« 前一篇:一句话
后一篇:11回顾 »

CSDN泄密事件 @ 12/22/2011

唧歪类
做程序怎么可以这样呢,明文存密码有什么好处呢?
完全想像不到啊。
即便是能防住外贼,家贼也防不住啊。

2001年注册的我,居然不在其中,幸运啊。

6428627个账户。其中,
使用mail.biti.edu.cn注册的同学,79个。
使用19(50-99)(01-12)(01-31)作为密码的,376433个。

CSDN的微博说是2009年的库,扯蛋。
随便找到一个用户名带有2010的号,到CSDN上一找,就是2010年5月6日注册的。
真尼玛不厚道。

赶紧改密码吧,同学们。


以下为转载:
CSDN网站帐号数据库安全性问题
原文网址:http://robbin.iteye.com/blog/1319958
(注:原文已删除,此为百度快照内容。)

今天去首都在线机房清点服务器和网络设备,忙了一天。回到公司听说网络流传CSDN帐号数据库的事情,也不断有朋友和会员问我这个事情,CSDN帐号数据库是不是明文保存密码,是否安全?考虑到大家对这个问题都非常关注,解释一下相关的情况:

CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。

我2010年来CSDN上班以后,接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中,发现CSDN帐号的安全性仍存在潜在的问题:虽然密码保存已经修改为加密密码,但老的保存过的明文密码未清理;帐号数据库运行在Windows Server上的SQL Server,仍有被攻击和挂马的潜在危险,所以我立即要求程序员将所有明文密码全部清空。

2010年9月我组建了新的研发团队重写CSDN用户管理功能,在《我来CSDN的这一年》 详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线,使用了SHA256算法+SALT加密,帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库,解决了CSDN帐号的各种安全性问题。

以下是大家可能关心的问题:

一、CSDN帐号数据库是明文保存密码吗?
2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月我来CSDN以后清理掉了所有明文密码。

二、我的CSDN帐号是安全的吗?需要修改密码吗?
1、如果你是2009年4月以前注册的帐号,且2010年9月之后没有修改过密码,请立即修改密码;
2、如果你是2009年4月以后注册的帐号,且2010年9月之后没有修改过密码,建议修改密码;
3、如果你是2010年9月以后注册的帐号,不必修改密码,但邮箱有泄露可能性;
4、如果你是2011年1月以后注册的帐号,帐号,密码和邮箱都非常安全;

三、CSDN帐号数据库现在是安全的吗?
历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库,进行了多方面的安全加固,密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的?
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据,其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。泄露原因不详,但是从互联网运营角度来说,Windows和SQL Server的安全性是比较难保障的,这也是为什么我改造passport要迁移到Linux平台的主要原因。

五、如果我的CSDN帐号已经被盗怎么办?
1、使用忘记密码功能,系统会重置密码,将新密码发到你的注册邮箱
2、给管理员发邮件,请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题?
1、我们将针对2010年9月之前的注册用户,提示修改密码
2、我们将针对所有弱密码用户进行提示,要求用户修改密码
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码
发布于 12/22/2011 0:12:56 | 评论:7
天魔 @ 12/22/2011 0:31:31
方便国安局盗号?
吴雨 @ 12/22/2011 0:51:00
这个的可能性我觉得不大。
我倒是觉得“留明文说不定哪天能用得上”的可能性比较大。
国内公司,大抵如此。
pc @ 12/22/2011 9:40:14
求下载
我觉得是给公安和网监用的
网监他们看QQ都是通信和密码都是明文。。。
吴雨 @ 12/22/2011 13:37:39
现在网上这个文件比较难找到了,绝大多数已经被删除了。

可以去这里在线查询
天魔 @ 12/22/2011 17:17:12
已经在 eMule 网络里,没法消灭掉了。开 eMule 搜索“csdn 600万 rar”。
pc @ 12/22/2011 21:00:52
恩,emule下载搞定了。迅雷已经屏蔽了此下载。但原始版emule下载ok!
V @ 12/25/2011 19:53:12
我搜到的“使用mail.biti.edu.cn注册的同学”有85个

看帖要回帖...

categories
archives
links
statistics
  • 网志数:1168
  • 评论数:2011