Follow your heart(183)---csdn密码泄露

我发现,专业不专业真的有时也不重要, 用心想很重要.

我这么外行的人,也知道密码都是明文的很可怕,对用户太不负责任,所以,之前当我以管理员身份,进入后台看到我的兼职的程序员给我做的网站,密码是明文的,大吃一惊, 马上和他说,这不对.而他已经在it行业工作了3年多.

当然,完全不懂技术,也许也以为这个是应该的.我恰巧有个小论坛,是phpwind的现成的,有时网站的其他用户密码忘记了,会和我说,要我帮他们找回来,我也是进去后台后,发现是看不到他们密码,不能给他们找,只能重新设置一个,通常我就设置为123,再让他们去改. 所以看到兼职的小伙子给我做的明文密码,立即就知道不对.

我更吃惊地发现,我竟然06年就注册了csdn,所以,我中招了...

我为啥那时注册csdn呢,我以为我是从今年才开始关心技术的啊...

不过,那时,应该是04年,我就想做一个和旅行相关的网站了,或者是06年,我因为什么原因查资料,到了csdn?

那时为啥没开始自学编程呢?

评论

14 楼 Jennycn 2012-01-01  

蒋涛CSDN: 关于密码泄密后的事情 1)某上市公司忙着造假库往外扔 栽赃其他公司 想摆脱被曝明文库的证据 2）有网站通知所有用户改密码 乘机激活用户 3）还有网站 把这些公开库的数据直接导入自己用户库 也发通知给用户改密码 4）钓鱼的 垃圾邮件的都活跃起来了

这是csdn创始人的阴谋论. 看来真的是商场如战场.

13 楼 Jennycn 2011-12-30  

中华英才网也是明文密码,因为设置foxmail邮箱时,看到旧的邮件里,

尊敬的会员，您好，
您已经成功注册为中华英才网（ChinaHR.com）的个人会员，您的帐号信息如下：
　　用户名:****
　　密码:****

请保管好以上信息，这是您今后使用本网的求职服务所必需的。

12 楼 Jennycn 2011-12-30  

太搞笑了,淘宝真白痴

说是 数字,字母,符号的组合可以的,不能只是同一种,结果,我要是只输入字母和数字的组合就一直提示不安全...白痴, 你再复杂,要是是服务器数据库被盗,是这样的明文密码泄露,一样不安全,白痴.

最后,我数字,字母,符号都用上了! 是加了一个感叹号

11 楼 Jennycn 2011-12-30  

在被泄露出去的邮箱里,29日收到淘宝邮件,说我的淘宝账号可能被盗用,

由于您的帐户可能被他人盗用，现淘宝对您的帐户进行保护。保护期间，禁止此帐号登录淘宝网站。开通方式，请详见点击开通账户。

10 楼 Jennycn 2011-12-29  

大众点评网在12月27日,在我没有被泄露的另外的邮箱里发来了他们的提醒

尊敬的用户：

由于近日CSDN网站、天涯社区等网站的用户数据被公开，大量的注册邮箱和密码遭到曝光。
大众点评网提醒您，若您在点评网使用了与其它网站相同的注册邮箱和密码，强烈建议立即修改密码，确保帐号安全。
新密码最好有别于与您在其他网站的密码，请点击以下链接修改密码：
http://www.dianping.com/member/myinfo/setup/account
大众点评网



顺便说,据说当当网的密码也被泄露了


我觉得那个注册时的 条款完全可以去掉了.

所有的网站除了对用户的限制,什么都没有. 自己的密码泄露,没有一个对大众的赔偿机制.

天涯,当当,csdn这些都是经营性网站,而且是盈利的网站,道歉就了事了.

9 楼 Jennycn 2011-12-26  

尊敬的天涯社区用户：关闭
         我们非常抱歉地通知您，近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一。为确保您的隐私及帐户安全，在此，我们恳请您尽快修改天涯社区相关帐户的密码。我们已经在个人微博首页发出提示修改密码的公告。如果您在其他网站也使用同一密码，请务必同时修改更新。
         目前天涯社区已向公安机关报案，公安机关也正在调查相关线索。
         再次向您致以深深的歉意！
关于天涯社区用户账号被泄露的声明：
         由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据。2010年之后，我们升级改造了天涯社区用户账号管理功能，解决了天涯社区用户账号的各种安全性问题。
         已通过邮箱或者手机号码激活账号的用户，请点此重置您的密码。

天涯没给邮箱发邮件,只在自己的网站上登了,对我等这样长期不去的用户,就很不好

8 楼 java960 2011-12-24  

我觉得csdn的通知很不明白，说了很多东西，对用户来说都不重要，搞得很糊涂。

7 楼 Jennycn 2011-12-24  

从接到的邮件看来,有些网站的工作还是比较仔细.

之前22号收到知乎的邮件,提示csdn有密码泄露,

知乎提醒您注意密码安全

***,您好

近日 CSDN 网站发生了用户数据库泄漏事件，知乎提醒您，如果您在知乎使用的密码与 CSDN 网站的密码一致，建议您修改密码，以保证账户安全。

点击下方链接重设密码


其实,我在知乎上的邮箱和这个csdn上泄露的不是一个,但这种提醒很好.

今天又收到58同城的提示,这个就做的更有针对了, 它应该是把自己数据库里的用户邮箱和公开的那些比对了,发现我在这用的邮箱和58的一样.



亲爱的58同城用户 ******：

近日，有媒体报道CSDN社区的部分用户数据库被公开，大量的注册邮箱和密码遭到曝光。

我们注意到您在58同城的注册邮箱也在其中，若您在58同城使用了与其他网站相同的注册邮箱和密码，请立即修改密码（http://my.58.com/password/），以免账户被盗。

新密码最好有别于与您在其他网站的密码。

58同城邮件中心
2011.12.23


新浪微博,大约是怕引起恐慌, 并无邮件单独发来,但在登录微博后,在顶部有一个不算很起眼的提示:

每天成千上万的互联网帐号存在被盗的风险，你知道自己帐号的安全状况么，请立即查看»

罪魁祸首csdn,我则是在今天,24号才在被泄露出去的那个邮箱里收到一封道歉信,和网上的一样.:

尊敬的CSDN会员:

    我们非常抱歉，近日发生了CSDN用户数据库泄露事件，您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码，如果您在其他网站也使用同一密码。请一定同时修改相关网站的密码。
    目前CSDN已向公安机关正式报案，公安机关也正在调查相关线索。再次向您致以深深的歉意。

关于CSDN网站用户帐号被泄露的声明：

    CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。但部分老的明文密码未被清理，2010年8月底，对帐号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN帐号管理功能，使用了强加密算法，帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN帐号的各种安全性问题。


一、CSDN帐号数据库是明文保存密码吗？
2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理；2010年8月清理掉了所有明文密码。

二、我的CSDN帐号是安全的吗？需要修改密码吗？
1、如果你是2009年4月以前注册的帐号，且2010年9月之后没有修改过密码，请立即修改密码；
2、如果你是2009年4月以后注册的帐号，且2010年9月之后没有修改过密码，建议修改密码；
3、如果你是2010年9月以后注册的帐号，不必修改密码，但邮箱有泄露可能性；
4、如果你是2011年1月以后注册的帐号，帐号，密码和邮箱都非常安全；

三、CSDN帐号数据库现在是安全的吗？
历史遗留的安全隐患从2011年元旦起已经全部解决。
CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库，进行了多方面的安全加固，密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的？
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。
因此可以判断出来的泄露时间是在2010年9月之前。泄露原因正在调查中。

五、如果我的CSDN帐号已经被盗怎么办？
1、使用忘记密码功能，系统会重置密码，将新密码发到你的注册邮箱
2、给管理员发邮件，请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题？
1、我们将针对2010年9月之前的注册用户，提示修改密码，并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示，要求用户修改密码，并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码，并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录，针对网络上面泄露出来的帐号数据库进行验证，凡是没有修改过密码的泄露帐号，全部重置密码。



立即点击进入CSDN重新设置密码>> 
如果您已忘记注册邮箱或者注册邮箱无法访问，请联系CSDN网站客服webmaster@csdn.net查询。

6 楼 Jennycn 2011-12-24  

java960 写道

泄露是一回事，更大的问题是如何泄露，应当整个资料库被黑，像csdn这样技术网站的资料最有价值的就是email跟密码，其他也没什么，不过连号称最大的IT网站都保不住自个的资料库，那其他的金融、企业网站呢？大家现在都在谈云端，要是将来也来个这样的情形，我想不是改密码这么简单应付。

唉,是啊, 我每次在携程订酒店和机票时,电话报信用卡号时,就想,这个,其实真的很不安全.因为那接线员就可以知道那些号码

5 楼 java960 2011-12-24  

泄露是一回事，更大的问题是如何泄露，应当整个资料库被黑，像csdn这样技术网站的资料最有价值的就是email跟密码，其他也没什么，不过连号称最大的IT网站都保不住自个的资料库，那其他的金融、企业网站呢？大家现在都在谈云端，要是将来也来个这样的情形，我想不是改密码这么简单应付。

4 楼 Jennycn 2011-12-24  

我发现,印度人给我之前做的东西里, 有一个发邮件,给链接,激活账号,可是,那个邮件里,也会有密码...是不是说明,这就是明文密码了?

因为,至少表明,这个邮件的发邮件的,就至少知道这个用户的密码了啊

3 楼 Jennycn 2011-12-23  

说起csdn的泄露,我就在想注册,登录的事情,还在想那个我一直关心的二级域名的事情.

之前注意过,iteye原来给用户一个默认的二级域名是 用的用户邮箱,比如,我要是用qq邮箱注册的话,他给你的域名是*****-qq-com.iteye.com,然后你可以改.

当时也没觉得太不对,因为,我看到国外的网站,是有默认用户的用户名(nickname)做为二级域名的,因为,他们的用户名不允许中文的,所以,这个就没问题,我们的用户名,是有中文的,就没看到这样用过,虽然,我看到文章说,其实要是dns没问题,这个是可以的.但一般有二级域名的网站无论是新浪,iteye,点点等,好像都没看到过用中文做二级域名的.所以,许多网站不给你设置默认的二级域名,你可以自己改.iteye之前有设置,就是用的邮箱, 是把邮箱的后缀也都一起放进去的. 之前,我觉得这个也没问题,

今天看到一篇文章,就觉得iteye的这个做法,可能还是有问题. 那篇文章是讲如何设计'找回账号"的功能. 他提到,一般凡是用邮箱做登录的,是不给外界(没被授信的人)看到邮箱的.否则容易被垃圾邮件. 我觉得也是. 顺便说句,很悲催的,我邮箱的密码是和其他账号的密码一样的.我太笨了.没想那么多.要是这次的话,人家就可以把邮箱的密码也给我改掉,那我想用这个邮箱去找回其他的网站的密码也不可能了.那个角度看,还是手机绑定账号靠谱.可是,手机泄露呢?垃当然,手机,人家不可能偷号,你可以用证件停,可圾短信现在就很头疼啊...

http://www.chinaz.com/manage/2011/1201/223906.shtml

很多系统直接用邮箱做帐号名（Apple ID，Facebook，新浪微博 …），这样一来，就算你的系统口令被盗，帐号的是改不掉的，于是你可以用邮箱找回（注：这些系统都会验证你的邮箱是否正确）。但是，如果用邮箱做帐号，会导致你的邮箱暴露了，这样为成为垃圾邮件的受害者，而且如果你还比较2的把邮箱的口令和帐号的口令设置成一样的，那么就相当坑爹了。所以，但凡是用邮箱用为帐号的系统都不会让人看到你的注册邮箱，比如，大家就不知道我新浪微博帐号注册的邮箱，就算是知道也应该是受信的人知道（新浪微博帐号的邮箱地址的默认可见度是“你关注的人”）。

2 楼 Jennycn 2011-12-23  

java960 写道

冥冥之中你跟IT结了缘而不知，5年后csdn泄密了，因为，要唤起你IT的前世今生：）

呵呵,我的智商情商,都不适合IT啊

IT理性,我感性

IT逻辑,我无逻辑

IT聪明,我愚笨

1 楼 java960 2011-12-23  

冥冥之中你跟IT结了缘而不知，5年后csdn泄密了，因为，要唤起你IT的前世今生：）