西西河

主题:【讨论】虎!虎!虎!大量网站账号密码大量泄露 -- 狡猾的史倍思

共:💬29 🌺50
全看树展主题 · 分页首页 上页
/ 2
下页 末页
家园 【讨论】虎!虎!虎!大量网站账号密码大量泄露

12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码;随后两天内,多玩(YY)、人人网、开心网、猫扑、178,7k7k,甚至新浪网都被爆出存在用户数据库泄露的情况。大量用户账号信息在私下被传播中……

令人惊讶的是,其中大量网站记录和使用的竟是明文密码,因此黑客可能据此对更多的网站账号进行渗透。

假如大伙曾经在这些网站登录,建议及时修改密码。一个密码用于多个网站的同学,最好分别都修改一遍。

相关报道:

http://www.wooyun.org/bugs/wooyun-2010-03523

关键词(Tags): #泄露#密码#拖库#网络安全
家园 本次泄露中的一些八卦

CSDN杯最霸气的密码外露【亮瞎你的狗眼】

被泄露的最霸气密码:

ppnn13%dkstFeb.1st

娉娉袅袅十三余,豆蔻梢头二月初

http://xy2.netease.com/viewthread.php?tid=1795104

另有无数网友根据本次事件发挥娱乐精神,比如:

酢浆草:转发:大二上选修课,最后一次课,老师布置作业,传统论文,然后给了我们个邮箱让我们把作业上传进去,见到老师灰常蛋定地写下密码:cptbtptpbcptdtptp,大家顿时黑线……当然这不是高潮。一童鞋问,老师,你这么长怎么记得啊?只听老师说道:吃葡萄不吐葡萄皮不吃葡萄倒吐葡萄皮。

Speirit-rocky之路:[CSDN杯我最喜爱的密码mm评选] 我们统计了一下包含ilove***的密码,排在最前的mm名字是1:yan(燕)2:mei(梅)3:jing(静)4:ling(玲)5:ping(萍)6:dan(丹,这个是不是mm我表示存疑)7:fang(芳)8:wei(薇)9:juan(娟)10:nana(娜娜);恭喜上面的姑娘你们是程序员眼里最可爱的人。

家园 确实令人震惊啊。

令人惊讶的是,其中大量网站记录和使用的竟是明文密码

不用明文存密码,这个是基本常识啊。

我同事就把一个小论坛的access数据库文件偷出来。。。

其实也不是偷啦,那个服务器的路径都没加密。

注册用户的密码就是明文,注册信息里还有QQ号。

大多数人都是用同一个密码,于是好多QQ帐号就这样也被暴露了。

家园 果断中招的飘过。。。

那天真是中国程序员改密码节

家园 泄露事件的后续进展

前天的消息,天涯和当当也挂了。天涯泄露的用户人数高达4000万,而且也是明文存储的,囧。

另外网上有小道消息表示,新浪微博与QQ也有泄露。传闻QQ泄露的用户数据多达4个G,但目前尚未有确实的证据证明这个说法。

再次提醒,重要账号的密码尽快更换,不同的重要账号尽量不要使用相同的密码。

家园 应该是真的

今天偶然登录我的163邮箱,发现从12月9日开始有若干人登录进了我的邮箱。

广东(14.211.159.*) 163邮箱 2011-12-24 15:14:24(1天前)

上海(180.168.215.*) 163邮箱 2011-12-24 13:17:17(1天前)

河南(123.5.198.*) 163邮箱 2011-12-23 22:53:28(2天前)

北京(114.250.90.*) 163邮箱 2011-12-22 23:26:37(3天前)

未知(198.24.6.*) 163邮箱 2011-12-22 11:58:18(3天前)

山东(222.133.119.*) 未知 2011-12-09 21:04:50(16天前)

山东(112.240.241.*) 未知 2011-12-09 18:58:41(16天前)

山东(123.130.235.*) 未知 2011-12-09 18:58:21(16天前)

山东(222.135.212.*) 未知 2011-12-09 18:58:01(16天前)

幸好邮箱里没有什么重要的东西,哈哈。

家园 最开始的时候我还相信CSDN的程序员不专业用明文保存密码

当发现n多的大网站都使用明文保存密码的时候,我相信一定是有什么地方不对头了。

家园 管理员想通过后台看别人的密码呗
家园 这个管理员比较大。
家园 我觉得不专业还是主要原因

很多人觉得有可能是由于“上级有关部门”的要求而这么做,个人对此表示怀疑,因为没有这么做的动机。

从某些QQ群里面的截图看,QQ泄露的账号,用的就是加密后的。当然,那个截图的真伪有待证实。。

我的判断是,在这个事情之前,不少开发人员也许对此类威胁了解很少,这才是明文密码频繁出现的原因。这次泄露事件以后出了一个事情,就是某网站在CSDN的密码泄露曝光以后,兴高采烈的从自己后台截了一张图,说明自己的密码是md5后保存的。结果立刻就有人直接对着那个md5列表,报出了这些密码的原文 —— 那个网站对md5根本连盐都没加,他们不知道这种情况下,普通的弱密码跟明文也没啥差别。这已经是爆库事件发生以后的事情了,那么没有这件事情普及这些安全知识之前的情况呢,估计就更差了。

特别是很多网站的早期代码,出问题的可能性就更高了。这次天涯和csdn 挂掉的都是老代码老数据。

家园 那个狠二的管理员同学

曾经在我们这实习过一段时间。还是太年轻哦,不知江湖险恶阿,space同学。小卉家的那个也有些2. 风头当前,还是小心谨慎阿。

家园 今天听说新浪微博的密码也部分泄漏了,这个不是最近开发的吧

不是什么“早期代码”了吧?

“天涯和csdn 挂掉的都是老代码老数据”,这话且慢讲,看到有人评论2010年3月在CSDN注册的ID也在泄漏范围之中,和CSDN说的可不一样。

家园 【讨论】好吧,老代码是他们官方声明的说法

实际上我们看不到他们的新代码,所以也没法证实或者证伪。

至于泄露的话,使用了正确的实现方式以后,即使网站被扒库,对用户密码安全的影响应该也是有限的。因为合理的密码保存方法,可以使黑客利用其中数据的成本大到不值得去做。如果对实现方式有兴趣的话,可以参考以下几篇文章:

你会做Web上的用户登录功能吗?

You're Probably Storing Passwords Incorrectly

How To Safely Store A Password

不过据江湖传闻,新浪的密码保存,前6位数字是明文保存的,这是为了运营的时候方便帮用户找回密码。从安全角度来说,这个设计糟透了,因为它浪费了前几位密码给用户带来的安全系数。

家园 【讨论】那位盆友被人栽赃了

比较背。还有些人一心想拿他下去顶罪,确实比较危险的。

江湖险恶哇。

家园 最近我的新浪微博账号掉了

而且发生在CSDN泄密发布之前, 感觉新浪的也有问题。

新浪号称用的不是明文

全看树展主题 · 分页首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河