图片 1

■事态进展1 网曝银行数据泄露

浙江在线01月06日讯
“改密码改得手软,改太多我自己都忘记改成什么了,汗死!”这是杭州白领小费的最新QQ签名,而和她有着相同怨言的网友,并不在少数。

内容摘要:继CSDN、天涯社区用户数据泄露后,席卷国内互联网公司的泄密事件仍在发酵,除了京东商城和当当网,有消息传出支付宝也被卷入其中,交通银行7000万用户、民生银行3500万卡号密码也泄露。不过际通宝(

知名互联网资讯平台“挨踢客”日前通过微博发布消息称,有网友向其爆料称国内多家银行的用户数据已经泄露,涉及交通银行的7000万用户和民生银行的3500万用户,微博附带的一张截图显示了“泄密”的用户姓名、卡号、密码等敏感信息,图中还有工商银行的用户信息。

近期,CSDN、天涯社区等网站发生用户信息泄露事件愈演愈烈,用户数据资料甚至被公然放到网上任人下载,一时之间,网友人人自危。而昨天,密码门事件再度发酵,国内安全机构瑞星发布安全预警,指出席卷互联网的“泄密门”出现新情况,新浪“爱问”(IASK)平台存在SQL注入漏洞,1月4日晚,大约7000万明文存储的密码已外泄,其中包括用户的新浪微博密码等多项个人资料。

继CSDN、天涯社区用户数据泄露后,席卷国内互联网公司的泄密事件仍在发酵,除了京东商城和当当网,有消息传出支付宝也被卷入其中,交通银行7000万用户、民生银行3500万卡号密码也泄露。不过际通宝(

上述消息传出后,相关银行立即辟谣。交通银行发布声明称传闻纯属谣言,交行采用了先进的密码硬加密技术和周密的安全防范措施,确保为所有客户提供安全高效的金融服务。交行呼吁社会各界共同抵制造谣行为,不要误信、误传谣言。

刘谦“中招”连呼太恐怖

自12月21日,有黑客在互联网上公开提供包括人人网、猫扑、多玩、天涯等在内的网站部分用户数据库下载。12月25日,国内知名的社区网站天涯网的用户隐私遭到黑客泄漏,泄露数量达到4000万。

工商银行相关负责人表示,上述传言不实。工行对客户密码等重要信息采取了非常严格的措施来确保信息安全,在系统中对于客户密码的存储和传输均采用加密方式;在与第三方公司的电子商务合作中,涉及的密码信息均要求在工行系统页面上进行操作。工行的客户信息和密码是安全的。民生银行日前也发声明称:“12月29日,有微博说有我行客户信息遭泄露。经查,此信息严重失实!”

据了解,报告新浪这一漏洞的白帽黑客(专业安全人员,非恶意黑客)对著名魔术师刘谦微博进行尝试性攻击,取得成功,而刘谦的各种私信、聊天记录之类一目了然。而刘谦得知此事后在微博上连呼“太恐怖了吧”。

然而这起信息泄露事情并没有就此熄火。漏洞报告平台乌云发布漏洞报告称,“支付宝用户大量泄露,被用于网络营销,泄露总量达1500-2500w之多,泄露时间不明,里面只有支付用户的账号,没有密码”。

日前,那引起轩然大波的微博已被“挨踢客”删除,“挨踢客”表示,“银行用户数据泄露”的消息并没有经过验证,自己发微博只是想提醒大家关注网络信息安全。

昨日,新浪爱问官方回应称,目前该漏洞已修复。新浪爱问表示,“由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪账号存在被盗号风险,我们已紧急修复此漏洞。这批账号已被保护,需修改密码后才能使用。由此给用户带来的不便,我们深表歉意。近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”

由于支付宝涉及到众多网民的资金安全,而且大部分用户会在支付宝里预存现金消费,如果支付宝用户信息泄露,则意味着用户资金面临威胁。该消息的传出,一时引起广大用户的恐慌。

工商银行相关负责人告诉记者,在网上那张所谓的泄密截图中,涉及的3张工行银行卡均为已注销的无效卡,而且,从相关文本数据结构含义上分析,其中包含了订单号等内容,据此可以判断这些信息不是来自银行的数据库。交通银行总行信息技术管理部总经理麻德琼表示,从截图的页面来看,显然不是银行的系统页面,况且银行的密码设置是全程硬加密的,不可能在银行外部的系统上显示。

不过,有安全专家指出,该漏洞已经存在较长时间,怀疑已经有黑客获取到密码。此前,曾有多个著名微博账户遭入侵,如央视主持人张泉灵等。

不过际通宝记者了解到,支付宝官方微博对此迅速做出了回应,强调单纯支付宝账号不是私密信息,在很多地方都可以被搜集到。只有账号没有密码,对用户资金安全没有任何威胁。“支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有,以后也没有,请大家放心。”

■事态进展2 当当京东支付宝被指“泄密”

密码泄露让网民没有安全感

同样被卷入密码泄露的当当和京东商城也分别就信息泄露消息做出了回应。

日前,还有网友爆料称当当网1200万用户资料已泄露,目前这些数据已经在黑市上流通。当当网日前发布紧急声明表示,经查网上公布的数据只有极少部分属实,且均为2011年6月以前的老数据,这部分数据是之前遭到黑客攻击被盗取的,当当网当时已向公安机关报案。目前,当当网已对系统安全进行了全面升级,以确保用户信息的安全。对于任何擅自公开、贩卖企业商业机密的行为,当当保留追究其法律责任的权利。

“昨天一晚上啥也没干,光改密码了。”在杭州一家事业单位上班的刘浩说,自己在淘宝、亚马逊中国、开心网、新浪微博等很多网站的账号都是用同一邮箱注册的,密码也一样。“最关键的是,支付宝的密码也是相同,而且为了方便好记,只采取了最简单的组合,自己的绰号拼音再加上生日,现在想来实在是很危险。”

当当网表示,“经核实,网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。”同时还强调,“1200万用户信息”的说法并不属实,对于黑客攻击和小部分数据被窃取,当当网已经向当地公安机关报案。目前当当已对系统安全进行了全面升级,提高安全防范措施,以确保用户信息的安全,“请广大用户放心购物”。

除了当当,京东商城本周也被曝出类似问题。国内安全问题反馈平台wooyun日前发布漏洞预警称京东数据库存在高危风险,用户数据或已被盗。京东商城随即回应称,经核查,并未查到相应漏洞,用户的信息密码也都为加密储存,并未泄露。

然而,把这些网站的密码一一修改过来后,刘浩发现新的问题又出现了。“记不住,只能先把所有的密码和安全提问都抄在本子上。”

京东商城则发布声明回应称,已经组织技术人员核查漏洞,并表示自漏洞发布后,一直试图与漏洞发布者联系,但一直未得到回应。“我们并未发现任何相关漏洞存在,也没发现数据泄露情况,我们的用户数据都是加密处理的,因而十分安全,大家可以放心。”援引京东负责人表示,将继续联系漏洞报告者,以确定京东系统的安全性,但以目前的情况看,很可能是这名“报告者”弄错了

与电子商务息息相关的第三方支付企业支付宝也卷入泄密风波中,网上传言称支付宝的用户信息被用于网络营销,泄露总量达1500万至2500万。对此,支付宝方面表示,泄露的只有账号没有密码,对用户的资金安全没有任何威胁。

不过,让刘浩觉得庆幸的是,这一泄密事件暂时没有给自己造成经济损失,“暂时来说只是花进去许多时间成本。”

另外,微博上有消息称,交通银行7000万用户、民生银行3500万卡号密码泄露,并配有相关信息截图。此消息迅速引发诸多网友关注转发,并担忧自己的账户安全。不过人民网“求真”栏目记者查证,交通银行、民生科技部相关负责人均表示该消息为假消息。际通宝记者建议用户更改密码以保安全,同时呼吁社会各界共同抵制,共建和谐健康的网络环境。

■权威说法 工信部:着手评估事件影响危害

安全专家表示,在网上注册的时候应尽可能少地透露自己的个人资料,如非必要,不要泄露电话、家庭住址、银行卡号、QQ密码等私人信息;一定要“一个网站一个密码”,不要在多个网站使用同一密码;设置网站密码时,应至少在8位以上,数字、字母和特殊符号(@%)混合,这样可以加强密码强度;应每隔一段时间就定时更换所有密码。

12月28日晚间,工业和信息化部就近期部分互联网站信息泄露事件发布通告,对窃取和泄露用户信息的行为表示强烈谴责。工信部称,CSDN、天涯社区等网站发生用户信息泄露事件后,工信部立即启动应急预案,组织相关通信管理局、国家计算机网络应急技术处理协调中心、网络安全专家和部分互联网企业,了解核实事件情况,评估事件影响和危害,研究提出应对措施。

网络密码泄露事件持续发酵

工信部要求各互联网站高度重视用户信息安全工作,发生用户信息泄露的网站要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。
图片 2

自去年12月21日CSDN的600万用户密码遭泄露以来,网络密码泄露事件已持续发酵超过半月,天涯、世纪佳缘、新浪微博、人人网等各大网站均不幸或多或少被牵涉其中。天涯网于去年12月25日发布致歉信,称天涯4000万用户隐私遭到黑客泄露。

此后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户信息泄露的消息,目前已经被传言卷入的企业有京东商城、支付宝和当当网,其中京东及支付宝否认信息泄露,而当当则表示已经向当地公安报案。

此次密码泄露案被称为中国互联网史上最大的泄密事件。最新监测显示,目前网上公开暴露的网络账号密码已经超过1亿个。

值得一提的是,已承认用户数据被盗的CSDN和天涯社区在对外说明中,除将矛头指向攻击网站的黑客外,都同时提及了“明文密码”。CSDN和天涯社区在声明中称,因网站早期使用过明文密码,所以导致用户信息被盗。

记者了解到,所谓明文密码,就是不加密的密码。如果直接存储明文,一旦数据库泄露,黑客就可直接掌握所有的账号和密码信息。

但业内人士指出,用明文储存密码,仅仅是密码泄露的诱因,本质上还是部分网站迅速扩张后,在安全防范方面投入有限,甚至为吸引用户简化注册程序,对用户账号保护不够。