密碼裸奔進行時

“你改密碼了沒有？”不是調侃,不是搞笑，這樣的問候語是正在發生的事實。自從12月21日開發者技術社區CSDN的600萬用戶密碼外泄被曝光以來，多家國內知名網站接踵而至，不同程度地被卷入了“密碼外泄”的傳言泥潭。一時間，網絡上風聲鶴唳草木皆兵，隨便登錄一個常去的網站，往往劈頭就會撞上“重新設置密碼”的醒目提示。我們不妨用一句“老滾5”游戲中的流行語來描述這種現狀—“我從來不知道密碼也要天天修改，直到我的膝蓋中了一箭！”而這突如其來的第一箭，就是CSDN社區的600萬“被裸奔”賬戶。

技術社區被“爆庫”？

12月21日晚間，網上突然爆出一條消息：CSDN社區承認有約600萬用戶密碼遭到外泄，且絕大部分是早年留存的明文密碼。

一石激起千層浪。

CSDN何許網站也？這四個字母是中國軟件開發聯盟（Chinese software develop net）的縮寫，也是中國最大的開發者技術社區。

某網友用一個想象出的場景來描述當晚的情形—在某計算機專業的大學生寢室里，一個男生大叫道：“兄弟們，最新的日本某女星片子已經下好，大家快過來看啊，相當精彩??！”然而，這個寢室里的其他同學似乎對這哥們的再三邀請聽而不聞。因為大家都在眉飛色舞地談論著CSDN的明文密碼和用戶賬號泄露的事情，并在網上搜索下載CSDN那600萬的用戶數據……

“那一晚，全中國的程序員都在瘋狂地改密碼。”網友“謝昊”的這條微博并不夸張。

因為CSDN的特殊地位，部分網友認為這簡直是莫大的諷刺：“都什么年代了，還用明文密碼？”“一群技術青年竟然在一個如此沒技術含量的平臺上交流了那么多年！”

然而，隨后的一連串連鎖反應顯示，這600萬數據的外泄也許只不過是露出海面的冰山一角。

600萬密碼折射的隱患

按照CSDN社區《公開道歉信》中的說法，由于時間久遠的關系，一小部分用戶密碼確實采用了明文儲存。然而，這600萬密碼泄漏折射出的問題，絕不只有明文儲存而已。

在“開源中國”社區上，有網友針對網絡上流傳的CSDN外泄數據包進行了分析，得出的結論讓人吃驚：

有近45萬的用戶使用123456789和12345678做密碼。有近40萬的用戶使用自己的生日做密碼。有近15萬的用戶使用自己的手機號做密碼。有近25萬的用戶使用自己的QQ號做密碼。設置成弱密碼的用戶占了590萬，也就是那種就算你用MD5或是SHA算法加密也能很快就被暴力破解出來的密碼。

只有8 000多個用戶的密碼長度大于8個字符，并包括了大寫字母、小寫字母和數字，而且不在字典表里。

即使在程序員云集的CSDN社區，他們設置的密碼也并沒有多高的安全系數。而且，太多人習慣用與個人信息相關的數字充當密碼，一旦賬戶被破解或泄露，隨之陷入危險的還可能有用戶的手機號、QQ號甚至出生日期！

一般人的賬號密碼認準后基本不會變。也就是說，拿到CSDN社區的這份被盜資料后，就可以隨意登陸別人的郵箱、QQ、微博以及豆瓣，甚至破解出銀行密碼。

網友“林磊”做了一下實驗：“剛剛下載了那個文件，解壓后200多兆的文本。在里面搜了一下，自己的賬號果然在里面，用戶名、密碼、郵箱全部都在。頓時一陣無名火起，讓我們還怎么相信這些網站！”

“太丟人！”IT人“魚翅”一言以概之，“這次泄漏事件一出，就等于宣告程序員干不過黑客?！?/p>

“多米諾效應”爆發

CSDN僅僅是一個原點，可能引發席卷整個互聯網的連鎖反應，更多普通網民發現自己開始被卷入其中。一周之內，天涯社區、新浪微博、騰訊QQ、京東商城、人人網、開心網、多玩游戲網、7k7k、世紀佳緣、珍愛網、美團網、美空網和百合網等多家知名網站紛紛卷入“密碼泄露”的傳言。截至發稿時，來自奇虎360的最新監測顯示，目前網上公開暴露的網絡賬戶密碼已超過1億個。

就在這一周里，互聯網安全專家趙明（化名）在與網友的討論中得到一個迅雷下載鏈接。正當他下載這個文件時，《迅雷》軟件右側的相關推薦里列出了7k7k網2 000萬、多玩游戲網800萬的數據包，他立刻同時下載。之后，這個列表還在不斷擴大，天涯社區、嘟嘟牛、178和人人網等網站都已經進入推薦清單。

盡管人人網、開心網和7k7k等不少網站均對“被黑”一說予以否認，稱從未使用明文密碼，但仍然提示“在CSDN或者其他論壇等使用相同賬號密碼則存在風險，請盡快修改”。密碼外泄的“流感”一時引得網上人人自危，互聯網安全公司紛紛拉響紅色警報。

“我在天涯的賬號已經被黑，無法登錄?！?2月26日，著名編劇寧財神在微博上宣布自己的天涯賬戶被盜，無法使用。除了寧財神，龍貓蓓、A弄月公子、蕊小蕊、東方_chi等眾多新浪微博用戶都稱發現自己的天涯賬號于近幾日被盜。

更嚴重的是，密碼被盜后，賬戶被黑客用來惡意發帖或進行詐騙。新浪微博用戶“成都電臺陳露”表示，他的天涯賬號被盜后，居然被人用來在天涯的“情感天地”大發廣告！

事情到此還沒有結束，12月27日，網易163郵箱也傳出了“被黑”的消息。郵箱管理界面中被綁定了陌生的QQ號碼，有人認為這是被攻擊的后門賬號。雖然網易隨后發出辟謠，表示此事子虛烏有，但看在已經人心惶惶的網友眼中，自然很難做到無動于衷。和錢直接掛鉤的京東商城更是被爆出用戶信息大面積泄露，內容包括姓名、地址、電話和Email等，被泄露后的用戶形同網上裸奔。

面對接踵而來的“多米諾效應”，各網站聞風而動，提示“盡快更改密碼”的安民告示幾乎隨處可見，各出招數應對這波風潮。

天涯社區就在網站首頁掛出了公告，澄清稱“泄露數據低于網上盛傳的4 000萬”，并稱已就此事向公安機關報案。

新浪微博在宣布密碼并未泄露后，很快推出了短信報警、登錄保護和賬號鎖定等功能。

網易宣布其自主研發的人臉識別系統已經取得核心技術突破，明年上半年將用在郵箱等產品上（要求用戶在終端擁有攝像頭，通過攝像頭捕捉人臉信息進行比對），并逐漸推廣。

騰訊方面發布聲明稱，已對泄密的QQ郵箱賬號限制登錄。請這部分用戶登錄時根據提示，在QQ安全中心使用密保工具箱來修改密碼。同時建議用戶定期修改密碼，盡量不要在多個重要賬戶中使用雷同密碼，避免賬號被盜。

人人網表示，對于密碼風險特別高的用戶，該網站將暫時凍結賬號的使用，以待其聯系客服加強安全措施方可正常使用。

支付寶則向媒體表示，由于其功能對保密的要求比一般的互聯網社區網站更高，支付寶早就推出了專門的密碼安全控件。該安全控件實現了在SSL加密傳輸基礎上對用戶的關鍵信息進行再次多重加密。

同時，很多網游公司在登錄時也都新加入了輸入驗證碼一項，以加強安全。

金山員工是始作俑者？

事情走到這一步，知名網站紛紛卷入。但事件的源頭到底是怎么一回事？曾有網友爆出，最早在迅雷公開提供數據庫下載的人為金山公司員工。

早在CSDN社區密碼遭泄的第二天，也就是12月22日，網上傳播的圖像顯示，有QQ用戶曾于21日下午2時許，在QQ群內發布CSDN數據包的迅雷快傳鏈接。12月23日凌晨，一名ID為hzqedison的新浪微博用戶承認，其本人是該文件的上傳者，并表示道歉。

為了洗清嫌疑，涉嫌“泄密”的當事人韓斌（化名）曾向媒體講述事情的全過程。

韓斌表示，12月21日下午2時許，他在一個網絡安全相關的QQ群內，看到了CSDN用戶賬號密碼的迅雷下載文件。由于他本人也是一名技術人員，并且是CSDN注冊用戶，因此他馬上將該文件下載，以查閱自己的賬號是否被盜。

“果然在里面查到了我的賬號！我的很多同事也是這個網站的注冊會員，我想把這份東西共享給他們，如果他們查到自己的賬號被泄，好快去更改密碼。于是我把QQ群內要用迅雷專用工具下載的鏈接，轉化成了迅雷快傳的下載鏈接，并且發到了一個朋友圈內的QQ群里?！?/p>

令韓斌大吃一驚的是，僅僅過了不到十分鐘，他所發布的相關內容就被人截圖，并發布在了專業安全網站“烏云”（wooyun. org）上?！皳也聹y，我把東西發在QQ群里后，又有人在不同的QQ群內轉播，所以才會傳播出去?！表n斌說。

“我當天就刪掉了迅雷上的文件，但沒想到事情會影響得這么大，很快有人策劃新聞，也有水軍來轉發、罵我?，F在連我父母都打電話問我，我只能告訴他們我確實沒有做過這樣的事。我很愛我的工作，真的不想失去它?！表n斌的話語斷斷續續，聲音微微發顫。

12月26日，金山網絡發表聲明，承認韓斌確為其公司員工，但同時表示，該員工并非在網絡上被“千夫所指”的黑客，也不是最早泄露用戶數據的人。

“事件絕對不是金山引起的，我們已經掌握了始作俑者的部分資料。”金山網絡公關部門相關負責人說。

撲朔迷離的“真相”

隨后，又有網友發現，早在12月4日，就有ID為“臭小子”的用戶在前述的專業安全網站“烏云”上發布了一份“中國各大站點數據庫曝光”的漏洞概要，截圖中也包括最早被泄露的CSDN相關數據庫。只是在當時，這份截圖并沒有引起廣泛的關注。

那么，這才是本次風波真正的源頭？遺憾的是，自從12月23日，“臭小子”在百度空間上發表名為《網上那些事和我無關！》的博客公告之后，始終沒有再出現在公眾的面前。即使在那篇博客中，他也只說“在這里我表示歉意，里面的數據庫我真的沒有，數據庫真的不是我搞的，我也沒有搞過?！?/p>

山重水復疑無路，料不到的是柳暗花明又一村。12月28日，CSDN創始人蔣濤公開指出遭遇上市公司栽贓，并公布被曝庫數據重合度對比，其目標直指人人網。

在連續發表的微博中，蔣濤還寫道，密碼泄密事件發生迄今，僅CSDN第一時間公開道歉并通知用戶，其他人沉默或否認。他還表示，一些網站還趁機渾水摸魚，將這些公開庫的數據直接導入自己用戶庫，也發通知給用戶改密碼，此外，釣魚網站和垃圾郵件都活躍了起來。

截至本刊發稿時止，事件的真相暫時還沒有水落石出，但后果卻是可以預想的。一位不愿具名的安全行業資深人士指出，泄密事件將造成持續連鎖反應?！耙郧坝泄疽o網民發垃圾郵件，還要去購買有效用戶的信息，現在他們完全不用買了。我估計在未來一段時間內，中國網民將會接收到大量的垃圾郵件。此外，也會有部分用戶存在銀行密碼被盜用的危險。”