2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。经排查，金山毒霸员工疑为隐私泄露源头，金山深陷“泄密门”。随后，CSDN"密码外泄门"持续发酵，天涯、世纪佳缘等网站相继被曝用户数据遭泄密。天涯网于12月25日发布致歉信，称天涯4000万用户隐私遭到黑客泄露。

事件详情

企业回应(金山回应 CSDN声明 CSDN称8成网站存漏洞)

专家说法

黑客落网

事件详情

2011年12月，CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上，由于部分密码以明文方式显示，导致大量网民受到隐私泄露的威胁。最早牵涉这一事件的CSDN已经报案，但围绕“谁是窃取曝光这些数据库”这一问题，网络上有诸多传言。

有传言称，金山公司旗下产品金山毒霸的产品经理hzqedison是所谓“CSDN密码库黑客”。但据迅雷相关上传记录显示，hzqedison上传用户数据库的时间为12月21日下午，即12月21日中午密码库事件爆发后1个半小时，当时这份密码库已经在微博、迅雷等公开渠道被广为传播。

而目前可查的关于这一事件的最早披露者是来自于乌云安全问题反馈平台，这进一步佐证了始作俑者并非金山毒霸产品经理的事实。截至目前，没有任何权威渠道消息予以证实，但外界怀疑所谓“金山泄密门”是竞争对手幕后推动。12月29日下午消息，继CSDN、天涯社区用户数据泄露后，互联网行业一片人心惶惶，而在用户数据最为重要的电商领域，也不断传出存在漏洞、用户泄露的消息，漏洞报告平台乌云昨日发布漏洞报告称，支付宝用户大量泄露，被用于网络营销，泄露总量达1500万～2500万之多，泄露时间不明，里面只有支付用户的账号，没有密码。目前已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网，其中京东及支付宝否认信息泄露，而当当则表示已经向当地公安报案。

企业回应

金山回应

关于金山网络员工所谓涉嫌CSDN密码库黑客事件声明

2011年12月23日，网上有传言称金山网络员工hzqedison为CSDN密码库黑客，经过认真详细调查，结果如下：

1、hzqedison绝非传言中所谓黑客，事实上hzqedison也是在12月21日中午密码库事件爆发后1个半小时，从微博、迅雷等公开渠道间接获得此前已广泛流传的密码库；

2、hzqedison在通过公开渠道获得该密码库后，也绝无主动进行传播，事实上hzqedison生成的分发链接仅供身边少数同事自查，但不慎被外人获知；

3、hzqedison在获知该链接已被外人获知后，迅速删除了该链接，据删除前统计，该链接仅被不超过5个的同事下载，并未造成扩散；

4、根据目前掌握的情况，早在12月4日，一位ID为“臭小子”的黑客就已将密码库公开到漏洞网站乌云网上。

5、目前金山网络已将所掌握的情况主动向公安机关反馈，全力配合追查黑客。

CSDN声明

我们非常抱歉，近日发生了CSDN用户数据库泄露事件，您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码，如果您在其他网站也使用同一密码。请一定同时修改相关网站的密码。

目前CSDN已向公安机关正式报案，公安机关也正在调查相关线索。

再次向您致以深深的歉意！

关于CSDN网站用户帐号被泄露的声明：（部分）

CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。

但部分老的明文密码未被清理，2010年8月底，对帐号数据库全部明文密码进行了清理。 2011年元旦我们升级改造了CSDN帐号管理功能，使用了强加密算法，解决了CSDN帐号的各种安全性问题。

2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理;2010年8月底清理掉了所有明文密码。所以从2010年9月开始全部都是安全的，9月之前的有可能不安全。

目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。泄露原因正在调查中。

应对措施

1、我们将针对2010年9月之前的注册用户，提示修改密码，并提示用户把其他网站相同的密码也尽快修改。

2、我们将针对所有弱密码用户进行提示，要求用户修改密码，并提示用户把其他网站相同的密码也尽快修改。

3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码，并提示用户把其他网站相同的密码也尽快修改。

4、我们将临时关闭CSDN用户登录，针对网络上面泄露出来的帐号数据库进行验证，凡是没有修改过密码的泄露帐号，全部重置密码。

人人网官方微博公告

根据CSDN网站的官方声明，CSDN的大量用户名和密码被曝光！如果您的人人网账号密码和CSDN或其他网站一致，建议您马上修改密码，以免账号被盗。

CSDN称8成网站存漏洞

对此事件，蒋涛于2012年1月11日进行了反思，他表示，国内互联网公司当前普遍存在两个现状，一是重视业务，二是缺乏安全意识，对于数据安全和系统安全认识不够。“互联网数据大规模被泄露，这个问题已经存在很长时间，长久以来国内整个信息系统都存在着问题。这是所有的网络公司存在的问题。”他说，“第三方数据安全审计公司对各网站的扫描结果显示，80%以上的互联网公司都存在着漏洞，有安全策略的公司60%以上还存在着漏洞，这是我们互联网的现状。”

“80%的密码库可破解”

蒋涛称：“从数据分析结果看，服务端近80%的密码库可破解。即使在信息遭遇泄露之后，也仅有30%的用户修改了密码，因此国内的互联网公司应该更加重视安全体系构建。”为此，CSDN昨日宣布，与阿里云合作推出开发者服务平台，将借助阿里云的安全基础设施。

事件发酵

CSDN承认约600万用户密码遭泄露后，第二天网上就爆出包括天涯、世纪佳缘、珍爱网、美空网、百合网等在内的众多知名网站也同样存在类似问题。有消息称，与之前CSDN被泄露的信息一样，天涯被泄露的用户密码全部以明文方式保存，但是规模更大，约有4000万用户的密码遭泄露。

天涯社区在致歉信中称，由于历史原因，天涯社区早期使用过明文密码，2009年11月修改了密码保存方式，改成加密密码，但部分老的明文密码未被清理。此次遭到黑客泄露的用户便是2009年11月升级密码保存方式之前所注册的用户。但天涯并未在公告中就密码遭到泄露的用户规模进行确认。

已经报案

天涯社区表示，2011年5月12日天涯网升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。

“在得知用户隐私遭黑客泄露以后，天涯网已经启动应急预案，通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码，同时也已经向公安机关进行了报案。”天涯社区称，用户可拨打天涯社区24小时客服电话，由客服人员进行验证之后取回密码。（记者林其玲）

应对措施

1、使用取回密码功能，通过注册邮箱、认证手机或申诉的方式取回密码。

2、拨打天涯7×24小时客服电话，由客服人员进行验证之后取回密码。（据天涯公开声明）

业内人士表示，这些数据在被盗取之后，会在黑客圈里高额贩卖，而这些，普通用户并不知情。目前，人人网、网易邮箱、金山等已经向紧急要求用户修改密码。继CSDN、人人网、多玩网、天涯社区等数十家知名网站用户信息被泄露之后，17173和京东商城的用户信息也被泄露。目前，被泄露的用户信息数据已由5000万上涨到过亿，大量的用户账号和密码被公开。网友纷纷称改密码改到手软。

专家说法

360网络安全专家石晓虹博士表示，一些网站安全系数低，被黑客入侵服务器，盗取了包含网友用户名、密码的数据库。目前除CSDN外，已通过技术验证确认有其他网站用户数据库信息被泄露。

石晓虹提醒，由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码，如果一家网站服务器被黑客攻破，用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号一并失窃。

金山毒霸也发布红色预警称，此事件和用户电脑本身的安全无关，黑客并没有入侵用户本地的电脑，只是盗窃了用户在某些网站注册时提交的个人信息。请所有密码设置简单的用户以及所有网站使用同一用户名和密码的用户尽快修改。

石晓虹还建议网民对密码分级管理，邮箱、网上支付、聊天账号等重要账号要单独设置密码；定期修改密码，以避免网站数据库泄露影响到自身账号；工作邮箱不要用于注册网络账号，以免密码泄露后危及企业信息安全。石晓虹说：“此外，也有部分网民出于好奇，开始在网上搜索下载‘密码库’。但我们已经验证发现网上流传的密码库文件已开始被黑客捆绑病毒，切勿轻易下载和传播此类可疑文件。”

2011/12/29

据知名互联网资讯平台挨踢客的消息称，网友向挨踢客爆料，国内多家银行的用户数据已经泄露，其中交通银行7000万，民生银行3500万。目前这些数据尚未核实真实性。

根据网友提供的部分信息截图，泄露数据的银行包括交通银行、民生银行、工商银行等，数据包含了用户的姓名、卡号、密码等敏感信息。近期，CSDN、天涯社区等网站发生用户信息泄露事件，造成网友对个人隐私的严重担忧，目前，“泄密门”的漩涡还在不断扩大，而且已经超出社交网站的范畴，蔓延至电子商务和银行业。

针对大规模的密码泄露事件，工信部昨日发布通告，强烈谴责窃取和泄露用户信息的行为，同时要求各互联网站要及时发现和修复安全漏洞。工信部还提醒广大互联网用户提高信息安全意识，密切关注相关网站发布的公告，并根据网站安全提示修改密码。提高密码的安全强度并定期修改

黑客落网

2012年1月9日，几乎让互联网裸奔的“CSDN(微博)泄密门”事件传出最新消息，两名涉案黑客已经被抓，还有部分人员尚未落网。

日前，CSDN网站数据库遭黑客入侵，600万用户注册邮箱和密码被泄露。此后人人网(微博)、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露，更有人将其做成压缩包，上传至网络供人下载。国内网站纷纷“沦陷”，大有“裸奔”之势。

当日北京市公安局(微博)外宣处工作人员表示，目前已有两名涉案黑客被抓，由于部分涉案人员没有归案，具体案情尚不便向外界透露。北京市公安局外宣处相关负责人员告诉记者，此次泄密与实名制无关。