2.78亿数据泄露 CNCERT发布信息泄露事件的通报
近期,网站密码泄露事件愈演愈烈,从网站论坛类帐户安全开始涉及到个人资金安全,闹得人心惶惶。据悉,截至12月29日,国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。
尽管曝光的数据有真有假,但是不可否认的是此次事件的确给互联网用户带来了严重的个人信息安全威胁。这些大量被泄漏的帐号也可能被黑客用于发送虚假、欺诈信息,危害其他用户安全和社会稳定。
12月30日,CNCERT再次发布关于相关网站用户信息泄露事件的通报,通报如下:
关于相关网站用户信息泄露事件的通报
12月22日,国家互联网应急中心(CNCERT)通过网站发布了《关于CSDN中文社区用户帐号密码泄露的安全公告》,通报了CSDN中文社区大量用户账号和明文密码遭泄露的情况。事件发生后,CNCERT一方面密切关注后续发展情况,一方面紧急联系和协调相关网站开展应急处置,并组织召开专家研判会进行分析研判。现将相关情况通报如下:
一、信息泄露情况
截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。其中,具有与网站、论坛相关联信息的(例如,被声称属于某个网站的数据)数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
CNCERT对所曝光的数据进行了抽查核实,发现部分数据是有效的,经过与相关网站、论坛联系核对后,确认CSDN社区、天涯社区两家网站发生了用户数据泄漏事件,但泄漏原因还有待进一步分析;对于其他网站、论坛,虽然曝光数据中个别条目有效,但不能判定发生了网站、论坛用户数据泄漏事件。
由于部分互联网用户在不同网站注册帐号时习惯使用相同用户名和密码,因此一旦在某个网站注册的帐号、密码等信息被泄漏,该用户在其他网站注册的帐号和密码也面临被泄漏的风险;此外,部分用户设置的密码比较简单(例如,使用用户名拼音、电话号码等),容易被黑客猜解。因此,部分黑客利用上述隐患,大肆对各个网站的用户注册信息进行探测猜解,甚至利用个别网站泄漏的用户数据作为“字典”,在其他网站上做恶意尝试,这两种被形象地称为“暴力破解”和“撞库”的恶意行为,极大地威胁到互联网用户的信息安全。根据各网站的验证结果,目前网上流传的泄漏库中,部分数据是有效的,但也有大量的数据是虚假的、无效的。例如,根据CSDN和天涯的测试结果,网上曝光的相关数据库中有一部分并不是其用户的数据。
尽管曝光的数据有真有假,但是不可否认的是此次事件的确给互联网用户带来了严重的个人信息安全威胁。被泄漏真实信息的用户,其网站个人账户中的信息可能会被窃取,甚至帐号被盗用;很多用户注册帐号时留下了电子邮件帐号,如果泄漏的密码与电子邮件密码相同,则会带来个人邮件的泄漏风险;黑客甚至可以利用这些邮件帐号冒用用户名义,在其他网站上利用密码重置功能进一步窃取更多帐号。此外,这些大量被泄漏的帐号也可能被黑客用于发送虚假、欺诈信息,危害其他用户安全和社会稳定。
二、事件处置情况
事件发生以来,CNCERT在工业和信息化部的指导下,紧急联系各个网站、论坛开展应急处置,并组织召开专家研判会议。CSDN社区和天涯社区分别在各自网站发布公告,确认事件并提醒用户采取应对措施,对泄露账户密码进行有效性测试、临时锁定账号并通知用户修改密码。其他网站、论坛也分别对网上泄漏数据进行比对测试,通知“命中”用户采取应对措施。各个网站、论坛也根据专家建议,着手采取系统安全防护工作,提高用户信息保密强度、用户登录验证难度等。
三、防范措施建议
网站和个人计算机安全是关乎用户数据安全的重要方面。仅2011年11月,CNCERT就监测发现我国大陆1785个网站被篡改、2179个网站被植入后门、近165万个主机IP感染木马或僵尸程序,以及561万余个主机IP感染飞客蠕虫。这些被入侵的网站和个人计算机上的数据都一定程度地面临被窃取的风险。
本次信息泄露事件带来了广泛的社会影响,再一次对互联网企业和互联网用户敲响了安全警钟。针对本次事件反应出的问题,CNCERT提出如下安全防范措施建议,供各互联网企业和广大用户参考。
(一)建议各互联网企业认真看待网络安全防护工作,加强联网系统的安全漏洞检查和修补,部署安全防护设施,不给黑客渗透入侵的机会;
(二)建议各互联网企业加强对用户信息的保护,采用强加密的方式保存用户密码等关键数据,采用严格、多重的用户认证程序,一旦发现帐号出现异常,应立即通知用户,对于重要业务,应建立强制性密码定期更新机制,以及采取U盾等其他身份识别技术。
(三)建议各互联网企业加强内部管理,建立有效可行的管理机制和操作规程,避免内部人员窃取并故意泄漏用户数据;此外,还应设置专门岗位负责日常网络安全保障工作,并与CNCERT或其他国家相关部门建立工作联系机制,及时报告和处置安全事件。
(四)建议广大互联网用户养成良好的安全意识和上网习惯。避免在不同网站注册时使用同一套账号和密码,应采用数字、字母、符号相结合的8位以上长度的密码,并定期更换;从事重要工作的用户尤其要注意避免使用工作邮箱作为注册其他网站帐号时填写的联系邮箱;平时要注意对个人电脑的安全防护,及时升级补丁并安装安全软件,避免因感染木马而导致个人信息被盗。
(五)建议各互联网网站、论坛应坚决抵制网上散播用户个人信息的行为,不提供、不转发相关下载链接;互联网用户一旦发现存在数据泄漏隐患的网站、论坛,应及时向当事方发出提醒,或者通报并委托CNCERT等国家相关机构联系当事方处置。
CNCERT将继续跟踪和处置该事件,协助各部门做好善后防护工作。