西西河

主题:【讨论】虎!虎!虎!大量网站账号密码大量泄露 -- 狡猾的史倍思

共:💬29 🌺50
分页树展主题 · 全看首页 上页
/ 2
下页 末页
  • 家园 【讨论】虎!虎!虎!大量网站账号密码大量泄露

    12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码;随后两天内,多玩(YY)、人人网、开心网、猫扑、178,7k7k,甚至新浪网都被爆出存在用户数据库泄露的情况。大量用户账号信息在私下被传播中……

    令人惊讶的是,其中大量网站记录和使用的竟是明文密码,因此黑客可能据此对更多的网站账号进行渗透。

    假如大伙曾经在这些网站登录,建议及时修改密码。一个密码用于多个网站的同学,最好分别都修改一遍。

    相关报道:

    http://www.wooyun.org/bugs/wooyun-2010-03523

    关键词(Tags): #泄露#密码#拖库#网络安全
    • 家园 我一直怀疑这次的事情是某些地下黑客组织出现问题了

      实际上,某些地下黑客组织手里都会有很多网站的数据库。这次泄漏的数据是按照CSDN的说法是备份数据,时间比较早。一般来说,最先被入侵的会是提供服务的web服务器,现在这样的工具比较多,做过web程序的人都会知道,搞定web服务器,就可以拖数据。网站一般都不会将数据文件和程序文件存放在一个服务器中,更何况是备份数据,想拿到备份数据需要先获得一台服务器的权限,之后再搞定内网。如果是这样,那麻烦就更大了。同时,在这么短时间内搞定这么多大网站基本是不可能的。

      另外,最好不要把邮箱密码和论坛的密码都用一个。注册网站的邮箱也不要用日常用的邮箱,话说网络上有很多的人都是非常喜欢窥探隐私的。

      正如地心毁灭里面那个黑客说的,我只会一种语言0和1,但是却可以知道你的各种xx隐私。

    • 家园 乌云关站了

      这次事情乌云也在风口浪尖,不知道对剑心来说是福还是祸

    • 家园 明文密码就象当年土炼钢炉

      是经济大跃进带来的不专业表现。

      如果真的仔细,较真的话,中国经济各领域类似的问题恐怕远不止一个明文密码。

      很多问题本质上都是类似的,甚至就是同一种问题。

      • 家园 想设计一个好的加密模式并不容易

        首先面对的就是一个如何保存密钥的问题。我也见过不少号称加密的东西把密钥硬编码在代码中或者干脆存在配置文件中。这样的加密对黑客来说和明文没有什么区别。

        其次,密码加密使用什么算法,验证身份的流程也是一个大问题。再考虑到如果密文泄露如何保护其中的弱密码等等,这些都不是仅会简单得数据库访问的程序员能搞明白的事情。

        不过,话说回来,如果整个帐号数据库都能被拷走,那神马设计都是浮云啊。

      • 家园 明文密码太常见了,关键是对此没有任何监管,无论国内国外

        国外的大型网站可能会正规些,但大量中小网站也是大量采用明文密码的。

    • 家园 PSN事件的天朝版, 同一伙人的作品

      这伙人该就是帝国的网军吧. 电商和银行系统是下一个目标.

    • 家园 网络环境不好啊

      发现自己中招

      • 家园 江湖险恶,建议不要公开传播

        安全第一,安全第一。

        另外,大范围传播对没来得及改密码的用户也不好,虽然我们不能为此做些什么,但至少可以不去推波助澜。

    • 家园 最开始的时候我还相信CSDN的程序员不专业用明文保存密码

      当发现n多的大网站都使用明文保存密码的时候,我相信一定是有什么地方不对头了。

      • 家园 我觉得不专业还是主要原因

        很多人觉得有可能是由于“上级有关部门”的要求而这么做,个人对此表示怀疑,因为没有这么做的动机。

        从某些QQ群里面的截图看,QQ泄露的账号,用的就是加密后的。当然,那个截图的真伪有待证实。。

        我的判断是,在这个事情之前,不少开发人员也许对此类威胁了解很少,这才是明文密码频繁出现的原因。这次泄露事件以后出了一个事情,就是某网站在CSDN的密码泄露曝光以后,兴高采烈的从自己后台截了一张图,说明自己的密码是md5后保存的。结果立刻就有人直接对着那个md5列表,报出了这些密码的原文 —— 那个网站对md5根本连盐都没加,他们不知道这种情况下,普通的弱密码跟明文也没啥差别。这已经是爆库事件发生以后的事情了,那么没有这件事情普及这些安全知识之前的情况呢,估计就更差了。

        特别是很多网站的早期代码,出问题的可能性就更高了。这次天涯和csdn 挂掉的都是老代码老数据。

        • 家园 再详细讨论一下

          很多人觉得有可能是由于“上级有关部门”的要求而这么做,个人对此表示怀疑,因为没有这么做的动机。

          同意。即使有必要时能获得密码的要求,也可以采用比较弱的加密方法。这里的比较弱,是指拥有大量计算资源后方可破解的密码。当年美国DES密码就因为考虑到需要保证美国政府可破解,而只选用了56位的密钥长度。因为计算机的发展,包括最近的云计算,越来越多的安全密码也将变得不安全。

          结果立刻就有人直接对着那个md5列表,报出了这些密码的原文
          这段详细的信息我没看到。不过按道理说,md5是一种安全hash算法。从md5之后的值来唯一恢复密码是不可能的。原因是多个密码都可以对应到相同的md5。但是不要紧,因为这种情况下,网站都是先计算密码的md5之后再和数据库里的md5相比较来确定密码是否正确。所以只要你能找到一个密码生成同样的md5值就可以了。而md5算法也已知是不安全的,即容易找到这样一个密码。估计原文里列出的就是这样找出密码。不一定是原密码。但一样能用。

          无论如何,把自己的密码数据库里的数据放在网上实在是脑残的不能再脑残的做法了。

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河