□晨报记者 高艳
继21日国内最大的程序员网站CSDN网站被曝600万用户账号密码被泄露之后(详见本报12月23日A2版报道),“密码门”再起波澜。昨天下午,国内最大的网络社区之一天涯社区被传4000万用户资料泄露,不少网友惊呼“赶紧改密码去”,而包括宁财神在内的许多网友已通过微博爆料,称自己在天涯的账号已经被黑,无法登录。昨晚,天涯社区通过邮件就有关用户账户被泄露一事发表声明,称被盗数据为2009年之前的备份数据,从2011年5月12日开始全部用户数据都是安全的。
昨天14:00前,网上即流传开了天涯用户资料泄露的消息。 15:40,微博用户“乌云-漏洞”发博:“密码事件的延续,是一个不好的消息……天涯社区4000万用户明文密码泄漏。”其所附链接的页面显示,“天涯社区4000万用户资料泄露,账号密码邮箱明文保存,经验证为有效数据,从一些途径得知目前已经扩散,请广大用户和企业做好应急响应处理”。
很快就有“中招”的网友在线通报情况。18:00后,编剧宁财神连续发表了两条相关微博:“我在天涯的账号已经被黑,无法登录。”“虽然已经很久没去天涯,但那是我混的第一个论坛,有很特殊的情感,我在那边交了几个一生的朋友,写了上百万字的网文,创过影视版,当过舞文弄墨的版主,见证了一个小论坛逐渐壮大的过程,那些网事,想起来恍如隔世。”
科学松鼠会成员、IT科普作家苏椰告诉记者,他有位好友,其人人网、CSDN等网站的注册邮箱均遭泄露,而作为天涯社区的注册会员,在新一轮的“密码门”事件中这位运气不好的朋友也未能幸免。“我朋友向我哭诉,这些邮箱里有他的各种各样的合同、银行账号,还有各种地址、照片……他一遍一遍地感慨:邮箱‘裸奔’这么久,自己还不知道。”而苏椰自己,由于一直保持着良好的邮箱使用习惯,在不同的地方使用不同的密码,所以目前情绪淡定,未发现有什么损失。
对于如何亡羊补牢,苏椰建议网络用户尽快把所有的邮箱密码都改掉,针对重要程度的不同,设置不同保密级别的密码,必要时使用动态密码。而对于IT业界,他认为所有的互联网公司都应该坚决杜绝明文存密码,“把密码转存加密,不过是举手之劳,不会增加任何互联网空间。这样一来,基本上能解决90%的问题,黑客即使偷了也白偷。”
昨晚9时,天涯社区华东区市场推广经理薛清颖通过邮件给记者发来《关于天涯社区用户账号被泄露的声明》和给天涯用户的致歉信。该网站承认,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,“天涯也是受害网站之一”;“由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”,但网站没有透露用户资料泄露的数量。天涯社区还在声明中表示,已向公安机关报案,公安机关也正在调查相关线索。并提示用户,尽快修改天涯社区相关账户的密码,如在其他网站使用同一密码,也要同时修改更新。对于那些账户已被盗的用户,可通过注册邮箱、认证手机或申诉的方式取回密码,或者拨打其客服电话,由客服人员进行验证之后取回密码。
至于有网友质疑,该网站的用户数据库是明文保存密码,薛清颖解释:“2009年11月之前是明文,2009年11月之后是加密的,但部分明文密码未清理,2011年5月12日清理掉了所有明文密码。所以从2011年5月12日开始全部都是安全的,5月12日之前的有可能不安全。”