昨日，曾引(yin)發業界關(guan)注的CSDN網(wang)站(zhan)用(yong)戶數據(ju)泄密(mi)案宣(xuan)告破獲。北京警(jing)方對CSDN網(wang)站(zhan)未落實(shi)(shi)國家信(xin)息安全等(deng)級保(bao)(bao)護制(zhi)度造成用(yong)戶信(xin)息泄露事件(jian)做出行政警(jing)告處罰，這是國內自落實(shi)(shi)信(xin)息安全等(deng)級保(bao)(bao)護制(zhi)度以來開出的第一張“罰單”。

　　CSDN創立于1999年，是中(zhong)國最大的中(zhong)文IT知識服(fu)務集團(tuan)。目前，網站擁有2000萬注冊(ce)(ce)用戶、50萬注冊(ce)(ce)企(qi)業及合作伙伴，日訪問量(liang)約(yue)2000萬次。

　　600萬用戶遭泄密

　　去(qu)年12月21日，曾有網(wang)友爆料(liao)稱(cheng)，國內程序員社區(qu)CSDN的(de)安全系統遭到(dao)黑客攻擊，CSDN數據庫中的(de)600萬用戶的(de)登錄名(ming)及(ji)密碼(ma)遭到(dao)泄(xie)露。隨(sui)后，天涯(ya)社區(qu)、世紀佳緣、開心網(wang)等十(shi)余(yu)家國內知名(ming)網(wang)站近(jin)5000萬用戶的(de)信息在網(wang)上被黑客公布。

　　一時間，消(xiao)息真假難辨，互聯網(wang)上人(ren)人(ren)自危。

　　國家互聯網應急中(zhong)心(CNCERT)數據(ju)統(tong)計稱(cheng)，被公開的疑(yi)似泄(xie)露數據(ju)庫26個，涉及賬(zhang)號、密碼(ma)信息(xi)2.78億條。

　　CSDN在微博上確認了這一事故，并表示已經報(bao)案。對于大范圍的用(yong)戶(hu)數(shu)據(ju)泄露(lu)一事，CSDN回應稱，經過初步分(fen)析，該庫系2009年CSDN作為(wei)備份所用(yong)。

　　警方的調查(cha)顯示，嫌疑人承認是在2010年4月利用CSDN網(wang)站漏洞，非法侵(qin)入服務器獲取用戶數據，還交代了曾經入侵(qin)過(guo)某(mou)充值平臺(tai)及某(mou)股(gu)票系(xi)統等犯罪事實。

　　這(zhe)種(zhong)行為的行業術語稱作“拖(tuo)庫(ku)”，指黑客把網站服務器(qi)上數據庫(ku)偷偷下(xia)載到自己(ji)電腦(nao)中；而撞(zhuang)庫(ku)則是(shi)，黑客用(yong)拖(tuo)庫(ku)所得的海量注冊郵(you)(you)箱(xiang)和密碼(ma)(ma)，在電子(zi)支付、微博、聊天、購(gou)物等不(bu)同(tong)平臺上試(shi)探登(deng)錄(lu)，如果(guo)有人習(xi)慣使用(yong)相(xiang)同(tong)的注冊郵(you)(you)箱(xiang)和密碼(ma)(ma)，很容(rong)易會(hui)被黑客撞(zhuang)庫(ku)盜號。

　　與此同時，北(bei)京(jing)警方對CSDN網站開(kai)展了調查，發(fa)現其未落(luo)實國(guo)家信(xin)(xin)息(xi)(xi)安全等級保護(hu)制度(du)，安全管理制度(du)和技術保護(hu)措施落(luo)實不(bu)到位是造成用(yong)戶信(xin)(xin)息(xi)(xi)泄露的主(zhu)要原(yuan)因。

　　北京(jing)市公安局向CSDN網運營公司提出了具體整改要求，并(bing)依據《中華人(ren)民共和國計算機信息系統安全保護條例》（中華人(ren)民共和國國務院令147號）第二十條第（一(yi)）項規(gui)定(ding)，對(dui)北京(jing)創(chuang)新樂知信息技(ji)術有限公司做出行政警告處罰(fa)。

　　杭州安(an)恒(heng)信(xin)息技術公司給CSDN提供的(de)審計報告顯示，由于CSDN網站開源(yuan)系(xi)統(tong)等第三方系(xi)統(tong)存在第三方系(xi)統(tong)漏洞(dong)、已(yi)停用的(de)老系(xi)統(tong)、應用程序(xu)漏洞(dong)、系(xi)統(tong)后(hou)臺認證等四大問(wen)題，使其網站存在安(an)全風險，泄露了大量信(xin)息。

　　CSDN反思

　　CSDN創(chuang)始人蔣濤(tao)曾坦言，“CSDN對敏感信(xin)息不敏感，也缺乏(fa)安(an)全意識。”在CSDN擁有(you)不到100臺服務器，注冊(ce)(ce)信(xin)息只(zhi)包括郵箱和密(mi)碼(ma)的情況(kuang)下，他一(yi)度(du)認為，這些(xie)注冊(ce)(ce)信(xin)息并不具備(bei)太強的隱私性，也不會引起黑客的興趣。

　　“整個(ge)(ge)事件(jian)最(zui)不可(ke)思議的(de)(de)地方在于，像CSDN這(zhe)(zhe)樣的(de)(de)以(yi)程序(xu)員和開發為核心的(de)(de)大型(xing)網站，居(ju)然采用(yong)明文存儲密碼(ma)(ma)。”專業IT博客“月光(guang)博客”撰文表示，“稍(shao)微懂(dong)一點編程的(de)(de)程序(xu)員都(dou)知道(dao)，為了用(yong)戶(hu)的(de)(de)安全，應該(gai)在數(shu)據(ju)庫(ku)里保存用(yong)戶(hu)密碼(ma)(ma)的(de)(de)加密信(xin)息(xi)，最(zui)簡單的(de)(de)MD5(密碼(ma)(ma)+隨(sui)機字符串)，一般類似(si)UCenter這(zhe)(zhe)樣的(de)(de)論壇還會將這(zhe)(zhe)個(ge)(ge)信(xin)息(xi)再MD5一次，這(zhe)(zhe)樣黑客即使(shi)下載了數(shu)據(ju)庫(ku)，破解用(yong)戶(hu)密碼(ma)(ma)也不是(shi)一件(jian)容易(yi)的(de)(de)事情。”

　　不(bu)止CSDN一家有(you)這樣的(de)問題(ti)。由于(yu)對安(an)全的(de)不(bu)重視，不(bu)少急速發展的(de)互聯網(wang)企業在(zai)不(bu)經意間為自己埋下(xia)了(le)安(an)全隱患的(de)種子。據蔣濤介紹(shao)，目前，整(zheng)個互聯網(wang)的(de)安(an)全現(xian)狀極(ji)不(bu)樂觀(guan)：70%以上的(de)加密(mi)算法密(mi)碼庫(ku)都(dou)可以通過高(gao)頻碰撞破解，80%以上的(de)互聯網(wang)公司都(dou)存在(zai)漏洞，60%以上有(you)安(an)全策(ce)略(lve)的(de)公司還存在(zai)著漏洞，地(di)下(xia)數(shu)據庫(ku)顯(xian)示，網(wang)站(zhan)暴(bao)露出來的(de)問題(ti)甚至(zhi)更(geng)多(duo)。

　　自今年(nian)1月，北京警方對全(quan)(quan)(quan)市(shi)106家互聯網網站(zhan)(zhan)開(kai)展信息安全(quan)(quan)(quan)檢查工作(zuo)，發現并現場糾正206處安全(quan)(quan)(quan)隱患。而360網站(zhan)(zhan)安全(quan)(quan)(quan)檢測平臺對隨(sui)機抽取的93233個國內網站(zhan)(zhan)分析發現，存在高危漏(lou)(lou)洞(dong)的網站(zhan)(zhan)比(bi)例達(da)36%，存在中危漏(lou)(lou)洞(dong)的網站(zhan)(zhan)則有(you)16%，兩者合(he)計比(bi)例高達(da)52%，國內網站(zhan)(zhan)安全(quan)(quan)(quan)防護能力仍有(you)待(dai)完(wan)善。

　　今年1月，CSDN和阿(a)里云(yun)結成戰略合作關系，共同打(da)造安全(quan)可(ke)信的開(kai)發者(zhe)服務平臺。當時蔣(jiang)濤反(fan)思稱，“如何讓開(kai)發者(zhe)信任(ren)CSDN，如何提高開(kai)發者(zhe)的安全(quan)技能，如何為開(kai)發者(zhe)創造價值(zhi)，這是CSDN安全(quan)事件之后反(fan)思的主(zhu)題。”

　　互聯網(wang)安(an)全問題依然(ran)刻(ke)不容緩。天(tian)涯方(fang)面(mian)昨日對記者表(biao)示，目前關(guan)于用(yong)戶數據(ju)泄露(lu)(lu)一事暫無(wu)進(jin)展可透露(lu)(lu)。