關于相關網站用戶信息泄露事件的通報

　　12月22日，國家互聯網應急中心(CNCERT)通過網站發布了《關于CSDN中文社區用戶帳號密碼泄露的安全公告》，通報了CSDN中文社區大量用戶賬號和明文密碼遭泄露的情況。事件發生后，CNCERT一方面密切關注后續發展情況，一方面緊急聯系和協調相關網站開展應急處置，并組織召開專家研判會進行分析研判?，F將相關情況通報如下：

　　一、信息泄露情況

　　截至12月29日，CNCERT通過公開渠道獲得疑似泄露的數據庫有26個，涉及帳號、密碼2.78億條。其中，具有與網站、論壇相關聯信息的(例如，被聲稱屬于某個網站的數據)數據庫有12個，涉及數據1.36億條;無法判斷網站、論壇關聯性的數據庫有14個，涉及數據1.42億條。

　　CNCERT對所曝光的數據進行了抽查核實，發現部分數據是有效的，經過與相關網站、論壇聯系核對后，確認CSDN社區、天涯社區兩家網站發生了用戶數據泄漏事件，但泄漏原因還有待進一步分析;對于其他網站、論壇，雖然曝光數據中個別條目有效，但不能判定發生了網站、論壇用戶數據泄漏事件。

　　由于部分互聯網用戶在不同網站注冊帳號時習慣使用相同用戶名和密碼，因此一旦在某個網站注冊的帳號、密碼等信息被泄漏，該用戶在其他網站注冊的帳號和密碼也面臨被泄漏的風險;此外，部分用戶設置的密碼比較簡單(例如，使用用戶名拼音、電話號碼等)，容易被黑客猜解。因此，部分黑客利用上述隱患，大肆對各個網站的用戶注冊信息進行探測猜解，甚至利用個別網站泄漏的用戶數據作為“字典”，在其他網站上做惡意嘗試，這兩種被形象地稱為“暴力破解”和“撞庫”的惡意行為，極大地威脅到互聯網用戶的信息安全。根據各網站的驗證結果，目前網上流傳的泄漏庫中，部分數據是有效的，但也有大量的數據是虛假的、無效的。例如，根據CSDN和天涯的測試結果，網上曝光的相關數據庫中有一部分并不是其用戶的數據。

　　盡管曝光的數據有真有假，但是不可否認的是此次事件的確給互聯網用戶帶來了嚴重的個人信息安全威脅。被泄漏真實信息的用戶，其網站個人賬戶中的信息可能會被竊取，甚至帳號被盜用;很多用戶注冊帳號時留下了電子郵件帳號，如果泄漏的密碼與電子郵件密碼相同，則會帶來個人郵件的泄漏風險;黑客甚至可以利用這些郵件帳號冒用用戶名義，在其他網站上利用密碼重置功能進一步竊取更多帳號。此外，這些大量被泄漏的帳號也可能被黑客用于發送虛假、欺詐信息，危害其他用戶安全和社會穩定。

　　二、事件處置情況

　　事件發生以來，CNCERT在工業和信息化部的指導下，緊急聯系各個網站、論壇開展應急處置，并組織召開專家研判會議。CSDN社區和天涯社區分別在各自網站發布公告，確認事件并提醒用戶采取應對措施，對泄露賬戶密碼進行有效性測試、臨時鎖定賬號并通知用戶修改密碼。其他網站、論壇也分別對網上泄漏數據進行比對測試，通知“命中”用戶采取應對措施。各個網站、論壇也根據專家建議，著手采取系統安全防護工作，提高用戶信息保密強度、用戶登錄驗證難度等。

　　三、防范措施建議

　　網站和個人計算機安全是關乎用戶數據安全的重要方面。僅2011年11月，CNCERT就監測發現我國大陸1785個網站被篡改、2179個網站被植入后門、近165萬個主機IP感染木馬或僵尸程序，以及561萬余個主機IP感染飛客蠕蟲。這些被入侵的網站和個人計算機上的數據都一定程度地面臨被竊取的風險。

　　本次信息泄露事件帶來了廣泛的社會影響，再一次對互聯網企業和互聯網用戶敲響了安全警鐘。針對本次事件反應出的問題，CNCERT提出如下安全防范措施建議，供各互聯網企業和廣大用戶參考。

　　(一)建議各互聯網企業認真看待網絡安全防護工作，加強聯網系統的安全漏洞檢查和修補，部署安全防護設施，不給黑客滲透入侵的機會;

　　(二)建議各互聯網企業加強對用戶信息的保護，采用強加密的方式保存用戶密碼等關鍵數據，采用嚴格、多重的用戶認證程序，一旦發現帳號出現異常，應立即通知用戶，對于重要業務，應建立強制性密碼定期更新機制，以及采取U盾等其他身份識別技術。

　　(三)建議各互聯網企業加強內部管理，建立有效可行的管理機制和操作規程，避免內部人員竊取并故意泄漏用戶數據;此外，還應設置專門崗位負責日常網絡安全保障工作，并與CNCERT或其他國家相關部門建立工作聯系機制，及時報告和處置安全事件。

　　(四)建議廣大互聯網用戶養成良好的安全意識和上網習慣。避免在不同網站注冊時使用同一套賬號和密碼，應采用數字、字母、符號相結合的8位以上長度的密碼，并定期更換;從事重要工作的用戶尤其要注意避免使用工作郵箱作為注冊其他網站帳號時填寫的聯系郵箱;平時要注意對個人電腦的安全防護，及時升級補丁并安裝安全軟件，避免因感染木馬而導致個人信息被盜。

　　(五)建議各互聯網網站、論壇應堅決抵制網上散播用戶個人信息的行為，不提供、不轉發相關下載鏈接;互聯網用戶一旦發現存在數據泄漏隱患的網站、論壇，應及時向當事方發出提醒，或者通報并委托CNCERT等國家相關機構聯系當事方處置。

　　CNCERT將繼續跟蹤和處置該事件，協助各部門做好善后防護工作。

　　CNCERT聯系方式：

　　聯系電話：010-82990999

　　郵箱：cncert@cert.org.cn

　　網站：www.cert.org.cn