这种行为的行业术语称作“拖库”,指黑客把网站服务器上数据库偷偷下载到自己电脑中;而撞库则是,黑客用拖库所得的海量注册邮箱和密码,在电子支付、微博、聊天、购物等不同平台上试探登录,如果有人习惯使用相同的注册邮箱和密码,很容易会被黑客撞库盗号。
与此同时,北京警方对CSDN网站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。
北京市公安局向CSDN网运营公司提出了具体整改要求,并依据《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号)第二十条第(一)项规定,对北京创新乐知信息技术有限公司做出行政警告处罚。
杭州安恒信息技术公司给CSDN提供的审计报告显示,由于CSDN网站开源系统等第三方系统存在第三方系统漏洞、已停用的老系统、应用程序漏洞、系统后台认证等四大问题,使其网站存在安全风险,泄露了大量信息。
CSDN反思
CSDN创始人蒋涛曾坦言,“CSDN对敏感信息不敏感,也缺乏安全意识。”在CSDN拥有不到100台服务器,注册信息只包括邮箱和密码的情况下,他一度认为,这些注册信息并不具备太强的隐私性,也不会引起黑客的兴趣。
“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”
