主题:【讨论】虎!虎!虎!大量网站账号密码大量泄露 -- 狡猾的史倍思
12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码;随后两天内,多玩(YY)、人人网、开心网、猫扑、178,7k7k,甚至新浪网都被爆出存在用户数据库泄露的情况。大量用户账号信息在私下被传播中……
令人惊讶的是,其中大量网站记录和使用的竟是明文密码,因此黑客可能据此对更多的网站账号进行渗透。
假如大伙曾经在这些网站登录,建议及时修改密码。一个密码用于多个网站的同学,最好分别都修改一遍。
相关报道:
http://www.wooyun.org/bugs/wooyun-2010-03523
CSDN杯最霸气的密码外露【亮瞎你的狗眼】
被泄露的最霸气密码:
ppnn13%dkstFeb.1st
娉娉袅袅十三余,豆蔻梢头二月初
http://xy2.netease.com/viewthread.php?tid=1795104
另有无数网友根据本次事件发挥娱乐精神,比如:
酢浆草:转发:大二上选修课,最后一次课,老师布置作业,传统论文,然后给了我们个邮箱让我们把作业上传进去,见到老师灰常蛋定地写下密码:cptbtptpbcptdtptp,大家顿时黑线……当然这不是高潮。一童鞋问,老师,你这么长怎么记得啊?只听老师说道:吃葡萄不吐葡萄皮不吃葡萄倒吐葡萄皮。
Speirit-rocky之路:[CSDN杯我最喜爱的密码mm评选] 我们统计了一下包含ilove***的密码,排在最前的mm名字是1:yan(燕)2:mei(梅)3:jing(静)4:ling(玲)5:ping(萍)6:dan(丹,这个是不是mm我表示存疑)7:fang(芳)8:wei(薇)9:juan(娟)10:nana(娜娜);恭喜上面的姑娘你们是程序员眼里最可爱的人。
不用明文存密码,这个是基本常识啊。
我同事就把一个小论坛的access数据库文件偷出来。。。
其实也不是偷啦,那个服务器的路径都没加密。
注册用户的密码就是明文,注册信息里还有QQ号。
大多数人都是用同一个密码,于是好多QQ帐号就这样也被暴露了。
那天真是中国程序员改密码节
前天的消息,天涯和当当也挂了。天涯泄露的用户人数高达4000万,而且也是明文存储的,囧。
另外网上有小道消息表示,新浪微博与QQ也有泄露。传闻QQ泄露的用户数据多达4个G,但目前尚未有确实的证据证明这个说法。
再次提醒,重要账号的密码尽快更换,不同的重要账号尽量不要使用相同的密码。
今天偶然登录我的163邮箱,发现从12月9日开始有若干人登录进了我的邮箱。
广东(14.211.159.*) 163邮箱 2011-12-24 15:14:24(1天前)
上海(180.168.215.*) 163邮箱 2011-12-24 13:17:17(1天前)
河南(123.5.198.*) 163邮箱 2011-12-23 22:53:28(2天前)
北京(114.250.90.*) 163邮箱 2011-12-22 23:26:37(3天前)
未知(198.24.6.*) 163邮箱 2011-12-22 11:58:18(3天前)
山东(222.133.119.*) 未知 2011-12-09 21:04:50(16天前)
山东(112.240.241.*) 未知 2011-12-09 18:58:41(16天前)
山东(123.130.235.*) 未知 2011-12-09 18:58:21(16天前)
山东(222.135.212.*) 未知 2011-12-09 18:58:01(16天前)
幸好邮箱里没有什么重要的东西,哈哈。
当发现n多的大网站都使用明文保存密码的时候,我相信一定是有什么地方不对头了。
很多人觉得有可能是由于“上级有关部门”的要求而这么做,个人对此表示怀疑,因为没有这么做的动机。
从某些QQ群里面的截图看,QQ泄露的账号,用的就是加密后的。当然,那个截图的真伪有待证实。。
我的判断是,在这个事情之前,不少开发人员也许对此类威胁了解很少,这才是明文密码频繁出现的原因。这次泄露事件以后出了一个事情,就是某网站在CSDN的密码泄露曝光以后,兴高采烈的从自己后台截了一张图,说明自己的密码是md5后保存的。结果立刻就有人直接对着那个md5列表,报出了这些密码的原文 —— 那个网站对md5根本连盐都没加,他们不知道这种情况下,普通的弱密码跟明文也没啥差别。这已经是爆库事件发生以后的事情了,那么没有这件事情普及这些安全知识之前的情况呢,估计就更差了。
特别是很多网站的早期代码,出问题的可能性就更高了。这次天涯和csdn 挂掉的都是老代码老数据。
曾经在我们这实习过一段时间。还是太年轻哦,不知江湖险恶阿,space同学。小卉家的那个也有些2. 风头当前,还是小心谨慎阿。
不是什么“早期代码”了吧?
“天涯和csdn 挂掉的都是老代码老数据”,这话且慢讲,看到有人评论2010年3月在CSDN注册的ID也在泄漏范围之中,和CSDN说的可不一样。
实际上我们看不到他们的新代码,所以也没法证实或者证伪。
至于泄露的话,使用了正确的实现方式以后,即使网站被扒库,对用户密码安全的影响应该也是有限的。因为合理的密码保存方法,可以使黑客利用其中数据的成本大到不值得去做。如果对实现方式有兴趣的话,可以参考以下几篇文章:
You're Probably Storing Passwords Incorrectly
How To Safely Store A Password
不过据江湖传闻,新浪的密码保存,前6位数字是明文保存的,这是为了运营的时候方便帮用户找回密码。从安全角度来说,这个设计糟透了,因为它浪费了前几位密码给用户带来的安全系数。
比较背。还有些人一心想拿他下去顶罪,确实比较危险的。
江湖险恶哇。
而且发生在CSDN泄密发布之前, 感觉新浪的也有问题。
新浪号称用的不是明文