在漏洞,可能導致約30萬登錄過愛問的新浪賬號存在盜號風險[25][26]。但安全軟件公司瑞星表示可能泄露的用戶數超過7000萬[27]。
應對措施
2011年12月23日,網易郵箱官方表示已通過多種渠道向CSDN泄露事件中信息被泄露的網易郵箱用戶發出提醒修改密碼的通知[28]。
2011年12月23日,迅雷公司稱已經在所有迅雷平台上全面屏蔽CSDN泄露數據的搜索、下載和分享,防止違法涉密內容的傳播。並加強了對迅雷用戶帳號、密碼數據庫的保護工作[29]。
2011年12月28日,中國工業和信息化部發佈了「工業和信息化部關於近期部分互聯網站信息泄露事件的通告」,表示強烈譴責竊取和泄漏用戶信息的行為,稱事件發生後已立即啟動了緊急預案,組織相關單位了解事件情況、評估事件影響和危害、研究應對措施,並要求各網站加強安全工作,發生用戶信息泄露的網站做好善後工作向用戶發出警示[30][31][32][33]。
2011年12月30日,中國互聯網協會召開「網站用戶信息保護研討會」,與會代表通報各自單位用戶信息安全情況,針對信息安全工作探討和提出建議,並呼籲業界提高社會責任感,加強用戶信息安全工作[34]。
2011年12月31日,瑞星公司針對泄密事件發佈網站密碼保護方案「瑞星網站密碼安全檢測系統」,網站管理員可免費註冊使用該系統對網站安全性進行深度檢測,並得出分析報告和修復建議[35][36]。
此外還有多家網站先後通過網站、微博、電子郵件等渠道發佈公告,提醒網民注意修改密碼確保安全[37]。
調查和處理結果
2012年1月10日,北京市公安局外宣處工作人員表示已有兩名「CSDN泄密門」涉案黑客被抓,因仍有涉案人員未歸案,案情細節不便公佈。並還表示此次泄密與實名制無關[38]。
同日國家互聯網信息辦公佈了近期一些泄露事件的查處情況[38]:
- CSDN和天涯社區網站曾在2009年被入侵並遭到數據泄漏,網站近期並未遭到攻擊,公安機關正在對事件進行追查。
- 京東商城網站確遭到入侵但數據未被泄露。犯罪嫌疑人要某(網名「我心飛翔」)於2011年4月發現京東商城網站存在安全漏洞,2011年12月29日要某在烏雲網發帖稱掌握了京東商城的漏洞,然後私下以公佈漏洞為要挾向京東商城敲詐270萬元人民幣。要某因涉嫌敲詐勒索已被依法刑事拘留。
- YY語音網站泄露經查為公司員工利用職務之便從公司內部備份數據庫所竊取,網站並未被入侵,事件正在處理中。
- 網上傳言的工商銀行等金融機構數據泄露的消息為網友王某為提高網站知名度和自我炒作憑空捏造,王某已被公安機關予以訓誡。
- 網上流傳的新浪微博、開心網、7K7K網站、當當網、凡客誠品等網站泄露數據系有人利用網絡遠程大規模猜解所破解,網站均未被入侵。實施破解的嫌疑人身份已被鎖定,公安機關正實施抓捕。
事件影響
大規模的泄密事件影響了網民對中國網絡信息安全的信心,可能讓網民對網上銀行、網上購物、實名制制度等事物採取牴觸情緒[39]。 此外泄露的數據可能被黑客利用,造成財物損失、私隱泄漏、收到更有針對性的電話推銷和垃圾郵件等。 一些安全軟件公司也藉機製作針對性的軟件並推銷其安全產品[40]。
各網站的聲明
- 新浪表示沒有微博賬戶信息泄露[41]。
- 嘟嘟牛表示網上流傳的嘟嘟牛用戶資料和嘟嘟牛沒有任何關係[42]。
- 7k7k表示未發現用戶信息泄露[43]。
- 人人網:12月22日人人網官方微博表示人人網從未記錄過明文密碼[44]。12月26日人人公司發表官方聲明稱「人人網自建站以來,從未以明文方式存儲用戶的賬號和密碼,沒有任何用戶數據通過人人網對外泄露,目前網上可供下載的人人網用戶數據經測試並非人人網賬戶信息」[45]。
- 貓撲表示未記錄明文密碼,未涉及用戶數據泄露[46]。
- 京東商城表示並未發現有安全漏洞存在,也沒有發現數據泄漏情況[19]。
- 網易表示並無漏洞,沒有出現帳號信息泄露情況[19]。
- 當當網表示僅有極小部分信息泄露,已向公安機關報案[20]。
- 支付寶表示沒有任何用戶個人信息泄露[20]。
網站數據泄露情況
已證實有數據泄露的網站
官方確認數據並未泄露的網站
參考文獻
- ^ CSDN遭黑客公开数据库 600余万用户资料泄密. 成都晚報. [2011-12-26]. (原始內容存檔於2012-01-08).
- ^ [公告]关于12月21日CSDN用户数据泄露一事的声明. CSDN. [2011-12-21].[失效連結]
- ^ 【公告】致CSDN会员的公开道歉信. CSDN. [2011-12-21]. (原始內容存檔於2011-12-22).
- ^ CSDN泄密源头疑为金山员工?职业道德遭质疑. 搜狐. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ “CSDN泄露门”续:上传者为金山员工 金山数据库也被外泄. 重慶晚報第一眼. [2011-12-26]. (原始內容存檔於2012-01-05).
- ^ hzqedison的微博. 新浪微博. [2011-12-26]. (原始內容存檔於2020-05-16).
- ^ 7.0 7.1 多家网站被曝用户数据库泄露 600万用户信息被公开. 中央電視台朝聞天下. 2011-12-23 [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ 金山毒霸的微博. 新浪微博. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ 密码泄露快速查询. 金山網絡. [2011-12-26]. (原始內容存檔於2011-12-25).
- ^ CSDN泄密门是金山员工所为 律师:应追刑责. 搜狐. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ weibo.com/1981622273/xDEP04iGU. [2011-12-26]. (原始內容存檔於2012-01-08).
- ^ 天涯社区4000万用户资料. 烏雲網. [2011-12-26]. (原始內容存檔於2020-08-08).
- ^ [快讯]天涯4000万用户明文密码泄漏. cnBeta. [2011-12-26]. (原始內容存檔於2016-03-04).
- ^ 天涯社區. 对用户的致歉信. 天涯社區. [2011-12-26]. (原始內容存檔於2012-01-08).
- ^ 天涯社区用户密码遭黑客泄漏 涉及4000万用户隐私. DoNews. [2011-12-26]. (原始內容存檔於2020-08-08).
- ^ 16.0 16.1 天涯社区遭遇黑客 用户密码泄漏. 中央電視台新聞直播間. 2011-12-27 [2011-12-27]. (原始內容存檔於2020-08-07).
- ^ 京东用户数据外泄!京东官方承认有漏洞. 太平洋電腦網. [2011-12-28]. (原始內容存檔於2020-08-07).
- ^ 京东否认卷入“泄密门”. 北京日報. 2011-12-29 [2011-12-29]. (原始內容存檔於2013-04-29).
- ^ 19.0 19.1 19.2 被传密码泄露 京东网易双双否认. 羊城晚報. 2011-12-28 [2011-12-29]. (原始內容存檔於2013-04-26).
- ^ 20.0 20.1 20.2 20.3 泄密门升级:当当网中招支付宝否认. 東方早報. 2011-12-29 [2011-12-29]. (原始內容存檔於2012-01-10).
- ^ WooYun.org | 自由平等的漏洞报告平台. [2011-12-26]. (原始內容存檔於2010-10-26).
- ^ 因公布多家网站存漏洞乌云平台暂关闭 双刃剑尺度难拿捏. IT商業新聞網. [2012-01-11]. (原始內容存檔於2012-01-11).
- ^ 张百川(网路游侠) - 信息与网络安全博客. [2012-01-11]. (原始內容存檔於2020-11-29).
- ^ 2012年新浪微博用户密码泄露漏洞(图片解析). [2012-01-11]. (原始內容存檔於2012-01-08).
- ^ weibo.com/1130357710/xFimqnkVW. [2012-01-11]. (原始內容存檔於2020-08-07).
- ^ 新浪爱问存漏洞泄密7000万 被质疑撒谎. IT商業新聞網. [2012-01-11]. (原始內容存檔於2012-01-11).
- ^ 新浪账号被盗 刘谦直呼“惨了”. 錢江晚報. 2012-01-06 [2012-01-11]. (原始內容存檔於2013-04-29).
- ^ 网易邮箱声明:已对260万用户给予密码修改提示. DoNews. 2011-12-23 [2011-12-28]. (原始內容存檔於2020-08-08).
- ^ 迅雷:全面屏蔽CSDN泄露数据 保障网民信息安全. DoNews. 2011-12-23 [2011-12-27]. (原始內容存檔於2020-08-08).
- ^ 工业和信息化部关于近期部分互联网站信息泄露事件的通告. [2011-12-29]. (原始內容存檔於2012-08-05).
- ^ 中国工信部:近期密码泄露事件危害互联网安全. 中新社. 2011-12-28 [2011-12-28]. (原始內容存檔於2020-08-08).
- ^ 工信部:各互联网站要开展全面的安全自查. 新華網. 2011-12-28 [2011-12-28]. (原始內容存檔於2013-04-28).
- ^ 工信部谴责信息泄露事件 要求涉事网站警示用户. 法制日報. 2011年12月29日 [2013-02-02]. (原始內容存檔於2020-03-23).
- ^ 互联网协会回应“泄密门”事件. 中國信息產業網-人民郵電報. [2012-01-11]. (原始內容存檔於2020-08-07).
- ^ 瑞星针对泄密事件发布首个网站密码保护方案. TechWeb. [2012-01-11]. (原始內容存檔於2020-08-08).
- ^ 瑞星发布首个网站密码保护方案. 國際金融報. 2012-01-05 [2012-01-11]. (原始內容存檔於2016-03-04).
- ^ [2011第164期]多家网站用户数据泄露 360提示网民修改密码. 360安全中心. [2012-01-11]. (原始內容存檔於2012-01-12).
- ^ 38.0 38.1 38.2 38.3 38.4 38.5 38.6 38.7 互联网泄密案两名黑客落网. 華西都市報. 2012-01-10 [2012-01-10]. (原始內容存檔於2012-01-13).
- ^ 电子商务行业深陷泄密门信誉遭质疑. 經濟參考報. 2012年1月6日 [2012-01-11]. (原始內容存檔於2020-04-24).
- ^ 瑞星发布网站密码保护方案 防泄密门再次发生. 騰訊科技. [2012-01-11]. (原始內容存檔於2020-08-07).
- ^ 新浪否认微博账户信息泄露. 北京晚報,發佈於中國網絡電視台. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ 【辟谣】关于资料泄漏的声明. 嘟嘟牛. [2011-12-26]. (原始內容存檔於2012-01-08).
- ^ weibo.com/1780423933/xDdr9Fn3n. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ weibo.com/1716488301/xDbhu35hW. [2011-12-26]. (原始內容存檔於2020-08-07).
- ^ 人人公司官方声明:未泄露任何用户数据. DONEWS. 搜狐IT. [2011-12-28]. (原始內容存檔於2020-08-07).
- ^ 猫扑称未记录明文密码 未涉及用户数据泄露. [2011-12-26]. (原始內容存檔於2020-05-16).
- ^ 网传工行交行民生银行上亿用户数据泄露 工行交行民生等迅速辟谣. 北京日報. 2011-12-30 [2013-02-02]. (原始內容存檔於2013-04-29).
- ^ 网传交行民生工行用户信息泄漏 银行予以否认. [2013-02-02]. (原始內容存檔於2013-04-29).
- ^ 中国银行业协会声明称用户数据泄露传闻失实. [2013-02-02]. (原始內容存檔於2020-03-23).