国内各大网站都有人有数据库本来也算网络安全界公开的秘密。这次的事件,最早是csdn600w数据库泄露,这个消息从被360爆出来以后在网络上成几何速度传播开来,csdn在发表公告以后仍然被改了首页新闻,说明黑客到昨天为止还控制着csdn的主服务器,这脸打的啪啪啪的,于是csdn决定报警。
事情的起因
据说是某小黑客通过各种渠道,比如与某大牛吃饭,与某大牛去唱歌桑拿等一条龙服务。得到了一些库, 然后在群里吹牛B,然后群里更多的小黑客鄙视之, 该黑客气不过,一气之下传到某空间供大家欣赏然后群里更多的小黑客又在更多的地方吹牛B,最终导致CSDN库流出来。然后更多的人浑水摸鱼。
媒体的力量
csdn和今天的大规模暴库后面都有360的影子,并且这次暴露的库我看了下大部分都是很老的了(像人人的库是四五年前的了),显然爆出来是为了以廉价过时的筹码引起舆论,根据以前360爱咬人的习惯,不排除这次是360借csdn事件添油加醋,炒作一番用借以打击其他互联网公司。下面这个消息是微博传得,显然失实,因为要通过一个资源去查到这个人至少需要:迅雷、ISP、公安机关、金山公司几方合作,短时间不太可能。这消息明显是直接针对金山的,而谁和金山有仇呢?
涉及的网站
目前已经知道的确切的数据库被泄露的网站有:人人、新浪、网易梦幻西游、多玩、7k7k、csdn、嘟嘟牛,目前还有扩大的趋势,详细的名单见这里。并且就算密码是md5加密以后的,通过cmd5和xmd5两个站利用服务器集群基本上大部分可以碰撞出原文来,所以大家还是把所有重要网站的密码都改掉为好。
另外有人声称QQ库被爆是假的,根据提供的截图里面文件大小去google了下,竟然是CentOS-6.0-i386-bin-DVD.iso,这行径太恶劣了。
法律方面
这次之所以会产生连锁反应,一方面有媒体炒作,另一方面csdn已经报警,出了这么大的事情肯定要查,所以不如把数据库都放出来让全国人下载,于是最后的结果人手一份,法不责众不了了之。另外最吃惊的是,网民居然对这方面的法律如此不了解,以下是最高法院对黑客行为的量刑解释:
新的司法解释规定,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息10组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处3年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处3年以上7年以下有期徒刑。
所以,把数据库放在网上供人下载是违法的,同样下载这些东西也是违法的。
结论
中国互联网这么多年秘而不宣的安全丑闻终于揭开了,以前的时候因为这东西爆出来对大家影响都不好,所以一直藏着掖着,去年163被入侵最后也是不了了之,媒体根本不敢报。