2011年中国网站用户信息泄露事件
事件经过
2011年12月21日,互联网上传出开发者社区CSDN遭黑客攻击,600万用户帐号及明文密码泄露,用户资料被大量传播[1]。
之后CSDN先后在其官方网站上发布了声明和公开道歉信解释事件原因,称已经向警方报案并提醒用户更改密码[2][3]。
12月22日,网上传言最早流出数据的是金山公司员工hzqedison [4][5],hzqedison后在其微博解释说只是偶然在互联网上发现后在内部共享时不慎导致数据大面积流出,对此向网民道歉[6]。
12月23日6时36分,中央电视台新闻频道《朝闻天下》节目报道了CSDN等多家网站用户信息泄露的消息[7]。
12月23日,金山公司对金山员工hzqedison为CSDN密码库黑客的传言发表声明[8]。 金山公司推出密码泄露快速查询工具[9]。有律师质疑金山公司持有用户数据提供公开查询服务是否合法[10]。
12月25日,事件继续升级,乌云网再次爆出天涯社区4000万用户资料泄露,用户明文密码泄露[11][12][13]。 之后天涯社区在网站上发表致歉信[14][15]。
12月27日17时34分,中央电视台新闻频道《新闻直播间》节目报道了天涯社区遭遇黑客攻击,大量用户帐号密码泄露的消息。天涯社区工作人员称黑客攻击可以确认,但泄漏数量并非传言的4000万那么多,天涯社区已就此事向公安机关报案,并通过微博、邮件、短信等渠道向用户致歉[16]。
12月28日,有黑客在乌云网提报京东商城网站存在用户信息完全泄露漏洞,京东商城回应将马上处理[17]。
12月29日,京东商城发表声明回应称并未发现有安全漏洞存在,也没有发现数据泄漏情况[18][19]。
12月29日,传言当当网1200万完整用户数据已经泄露,包括用户真实姓名、注册邮箱、收货地址、电话等信息。后当当网发表声明称:“经核查网络公布的信息仅有极小部分属实,为此前黑客攻击所窃取,已就此事向当地公安机关报案”[20]。
12月29日,有消息称支付宝平台也遭泄露,但只包含用户账号名,不含其他信息。支付宝官方回应称:账号名并非私密信息,用户资金安全不会受到任何威胁,并表示不会有人能窃取支付宝用户的密码等个人信息[20]。
12月30日,先后爆出多家网站存在安全漏洞而数据泄露消息的乌云网[21]宣布,将进行网站升级调整漏洞处理流程及公开机制而暂时关站[22]。
2012年1月4日,白帽黑客“张百川”在其个人博客“游侠安全网”[23]上发布消息表示新浪爱问存在SQL注入漏洞,利用漏洞可读取数据库内的约7000万用户帐号、明文密码等信息,漏洞详情发出前已通知新浪修复了该漏洞[24]。新浪爱问知识人产品微博承认了存在漏洞,可能导致约30万登录过爱问的新浪账号存在盗号风险[25][26]。但安全软件公司瑞星表示可能泄露的用户数超过7000万[27]。
应对措施
2011年12月23日,网易邮箱官方表示已通过多种渠道向CSDN泄露事件中信息被泄露的网易邮箱用户发出提醒修改密码的通知[28]。
2011年12月23日,迅雷公司称已经在所有迅雷平台上全面屏蔽CSDN泄露数据的搜索、下载和分享,防止违法涉密内容的传播。并加强了对迅雷用户帐号、密码数据库的保护工作[29]。
2011年12月28日,中国工业和信息化部发布了“工业和信息化部关于近期部分互联网站信息泄露事件的通告”,表示强烈谴责窃取和泄漏用户信息的行为,称事件发生后已立即启动了紧急预案,组织相关单位了解事件情况、评估事件影响和危害、研究应对措施,并要求各网站加强安全工作,发生用户信息泄露的网站做好善后工作向用户发出警示[30][31][32][33]。
2011年12月30日,中国互联网协会召开“网站用户信息保护研讨会”,与会代表通报各自单位用户信息安全情况,针对信息安全工作探讨和提出建议,并呼吁业界提高社会责任感,加强用户信息安全工作[34]。
2011年12月31日,瑞星公司针对泄密事件发布网站密码保护方案“瑞星网站密码安全检测系统”,网站管理员可免费注册使用该系统对网站安全性进行深度检测,并得出分析报告和修复建议[35][36]。
此外还有多家网站先后通过网站、微博、电子邮件等渠道发布公告,提醒网民注意修改密码确保安全[37]。
调查和处理结果
2012年1月10日,北京市公安局外宣处工作人员表示已有两名“CSDN泄密门”涉案黑客被抓,因仍有涉案人员未归案,案情细节不便公布。并还表示此次泄密与实名制无关[38]。
同日国家互联网信息办公布了近期一些泄露事件的查处情况[38]:
- CSDN和天涯社区网站曾在2009年被入侵并遭到数据泄漏,网站近期并未遭到攻击,公安机关正在对事件进行追查。
- 京东商城网站确遭到入侵但数据未被泄露。犯罪嫌疑人要某(网名“我心飞翔”)于2011年4月发现京东商城网站存在安全漏洞,2011年12月29日要某在乌云网发帖称掌握了京东商城的漏洞,然后私下以公布漏洞为要挟向京东商城敲诈270万元人民币。要某因涉嫌敲诈勒索已被依法刑事拘留。
- YY语音网站泄露经查为公司员工利用职务之便从公司内部备份数据库所窃取,网站并未被入侵,事件正在处理中。
- 网上传言的工商银行等金融机构数据泄露的消息为网友王某为提高网站知名度和自我炒作凭空捏造,王某已被公安机关予以训诫。
- 网上流传的新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站泄露数据系有人利用网络远程大规模猜解所破解,网站均未被入侵。实施破解的嫌疑人身份已被锁定,公安机关正实施抓捕。
事件影响
大规模的泄密事件影响了网民对中国网络信息安全的信心,可能让网民对网上银行、网上购物、实名制制度等事物采取抵触情绪[39]。 此外泄露的数据可能被黑客利用,造成财物损失、隐私泄漏、收到更有针对性的电话推销和垃圾邮件等。 一些安全软件公司也借机制作针对性的软件并推销其安全产品[40]。
各网站的声明
- 新浪表示没有微博账户信息泄露[41]。
- 嘟嘟牛表示网上流传的嘟嘟牛用户资料和嘟嘟牛没有任何关系[42]。
- 7k7k表示未发现用户信息泄露[43]。
- 人人网:12月22日人人网官方微博表示人人网从未记录过明文密码[44]。12月26日人人公司发表官方声明称“人人网自建站以来,从未以明文方式存储用户的账号和密码,没有任何用户数据通过人人网对外泄露,目前网上可供下载的人人网用户数据经测试并非人人网账户信息”[45]。
- 猫扑表示未记录明文密码,未涉及用户数据泄露[46]。
- 京东商城表示并未发现有安全漏洞存在,也没有发现数据泄漏情况[19]。
- 网易表示并无漏洞,没有出现帐号信息泄露情况[19]。
- 当当网表示仅有极小部分信息泄露,已向公安机关报案[20]。
- 支付宝表示没有任何用户个人信息泄露[20]。
网站数据泄露情况
已证实有数据泄露的网站
官方确认数据并未泄露的网站
参考文献
- ^ CSDN遭黑客公开数据库 600余万用户资料泄密. 成都晚报. [2011-12-26]. (原始内容存档于2012-01-08).
- ^ [公告]关于12月21日CSDN用户数据泄露一事的声明. CSDN. [2011-12-21].[失效链接]
- ^ 【公告】致CSDN会员的公开道歉信. CSDN. [2011-12-21]. (原始内容存档于2011-12-22).
- ^ CSDN泄密源头疑为金山员工?职业道德遭质疑. 搜狐. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ “CSDN泄露门”续:上传者为金山员工 金山数据库也被外泄. 重庆晚报第一眼. [2011-12-26]. (原始内容存档于2012-01-05).
- ^ hzqedison的微博. 新浪微博. [2011-12-26]. (原始内容存档于2020-05-16).
- ^ 7.0 7.1 多家网站被曝用户数据库泄露 600万用户信息被公开. 中央电视台朝闻天下. 2011-12-23 [2011-12-26]. (原始内容存档于2020-08-07).
- ^ 金山毒霸的微博. 新浪微博. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ 密码泄露快速查询. 金山网络. [2011-12-26]. (原始内容存档于2011-12-25).
- ^ CSDN泄密门是金山员工所为 律师:应追刑责. 搜狐. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ weibo.com/1981622273/xDEP04iGU. [2011-12-26]. (原始内容存档于2012-01-08).
- ^ 天涯社区4000万用户资料. 乌云网. [2011-12-26]. (原始内容存档于2020-08-08).
- ^ [快讯]天涯4000万用户明文密码泄漏. cnBeta. [2011-12-26]. (原始内容存档于2016-03-04).
- ^ 天涯社区. 对用户的致歉信. 天涯社区. [2011-12-26]. (原始内容存档于2012-01-08).
- ^ 天涯社区用户密码遭黑客泄漏 涉及4000万用户隐私. DoNews. [2011-12-26]. (原始内容存档于2020-08-08).
- ^ 16.0 16.1 天涯社区遭遇黑客 用户密码泄漏. 中央电视台新闻直播间. 2011-12-27 [2011-12-27]. (原始内容存档于2020-08-07).
- ^ 京东用户数据外泄!京东官方承认有漏洞. 太平洋电脑网. [2011-12-28]. (原始内容存档于2020-08-07).
- ^ 京东否认卷入“泄密门”. 北京日报. 2011-12-29 [2011-12-29]. (原始内容存档于2013-04-29).
- ^ 19.0 19.1 19.2 被传密码泄露 京东网易双双否认. 羊城晚报. 2011-12-28 [2011-12-29]. (原始内容存档于2013-04-26).
- ^ 20.0 20.1 20.2 20.3 泄密门升级:当当网中招支付宝否认. 东方早报. 2011-12-29 [2011-12-29]. (原始内容存档于2012-01-10).
- ^ WooYun.org | 自由平等的漏洞报告平台. [2011-12-26]. (原始内容存档于2010-10-26).
- ^ 因公布多家网站存漏洞乌云平台暂关闭 双刃剑尺度难拿捏. IT商业新闻网. [2012-01-11]. (原始内容存档于2012-01-11).
- ^ 张百川(网路游侠) - 信息与网络安全博客. [2012-01-11]. (原始内容存档于2020-11-29).
- ^ 2012年新浪微博用户密码泄露漏洞(图片解析). [2012-01-11]. (原始内容存档于2012-01-08).
- ^ weibo.com/1130357710/xFimqnkVW. [2012-01-11]. (原始内容存档于2020-08-07).
- ^ 新浪爱问存漏洞泄密7000万 被质疑撒谎. IT商业新闻网. [2012-01-11]. (原始内容存档于2012-01-11).
- ^ 新浪账号被盗 刘谦直呼“惨了”. 钱江晚报. 2012-01-06 [2012-01-11]. (原始内容存档于2013-04-29).
- ^ 网易邮箱声明:已对260万用户给予密码修改提示. DoNews. 2011-12-23 [2011-12-28]. (原始内容存档于2020-08-08).
- ^ 迅雷:全面屏蔽CSDN泄露数据 保障网民信息安全. DoNews. 2011-12-23 [2011-12-27]. (原始内容存档于2020-08-08).
- ^ 工业和信息化部关于近期部分互联网站信息泄露事件的通告. [2011-12-29]. (原始内容存档于2012-08-05).
- ^ 中国工信部:近期密码泄露事件危害互联网安全. 中新社. 2011-12-28 [2011-12-28]. (原始内容存档于2020-08-08).
- ^ 工信部:各互联网站要开展全面的安全自查. 新华网. 2011-12-28 [2011-12-28]. (原始内容存档于2013-04-28).
- ^ 工信部谴责信息泄露事件 要求涉事网站警示用户. 法制日报. 2011年12月29日 [2013-02-02]. (原始内容存档于2020-03-23).
- ^ 互联网协会回应“泄密门”事件. 中国信息产业网-人民邮电报. [2012-01-11]. (原始内容存档于2020-08-07).
- ^ 瑞星针对泄密事件发布首个网站密码保护方案. TechWeb. [2012-01-11]. (原始内容存档于2020-08-08).
- ^ 瑞星发布首个网站密码保护方案. 国际金融报. 2012-01-05 [2012-01-11]. (原始内容存档于2016-03-04).
- ^ [2011第164期]多家网站用户数据泄露 360提示网民修改密码. 360安全中心. [2012-01-11]. (原始内容存档于2012-01-12).
- ^ 38.0 38.1 38.2 38.3 38.4 38.5 38.6 38.7 互联网泄密案两名黑客落网. 华西都市报. 2012-01-10 [2012-01-10]. (原始内容存档于2012-01-13).
- ^ 电子商务行业深陷泄密门信誉遭质疑. 经济参考报. 2012年1月6日 [2012-01-11]. (原始内容存档于2020-04-24).
- ^ 瑞星发布网站密码保护方案 防泄密门再次发生. 腾讯科技. [2012-01-11]. (原始内容存档于2020-08-07).
- ^ 新浪否认微博账户信息泄露. 北京晚报,发布于中国网络电视台. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ 【辟谣】关于资料泄漏的声明. 嘟嘟牛. [2011-12-26]. (原始内容存档于2012-01-08).
- ^ weibo.com/1780423933/xDdr9Fn3n. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ weibo.com/1716488301/xDbhu35hW. [2011-12-26]. (原始内容存档于2020-08-07).
- ^ 人人公司官方声明:未泄露任何用户数据. DONEWS. 搜狐IT. [2011-12-28]. (原始内容存档于2020-08-07).
- ^ 猫扑称未记录明文密码 未涉及用户数据泄露. [2011-12-26]. (原始内容存档于2020-05-16).
- ^ 网传工行交行民生银行上亿用户数据泄露 工行交行民生等迅速辟谣. 北京日报. 2011-12-30 [2013-02-02]. (原始内容存档于2013-04-29).
- ^ 网传交行民生工行用户信息泄漏 银行予以否认. [2013-02-02]. (原始内容存档于2013-04-29).
- ^ 中国银行业协会声明称用户数据泄露传闻失实. [2013-02-02]. (原始内容存档于2020-03-23).