天涯泄密案已报警亡羊补牢漏洞仍存|天涯社区|数据库|迅雷_新浪科技

　　陈承上海报道

　　“我们已经第一时间向海南省公安厅、海口市公安局报了案，警方表示已经立案”，12月26日，天涯社区市场部公关经理初蒙向本报表示。

　　12月25日，国内著名网络论坛天涯社区被爆泄露了其4000万用户的个人数据，其中包括用户名、密码和注册邮箱等敏感内容。这是继12月21日，知名IT网络社区CSDN被指泄露600余万用户信息后，第二家被网站官方确认已泄露部分用户未加密密码的国内著名网站。

　　“4000万这一数值是黑客提供的下载文件中标识的，就目前核查的情况，实际数据低于这一数字。” 初蒙说。

　　“目前可证实此前明文保存用户密码并已部分泄露的国内网站为CSDN和天涯社区”，资深IT人士龙威廉对本报称，“人人网、多玩网等其它网站目前也有疑似用户数据库文件在网上传播，但现在尚未得到证实。”

　　祸起“拖库”？

　　“我们非常抱歉地通知您，近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一”，从12月26日开始，天涯社区在网站首页挂出致歉函，承认其部分用户个人信息已遭泄露。

　　“由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据”，天涯社区市场部公关经理初蒙书面回复本报时称，“2010年之后，我们升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。”

　　初蒙并未透露导致天涯社区部分用户个人信息泄露的具体原因，只是表示：“关于此次数据被盗事件发生的动机、手段及波及的规模，我们会积极配合公安机关、政府监管部门的调查和取证，调查进展请关注有关部门的通报或说明。”

　　据龙威廉分析，此番CSDN和天涯的数据库泄漏事件，极有可能祸起一种专业的黑客攻击手段——“拖库”。

　　“黑客通过查找网站漏洞、然后‘挂马’的方式，非法将网站的数据库导出，接着导入黑客自己的数据库或在网上公布供他人下载”，龙威廉称，“黑客并没有入侵用户本地电脑，因此此事件和用户电脑本身的安全无关，所以普通用户也无法事先知晓或防范。”

　　国内某知名手机维护软件研发公司的员工陈先生也对本报称，国内网站目前多数没有专业的密码管理手段，也没有针对该领域的行业标准：“国内网站都是各自设置自己网站的密码安全策略，所以才导致网站泄露明文保存用户信息和密码的情况。”

　　陈先生分析，据他了解，即使部分网站对用户帐户和密码进行加密保存，仍有可能被黑客以暴力破解的方式对数据进行解密。“国内网站相关人员普遍对密码学研究不透彻，缺乏针对加密算法的安全性研究。”

　　漏洞仍存

　　尽管网站所属地公安机关已立案调查，但至发稿时，相关网站泄露的用户帐户密码信息仍在网上疯传。

　　本报记者通过搜索引擎等方式，轻易搜索到了CSDN社区、天涯社区和人人网疑似泄露文件的P2P种子，并可通过下载软件正常获得。其中后两者以压缩包的形式，将用户名、注册邮箱和密码内容用。txt记事本文件的格式明文保存。

　　疑似CSDN社区的泄露文件，则以.sql数据库文件的形式明文保存。IT人士称，一般用户只要用相关软件打开该数据库文件，同样可轻易获得泄露的用户名、注册邮箱和密码信息。

　　“通过查询，我发现自己的账号信息也被泄露了”，上海一位姚姓培训师向本报记者表示对此“非常震惊”，“泄露的注册邮箱、用户名和密码，也正是我在京东、新蛋等电商网站上所使用的，一旦他人通过泄露的文件提前获取了相关信息，那么我在电商网站上保存的姓名、住宅地址和联系电话等内容，可能已经被别人获得了。”

　　此外，今天新浪官方发布公告称，在对数据进行研究后发现，“极小部分用户因使用和其他(泄露用户信息文件)网站相同账号密码，可能导致其微博账号不安全”。

　　第三方机构艾瑞的统计数据显示，在国内所有下载软件市场中，迅雷的月度覆盖用户数超过九成。迅雷副总裁王珊娜对本报表示，此前迅雷已将上述泄露文件进行屏蔽，用户无法通过迅雷下载相关内容。

　　“我们在第一时间从CSDN官方得到了相关文件的链接，之后立刻在迅雷下载平台对该文件进行了屏蔽，并对迅雷网盘、迅雷快传等网络工具也进行了快速处理”，王珊娜称。

　　不过记者试验发现，有心人士仍可绕开迅雷使用其它流行的P2P软件正常下载泄露的用户信息文件。

　　实名制隐忧

　　“以前国内也发生过一些网站泄密情况，但直接公开这么多网站的密码，这还是第一次”，龙威廉说。他透露，此前黑客盗取网站用户数据库后，一般的做法都是隐秘地在网站上兜售相关文件以获取利益。

　　而此次国内数家著名网站遭到大规模泄密事件，其时机相当微妙——此前，北京市刚刚下发通知，要求微博网站开展实名制管理，十多天后，上海相关部门也宣布率先开展对新注册用户微博真实信息的要求，并从12月16日开始试行。

　　“这次CSDN泄露的数据库文件，通过解压缩后可以发现，其文件最后修改日期是2011年10月16日”，龙威廉称。而据了解，此前两个月，网络并未出现上述文件。

　　龙威廉分析，目前泄漏的信息主要是用户名、邮箱、密码，如果采用网站实名制，则用户的真实姓名、身份证号码、生日、出生地区等隐私信息将有可能泄漏，犯罪分子可以使用非法获取的身份证等信息进行诈骗等犯罪活动，冲击国内的信用体系。

　　这方面，率先实行网络实名制的韩国已有过教训。韩国专栏作家金宰贤本月在《FT中文网》撰文称，2011年7月，韩国SK通讯旗下的韩国三大门户网站之一的Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄，而泄露的用户信息包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。