色88久久久久高潮综合影院,亚洲精品无码一区二区三区电影,日产精品久久久久久久性色,人妻AV无码专区

2011年12月21日，北京望京地域某酒店內(nèi)正在召開的“CSDN微峰會”，因為CSDN總裁蔣濤的突然離席而中斷。 剛致完開場白，蔣濤的手機鈴聲猛然響起來

　　“泄密”之秘
 
每經(jīng)記者 謝曉萍 發(fā)自北京
 
2011年12月21日，北京望京地域某酒店內(nèi)正在召開的“CSDN微峰會”，因為CSDN總裁蔣濤的突然離席而中斷。
 
剛致完開場白，蔣濤的手機鈴聲猛然響起來，接完這個緊急德律風(fēng)后，蔣濤神情凝重地“逃離”了現(xiàn)場，耳邊還回蕩著德律風(fēng)中員工的那句話：“蔣總，網(wǎng)站600多萬注冊用戶信息被黑客曝光!”
 
與現(xiàn)實場景相對的虛擬網(wǎng)絡(luò)世界里，CSDN網(wǎng)站中跨越600萬個注冊郵箱賬號和對應(yīng)的明文密碼數(shù)據(jù)庫已經(jīng)被曝光。這還不是最嚴重的，成為眾矢之的的CSDN泄露的600萬密碼只是牛之一毛，與其一道被“爆庫”的還包含網(wǎng)易、人人、天涯、貓撲、多玩等多家公共網(wǎng)站及部門機構(gòu)網(wǎng)站。
 
自此，中國互聯(lián)網(wǎng)有史以來波及面最廣、規(guī)模最大、危害最深的泄密事件全面爆發(fā)。
 
風(fēng)篇：泄密旋風(fēng)
 
蔣濤沒有想到，2011年這個圣誕節(jié)成了中國黑客的狂歡日，隨之而來的，是一場互聯(lián)網(wǎng)界的噩夢。
 
12月21日，360平安衛(wèi)士在微博上披露，有黑客在網(wǎng)上公開CSDN網(wǎng)站用戶數(shù)據(jù)庫，包含600余萬個明文注冊郵箱賬號和密碼，請廣大軌范員(軟件工程師)務(wù)必重視并盡快修改密碼。CSDN建立于1999年12月，會員囊括了國內(nèi)90%以上的優(yōu)秀軌范員。
 
事實上，在360披露之前，CSDN數(shù)據(jù)的泄露就已經(jīng)不是秘密。新浪某平安主管早在11月10日就透露，用戶名密碼泄露了的網(wǎng)站不只CSDN一家。
 
據(jù)一位知情平安人士對 《每日經(jīng)濟新聞》記者透露，新浪還曾針對此事內(nèi)部討論過應(yīng)對體例，包含如何加強用戶現(xiàn)有密碼的呵護等。
 
12月4日，專業(yè)平安網(wǎng)站 “烏云”(wooyun.org)上，就有ID為“臭小子”的用戶發(fā)布了一份 “中國各大站點數(shù)據(jù)庫曝光”的漏洞概要，其中就包含CSDN相關(guān)數(shù)據(jù)庫。
 
烏云在微博上稱，“還覺得這些所謂的上市公司上市企業(yè)真的呵護好了你提交的數(shù)據(jù)么?中國各大站點數(shù)據(jù)庫曝光”。遺憾的是，除少數(shù)平安圈人士，這則微博并沒有引起太多用戶的關(guān)注。
 
有平安人士發(fā)現(xiàn)自己也“中招”了。在其注冊使用的4個CSDN賬號中，有兩個賬號名在盛大也注冊使用，且密碼同CSDN賬號一致。通過對盛大通行證登錄數(shù)據(jù)發(fā)現(xiàn)，4個賬號都曾被考試考試登錄，其中有兩個登錄成功。
 
作為國內(nèi)IT技術(shù)社區(qū)CSDN的一把手，蔣濤清楚地認識到事態(tài)的嚴重性。他隨即揭曉道歉聲明，稱外泄的CSDN賬號數(shù)據(jù)基本上是2010年9月以前的數(shù)據(jù)，泄露原因正在查詢造訪之中。蔣濤也在第一時間同新浪、網(wǎng)易、騰訊等主要互聯(lián)網(wǎng)公司取得聯(lián)系，希望對方可以在第一時間內(nèi)告知用戶更改密碼。
 
12月22日，CSDN邀請了杭州安恒信息技術(shù)有限公司進行平安審計。資料顯示，安恒信息曾被奧組委授予“奧運信息平安保障杰出貢獻獎”。據(jù)一名那時介入審計的相關(guān)負責人士透露，平安審計組曾針對CSDN從外圍進行了黑客模擬滲透機制，測試結(jié)果令人耽憂，在不需要任何用戶名、口令等的情況下，就能很容易地進入CSDN后臺，并獲取相關(guān)數(shù)據(jù)。“目前CSDN已經(jīng)將相關(guān)技術(shù)漏洞修補完成。”該負責人士稱。
 
這次真正棘手的問題是，以往一向在黑客圈流傳的內(nèi)部數(shù)據(jù)被廣大用戶通過數(shù)據(jù)包下載而獲得。
 
“如果普通用戶拿到這些信息，找一些認識人的密碼，這是一件很可怕的事情。”蔣濤暗示。
 
事實證明，蔣濤的耽憂并不是沒有事理。公開的數(shù)據(jù)包下載，也讓好事者通過郵箱驗證，成功進入他人的郵箱。
 
12月28日，一名ID為“極品良粽”的用戶在天涯論壇上曝料截圖，其通過公開的數(shù)據(jù)包成功登錄了演員董潔的郵箱及深圳衛(wèi)視某員工的郵箱，還意外獲知深圳衛(wèi)視跨年演唱會的流程表中有關(guān)郎朗和韓庚的保險單。
 
云篇：烏云是誰
 
如果不是這起規(guī)模巨大的泄密事件，或許廣大網(wǎng)民還不會如此迅速地知道這個叫做“烏云”的漏洞述說平臺。
 
從2011年12月4日最初的漏洞述說開始，原本名不見經(jīng)傳的烏云網(wǎng)，因近期一系列網(wǎng)站泄密事件而聲名鵲起。該網(wǎng)站先后曝出CSDN、天涯、當當、京東商城等網(wǎng)站存在平安漏洞。
 
這是一個最初由幾名從事平安行業(yè)的自愿者倡議搭建的位于廠商和平安研究者之間的平安問題反饋平臺，目前為非盈利。截至目前，共有500多位研究人員為120多個企業(yè)提交了接近4000個平安問題。
 
據(jù)烏云相關(guān)負責人WooYun介紹，烏云平臺最初招募了一些 “白帽子”(WhiteHat，即正面、合法的黑客，現(xiàn)實生活中的身份是平安專業(yè)人士——編者注)，主要的平安研究人員包含互聯(lián)網(wǎng)公司平安工程師、平安公司平安研究員以及平安技術(shù)快樂喜愛者，他們將發(fā)現(xiàn)的廠商漏洞問題提交烏云平臺，由烏云平臺告知廠商，烏云平臺會事先設(shè)定一個月時間讓廠商確認該漏洞以及修復(fù)問題，若一個月后廠商依然沒有解決問題，烏云平臺則將漏洞信息對外公布。
 
“我們只是對白帽子前期的身份進行核實，而對其反映的廠商情況，則需要廠商自己去核實。”WooYun暗示。
 
WooYun告訴《每日經(jīng)濟新聞》記者，他們發(fā)現(xiàn)，廠商對平安問題其實不特別重視，采納的態(tài)度通常為忽略或者根本就矢口否認，而這也造成了越來越多的平安研究者不再主動向廠商提交平安問題。
 
事實上，這種漏洞信息的披露是一把雙刃劍。如果廠商沒有足夠重視而被黑客利用的話，可能會起反作用。這也意味著烏云平臺的信息披露存在一定的風(fēng)險，尤其在此次“泄密門”之后，烏云頻頻出擊，不由自主地站上了風(fēng)口浪尖。
 
WooYun坦言，現(xiàn)有平臺作業(yè)簡直有不夠完善之處，因此，12月30日，烏云網(wǎng)宣布暫時關(guān)站，進行系統(tǒng)升級。
 
電篇：金山閃現(xiàn)
 
或許是炫耀，或許是感動，對金山毒霸產(chǎn)物經(jīng)理韓正奇來說，此次被外界質(zhì)疑其是泄密源頭的經(jīng)歷足以讓他終生難忘。
 
與其說韓正奇是此次泄露用戶信息的源頭，還不如說，今天的平安工作者需要重新審視平安工作的準則，重新思考如何保證隱秘的用戶數(shù)據(jù)庫不被暴曬在陽光下。
 
CSDN數(shù)據(jù)泄密確當天下午3點，金山內(nèi)部的工作聊天群中的一群平安師正在討論剛剛在微博上曝光的CSDN數(shù)據(jù)庫泄露一事。
 
韓正奇從一個網(wǎng)絡(luò)平安相關(guān)的QQ群內(nèi)下載了一份CSDN用戶賬號密碼文件。當他把QQ群內(nèi)迅雷專用工具下載的鏈接轉(zhuǎn)換成迅雷快傳的下載鏈接，試圖發(fā)到一個朋友QQ群時，意外發(fā)生了。
 
僅僅幾分鐘，韓正奇?zhèn)鞯奈募驮跒踉凭W(wǎng)上泛起了截圖。這也讓韓正奇成為網(wǎng)絡(luò)上被 “千夫所指”的“黑客”。
 
事后，韓正奇在聲明中說，“關(guān)于無意傳布了CSDN泄露的用戶數(shù)據(jù)，我要深深地向所有受到困擾的網(wǎng)民說一聲 ‘對不起’，作為平安廠商的員工，我深知自己做了一件錯事，無意識在網(wǎng)上將下載的用戶資料作了分享。該事件致使眾多網(wǎng)民心里恐慌，我內(nèi)心也十分不安，自己事情我也是受害者。”
 
韓正奇說，他在意想到問題后，立即將迅雷分享地址刪除。由于刪除及時，該地址只有幾名同事下載過，且從未將數(shù)據(jù)庫文件外泄。
 
“做錯事要認可毛病，但網(wǎng)上稱我最早在迅雷泄露了用戶數(shù)據(jù)，這不是事實，是污蔑，因為我下載前就已有分享地址;還有人稱我是黑客，其實我和幾位同事的賬戶名和密碼均被曝光 (郵箱后綴為kingsoft.com)，黑客是絕不會曝光自己的。更有人抹黑金山公司，這些純粹是心懷叵測，是某公司背后在推動。”
 
雖然上述聲明不足以消除外界對韓正奇是此次泄密門主角的料想，但蹊蹺的是，韓正奇使用的互聯(lián)網(wǎng)IDhzqedison是被誰對號入座的?事實是否如韓正奇所說，是有人要抹黑金山，或者是有競爭對手在背后推動，尚無從得知。
 
另一方面，一位金山內(nèi)部人士對《每日經(jīng)濟新聞》記者暗示，該公司競爭對手360已經(jīng)在當天12時33分官方微博發(fā)布CSDN數(shù)據(jù)庫泄露的消息，隨后微博、論壇和QQ群中均有眾多網(wǎng)民在傳布該數(shù)據(jù)庫。
 
雷篇：迅雷懸疑
 
種種跡象剖明，此次被曝光的用戶信息早已在黑客世界中暗暗流通，可是，緣何突破了那個神秘圈子并闖入了公眾視線?截至目前，“泄密門”事件的始作俑者在網(wǎng)警和有關(guān)部門的介入下，依然無解。
 
戲劇化的一面是，有業(yè)內(nèi)人士認為，在這次大規(guī)模“爆庫”事件中，迅雷飾演了一個重要角色。
 
一位不愿透露姓名的平安專家認為，此前黑客均通過郵箱內(nèi)部交流“黑”來的數(shù)據(jù)庫，但一些人通過迅雷離線下載或高速通道下載，這些數(shù)據(jù)庫就保留在了迅雷服務(wù)器。當其他用戶使用迅雷下載時，通過“相關(guān)推薦”功能把黑客用來內(nèi)部交流的數(shù)據(jù)下載了下來。如此往復(fù)，致使被爆的庫越來越多，以至于所有數(shù)據(jù)大白于天下。
 
為了摸清其中緣由，《每日經(jīng)濟新聞》記者下載了版本號7.2.4.3312的迅雷下載軟件，并隨即用其下載了一個編程軌范。下載過程傍邊，迅雷在其相關(guān)推薦欄里給出了 “CSDN-中文IT社區(qū)-600萬.rar”下載地址。
 
為了進一步說明問題所在，記者試圖下載和被泄露數(shù)據(jù)庫無任何關(guān)聯(lián)的一款名為《劍靈》客戶端游戲，令人意外的是，在迅雷下載的右邊有相關(guān)推薦提示 “使用了此鏈接的用戶還使用了如下鏈接”，是一份名為 “280w-zur-u-e-p-R.kz”的文件，考試考試下載該文件時，顯示其為泄露的數(shù)據(jù)庫文件，而該文件右邊相關(guān)推薦又再次顯示另外29份黑客泄露的數(shù)據(jù)庫文件。
 
值得注意的是，此現(xiàn)象在迅雷7.1版本中其實不存在?！睹咳战?jīng)濟新聞》記者考試考試了其他下載工具，均沒有類似相關(guān)推薦提示。
 
“迅雷7.2的相關(guān)推薦，多是揭秘黑客關(guān)系鏈的有效證據(jù)。”上述不愿透露姓名的平安專家暗示。
 
上述料想也獲得WooYun的認同。WooYun認為，起初黑客私下交流的數(shù)據(jù) (最初的交流工具多是QQ郵箱)，爾后被迅雷7.2意外泄露，由于介入下載的人越來越多，眾多網(wǎng)盤已成為分享數(shù)據(jù)庫的載體。
 
針對上述問題，迅雷在針對《每日經(jīng)濟新聞》的官方回應(yīng)中稱，首先，迅雷是最早屏蔽CSDN泄密數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)。迅雷稱，21日晚間8:40，迅雷在第一時間就根據(jù)CSDN方面提供的鏈接對相關(guān)泄密數(shù)據(jù)進行了全面屏蔽。“作為一個第三方下載平臺，迅雷已經(jīng)盡到了最大的努力減少CSDN泄密事件給網(wǎng)民和企業(yè)帶來的損失。”
 
迅雷暗示，迅雷絕對不會在服務(wù)器上存儲任何與泄密事件相關(guān)的數(shù)據(jù)庫，QQMail作為私人鏈接，用戶不克不及從迅雷“相關(guān)推薦”中直接下載。另外，迅雷“相關(guān)推薦”最多只能提供30條，只有當文件被下載次數(shù)到達一定閾值才有可能進入相關(guān)推薦，鑒于目前迅雷的用戶覆蓋量，小規(guī)模傳布的文件被推薦的概率眇乎小哉。
 
可是，記者再次使用迅雷7.2下載“劍靈.rar”，從迅雷右邊的相關(guān)推薦里看到“280W-zur-u-e-p-R.kz”的34.69MB 數(shù)據(jù)包，點擊下載后，迅雷又推薦了 “5000萬_51693.zip”、 “300w -Yue.kz”、“350-E875131.kz”、“7k7k2000萬_2047.rar”、“1000W+IS2_16436.rar”等29個鏈接。
 
另外，迅雷指出，迅雷的“相關(guān)推薦”不是共享推薦，即用戶無法主動通過這一功能共享文件。這種推薦體例與購物網(wǎng)站會提示“買了此商品的用戶還買了***”一樣，推薦算法自己是由機器算法執(zhí)行，無任何人工干預(yù)。
 
《每日經(jīng)濟新聞》記者注意到，雖然迅雷聲稱其推薦的算法為機器算法執(zhí)行，可是，目前迅雷正在試圖刪除相關(guān)推薦的鏈接來回避該問題。
 
“既然是機器算法，沒有人工干預(yù)，可是相關(guān)的鏈接為何消失了呢?”上述平安專家再次提出質(zhì)疑。
 
截至記者發(fā)稿，迅雷方面亦未對此問題作出詳細解釋。
 
雨篇：
 
平安追問
 
頻發(fā)的泄密危機正拷問著中國的互聯(lián)網(wǎng)平安。2011年12月27日，中國計算機學(xué)會青年計算機科技論壇廣州分會召開了“互聯(lián)網(wǎng)用戶資料泄露事件緊急會議”。16名與會專家一致認為，這次事件是迄今為止“中國互聯(lián)網(wǎng)史上最大信息泄露事件”。
 
專家們呼吁，希望工信部門和公安部門牽頭，成立專門的查詢造訪組，對本次事件進行查詢造訪，并公布查詢造訪結(jié)果。他們建議，針對用戶資料和個人隱私，政府應(yīng)盡快建立法令律例進行規(guī)范，以維護個人權(quán)益。
 
據(jù)《每日經(jīng)濟新聞》了解，早在2007年，公安部、國家保密局、國家密碼管理、國務(wù)院信息工作辦公室四部門就聯(lián)合制定了 《信息平安品級呵護管理體例》，可是，該尺度只是在一些大型網(wǎng)站執(zhí)行，中小網(wǎng)站并沒有強制執(zhí)行。
 
業(yè)內(nèi)專家認為，頻頻爆發(fā)的數(shù)據(jù)庫信息的外泄正一點一滴地瓦解現(xiàn)有互聯(lián)網(wǎng)認證機制。目前的互聯(lián)網(wǎng)認證是基于電子郵件的認證，電子郵件在各個企業(yè)和互聯(lián)網(wǎng)公司都被用作標識用戶身份，而經(jīng)過近幾年黑客屢次的“洗禮”，目前國內(nèi)互聯(lián)網(wǎng)企業(yè)中含有較大用戶基數(shù)的站點可能都已淪陷。
 
更令外界耽憂的是，即使知道自己用戶數(shù)據(jù)庫被竊取，大大都企業(yè)基于自身利益還是會連結(jié)緘默，就在此前，有媒體報道稱，從論壇、BBS到SNS、電商，各網(wǎng)站對平安的IT支出都很少。
 
據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù)，目前中國互聯(lián)網(wǎng)公司的信息平安支出在整體IT支出中的比例不到1%，對平安性要求斗勁高的金融行業(yè)為10%。而歐美互聯(lián)網(wǎng)公司的平安支出占比普遍為8%~10%。
 
對“囊中羞澀”的互聯(lián)網(wǎng)平安投入，騰訊公司聯(lián)席CTO熊明華對《每日經(jīng)濟新聞》記者暗示，騰訊目前擁有兩支自力的平安團隊，一支負責騰訊內(nèi)網(wǎng)的平安體系維護，另外一支則負責外網(wǎng)。
 
據(jù)記者了解，幾年前，騰訊曾遭遇盜號團隊的攻擊，竊取用戶密碼用以牟利。爾后騰訊與有關(guān)部門集中沖擊了犯罪份子，十多人因此獲刑。
 
據(jù)滕明華透露，爾后騰訊花了3年時間對密保系統(tǒng)部門從底層開始了完全的重構(gòu)。
 
WooYun認為，中國的互聯(lián)網(wǎng)正經(jīng)歷高速成長階段，平安與用戶體驗自己存在矛盾性，對用戶而言，復(fù)雜的密碼固然斗勁平安，但卻嚴重影響用戶體驗。
 
CSDN蔣濤指出，目前黑客最流行的盜號手段是盜號賊利用竊取的其他網(wǎng)站的密碼數(shù)據(jù)庫在各大網(wǎng)站考試考試登錄。
 
360網(wǎng)絡(luò)平安專家石曉虹暗示，不合黑客組織通過交易、共享等體例聚合不合網(wǎng)站的密碼庫，形成很是龐大的規(guī)模，然后將此黑客的密碼庫批發(fā)給專門從事“洗號”環(huán)節(jié)的犯警份子。
 
據(jù)石曉虹透露，“洗號”份子一般會篩選有價值的注冊郵箱，好比知名企業(yè)的工作郵箱，然后竊取郵箱中的重要商業(yè)資料，甚至進一步通過社會工程手段進行詐騙。
 
另外，黑客份子還利用密碼庫在網(wǎng)上支付平臺自動批量倡議交易，如果恰好用戶泄露的注冊郵箱和密碼與網(wǎng)上支付賬戶的交易密碼相同，支付賬戶中的余額就會被轉(zhuǎn)移。
 
危害還不僅限于此。石曉虹指出，黑客經(jīng)常利用密碼庫考試考試登錄QQ、MSN等聊天軟件賬號，向好友發(fā)送借錢詐騙消息，或者在微博等社交網(wǎng)站上考試考試登錄，由此發(fā)生出付費加粉絲、發(fā)布廣告信息或垂釣詐騙鏈接等多種獲利途徑。
 
此前，韓國也發(fā)生了史無前例的信息泄露事件，三大門戶網(wǎng)站之一Nate和社交網(wǎng)站 “賽我網(wǎng)”遭黑客攻擊，3500萬用戶信息外泄。
 
IT專家洪波認為，從2007年就開始實行網(wǎng)絡(luò)實名制的韓國，在“密碼危機”面前選擇了回到原點——取消實名制。這或許給時下正在極力推行網(wǎng)絡(luò)實名制的我國政府一個啟示：目前實名制的好處不明顯，風(fēng)險卻十分巨大，在目前互聯(lián)網(wǎng)技術(shù)架構(gòu)下平安難以保障的情況下，政府需要重新審視實名制。