中国大陆互联网服务被集体爆库[新闻汇总]

新闻来源:
http://www.36kr.com/
http://www.cnbeta.com/
网易科技
腾讯科技
Wooyun
其它

新闻按时间倒序排列

汇总

12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露

12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多…. 一场席卷全中国的密码安全问题爆发了….

12月23日:经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露

12月23日:网友爆料 天涯沦陷…7K7K包中包含天涯帐户密码!!!互联网安全何在???

12月24日:178沦陷 UUU9沦陷 事态蔓延…

12月24日:天涯全面沦陷 泄露多达900W帐户信息…

12月24日:网易土木在线也沦陷,数据量惊人…

12月25日:百度疑因帐号开放平台泄露帐户信息…

12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露…

12月25日:UUU9.COM被黑客两次拖库..

12月25日:事态升级天涯疑泄露4000W用户资料

12月25日:178第二次被拖库泄露数据110W条

12月25日:木蚂蚁被爆加密密文用户数据,约13W数据

12月25日:知名婚恋网站5261302条帐户信息证实…

12月26日:myspace泄露,迅雷又成功离线3个泄露包!

12月26日:ispeak泄露帐户信息 已验证!请官方通知会员修改密码!

12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次

12月26日:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露数据不详

12月26日:塞班智能手机网校验准确率高达70%!!或塞班智能手机网沦陷

12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G 资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.)

12月27日:178.com彻底沦陷,共计泄露超出1100W+ 数据!

12月27日:766验证泄露,泄露数据十余万!

12月27日:ys168验证泄露,泄露数据三十余万!

12月27日:凡客20W 当当10W 卓越20W 用户资料验证泄露

12月28日:太平洋电脑泄露200W用户资料包含用户帐户

12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!

以下为本次账号泄露情况的基本信息表:

CSDN共计泄露640万个帐号,泄漏信息:帐号、明文密码、电子邮件;

多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称;

178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)

天涯:共计泄露4000万个帐号(预计超过4000W数据),泄漏信息:帐号、明文密码、电子邮件

人人网:共计泄露500万个帐号,泄漏信息:明文密码、电子邮件

UUU9.COM:共计泄露700万个帐号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称

网易土木在线:约4.3GB 137个文件,泄漏信息:帐号、MD5加密密码、其他相关数据

梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。

北京麒麟网信息科技有限公司:共计泄露9072966个帐号,泄漏信息:帐户、明文密码

知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码

Ispeak.CN:共计泄露1680271个帐号,泄漏信息:帐户、明文密码、昵称

木蚂蚁:共计泄露13W帐号,泄漏信息:帐户、加密密码、数据库排序ID、其他信息

塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱

766.COM:共计泄露约12W帐号,泄漏信息:帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、数据库排序ID

ys168:共计泄露约30W帐号,泄漏信息:帐户、明文、电子邮箱

当当:共计泄露约10W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话

凡客:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话

卓越:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、,电话

腾讯被爆库

http://www.wooyun.org/bugs/wooyun-2010-03523

新网数十万域名管理密码泄露

http://www.wooyun.org/bugs/wooyun-2010-03697

新网管理后台权限疏漏,造成域名管理密码大批量泄露。
保守估计泄露量在30万以上。
漏洞最早发现于2010年2月,在积极联系新网各地区代理后,无任何回应。
再次联系时发现邮件地址已被加入黑名单。
而近两年来,该漏洞仍未修复,用户信息安全荡然无存。

CSDN只是冰山一角,人人网、多玩网、世纪佳缘等或者已经同样被爆库

继黑客放出CSDN 600万用户名和密码后,人人网和多玩网也分别被放出500万和800万用户名和密码资料。@月光博客说,多玩网的800万用户泄漏库里,有大量用户名、明文密码、邮箱、部分加密密码,经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。

而人人网的被黑数据库用户名和密码大部分都无法登陆,因此还有待验证。

不过这次的数据库被黑事件或许不是这么简单的风波,CSDN和多玩网或许只是冰山一角,网上放出的文件图片(来自@pellchen——黑莓中国站长)显示开心,美空,世纪佳缘,百合等都在其列。

CSDN产品总监范凯就密码明文保存问题发布解释

今天发生的这起@CSDN 数据库被黑事件引起了众多程序员的不满,600万用户名和密码遭到泄漏。刚刚CSDN CTO@范凯Robbin 发布了博文更新对明文保存密码问题进行了解释:

今天去首都在线机房清点服务器和网络设备,忙了一天。回到公司听说网络流传CSDN帐号数据库的事情,也不断有朋友和会员问我这个事情,CSDN帐号数据库是不是明文保存密码,是否安全?考虑到大家对这个问题都非常关注,解释一下相关的情况:

CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。

我2010年来CSDN上班以后,接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中,发现CSDN帐号的安全性仍存在潜在的问题:虽然密码保存已经修改为加密密码,但老的保存过的明文密码未清理;帐号数据库运行在Windows Server上的SQL Server,仍有被攻击和挂马的潜在危险,所以我要求程序员将所有明文密码全部清空。

2010年9月我组建了新的研发团队重写CSDN用户管理功能,在《我来CSDN的这一年》 详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线,使用了强加密算法,帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库,解决了CSDN帐号的各种安全性问题。

以下是大家可能关心的问题:

一、CSDN帐号数据库是明文保存密码吗?
2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月我来CSDN以后清理掉了所有明文密码。所以从2010年9月开始全部都是安全的,9月之前的有可能不安全。

二、我的CSDN帐号是安全的吗?需要修改密码吗?
1、如果你是2009年4月以前注册的帐号,且2010年9月之后没有修改过密码,请立即修改密码;
2、如果你是2009年4月以后注册的帐号,且2010年9月之后没有修改过密码,建议修改密码;
3、如果你是2010年9月以后注册的帐号,不必修改密码,但邮箱有泄露可能性;
4、如果你是2011年1月以后注册的帐号,帐号,密码和邮箱都非常安全;

三、CSDN帐号数据库现在是安全的吗?
历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库,进行了多方面的安全加固,密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的?
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据,其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。

五、如果我的CSDN帐号已经被盗怎么办?
1、使用忘记密码功能,系统会重置密码,将新密码发到你的注册邮箱
2、给管理员发邮件,请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题?
1、我们将针对2010年9月之前的注册用户,提示修改密码,并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示,要求用户修改密码,并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码,并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录,针对网络上面泄露出来的帐号数据库进行验证,凡是没有修改过密码的泄露帐号,全部重置密码。

我这个不是官方的公开声明,仅从个人工作角度来解释,CSDN网站公开声明会稍后公布,我希望自己代表CSDN向用户表示深深的歉意。

[2011/12/21][17:15]CSDN回应数据库被泄露:已向公安机关报案

对于CSDN用户账号密码数据库被泄露一事,经过初步分析,该库系2009年CSDN作为备份所用,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前CSDN已向公安机关报案,公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。

[2011/12/21][15:14]CSDN被黑:600余万个明文的注册邮箱帐号和密码被黑客公开

有网友爆料称,今天有黑客在网上公开了知名网站CSDN的用户数据库,这是一次严重的暴库泄密事件,涉及到的账户总量高达600万个,我们部分同事确实也在泄漏的库里发现了自己的帐号。

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s