Saturday, December 31

CSDN password, and more

12月21日上午,CSDN网站部分用户数据被在网络公开。

此后陆续几天,天涯、人人、当当、凡客、卓越、开心、多玩等多家网站,相继被曝出密码遭网上公开泄露。目前网上公开暴露的网络账户密码已超1亿个。

有人调侃说,这是不是国安的黑客团队的期末考试?

我翻了一下这些数据库,有几点疑虑:
1,我本人的帐号不在里面。
2,现在这些帐号都无法登录网站。看来网站已经针对这批数据处理过了,必须用email“找回密码”功能,才能重新登录。
3,用这些密码去尝试那些email,我试了10个都不成功。上一次我拿到某个网站的帐号数据库之后,这个尝试的成功概率是35%。
4,最大的疑虑是:居然这些数据库用明文存储密码?小网站犯这种错误我能理解,但是天涯和CSDN都犯这种低级错误?这些网站的安全构架师都是吃干饭的?而且吃了这么多年干饭?!

我能想到的两种解释是:
1,这些密码不是从各自网站上泄漏的,而是从国安(或公安部,或工信部)那里泄漏的。官方规定这些运营论坛的商业网站都上交各自用户的密码、email,以便监控甚至插手管理各论坛。

2,这些密码不是真的密码,而是伪造的密码文档。但是这又解释不了各大网站都紧旗密鼓地宣扬这件事,这简直是杀敌壹千,自伤八百。除非这些网站在下一盘很大的棋...

既然连密码都保管不好,如果按照《北京市微博客发展管理若干规定》,实现网络实名制(所谓的前台匿名,后台实名),这些实名资料岂不是分分钟被暴露出来?

0 Comments:

Links to this post:

Create a Link

<< Home