“乌云”飘走了,“游侠”又飞过来。昨日,安全网站游侠安全网发布消息称,新浪爱问存在用户密码泄露漏洞,同时明文保存用户密码。
该网站称,新浪爱问存在SQL注入漏洞,利用此漏洞可读取新浪爱问数据库内容,包括明文密码在内的大量新浪用户信息。该网站测试了不少明星,基本上都能通过微薄获取他们的私人信息。
报告此漏洞的专业安全人员对着名魔术师刘谦的微博进行了尝试性攻击,取得成功,可以直接找到知名魔术师刘谦的用户名和密码。刘谦得知此事后在微博上连呼“太恐怖了吧”。
据悉,目前,新浪已经修复其漏洞。
新浪爱问在微博发布消息称:“由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪帐号存在被盗号风险,我们已紧急修复此漏洞。这批帐号已被保护,需修改密码后才能使用。由此给用户带来的不便,我们深表歉意。近期账号安全问题突出,我们再次提醒广大用户注意账号安全。”
早先,针对有消息称新浪微博用户信息外泄一事,新浪曾表示,新浪微博帐号信息采用加密存储,并未出现被盗情况。
原文地址:http://www.williamlong.info/archives/2952.html
来自:http://b.gkp.cc/2011/06/10/june-2011-guao-sina-playback/
的<<新浪“抄袭”谷奥事件全过程回放>>和
来自:http://blog.devep.net/virushuo/2011/06/09/post_81.html
的<<新浪微博你让我浑身发冷>>
懒得转了,各位看了之后估计会对这个告诉发展的大公司不常见到的龌龊的一面有个崭新的认识.
谷奥我不认识,但我相信 火炬
更重要的是,新浪这个伟大的公司,在2011年1月份就帮我把微博cuikai改了名:
随后邮件沟通了一次,我的邮件:
为什么提示我:
你当前使用的IP地址或者帐号由于违反了新浪微博的安全检测规则,暂时禁止访问。
请你尝试重新获取IP地址,或者联系新浪客服:400 690 0000。
也可以将微博登录名和登录密码前三位,发送到邮箱tkefu@vip.sina.com进行查询。什么情况,违反哪个条例了?
sina工作人员回复的邮件:
尊敬的用户,您好:
您的问题已经转交后台工程师查询,会在二个工作日 (不包含周六、日及其他国家法定休息日)以邮件回复您,请您耐心等待回复。
希望我们的回答能令您满意,若还有问题,请再与我们联系。
请您注意回信的时候一定要将上次回信附上,以便解决您的问题。
谢谢您对新浪的支持
之后就石沉大海了。自己的cuikai微博域名,被改成了cuikai_y8q,之前的域名直接就被别人用掉了,直接敲我的域名cuikai,进的是别人的微博。从听众那点击被篡改的那个cuikai_y8q,提示您所访问的用户不存在:
当时想想算了,反正自己同步了一份数据到自己的微博客,也没丢什么重要的数据。别人爱抢那个名字,就让他们用那个名字好了。和美空上的帐号一样,谁让咱不是mvp呢,名字让别人改了就改了。数据没丢就好。
现在想想,如果当时我没有备份数据呢?全丢了??
如果您现在用的域名,是新浪某编辑的亲戚,他再用同样手法抢您的域名呢?
奉劝各位还在新浪玩的兄弟姐妹,狡兔三窟,多留几份数据。
至于我,我不用新浪微博!!
转自:http://news.xhby.net/system/2011/12/23/012368186.shtml
近日,史上最严重的互联网用户信息泄漏事件闹得沸沸扬扬,而这场灾难的源头竟然是安全厂商金山毒霸员工(迅雷ID:hzqedison)公开提供数据库下载所致。对此,德和衡律师事务所合伙人姚克枫律师表示,此次事件影响超过5000万网民,规模巨大,影响特别恶劣,该名员工已涉嫌违法《刑法》,应追刑责。
据了解,“金山泄密门”事件源起于12月21日,金山毒霸产品经理“hzqedison”把CSDN用户数据库传到了迅雷快传(会员分享),该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。
看到事态严重,“泄密门”当事者“hzqedison”于11月22日晚发表微博承认传播一事,并向广大网民致歉。随后,金山毒霸官方微博发表声明,承认其员工“hzqedison”公开数据库供人下载,但拒不道歉。
对此,身为最大受害者CSDN策划部总监谭茂立即给予了公开声讨,“传播泄密资料已经犯法了吧,提醒用户不要下载这是才是安全公司的起码准则吧,不知道金山公司将此泄密资料放在网上传播是何目的?”
姚克枫律师表示,无论出于何种目的,只要是公然传播泄密资料就触犯了法律的高压线。根据我国《刑法》的规定,如果将获得的公民个人信息,出售或者非法提供给他人,情节严重的,构成刑事法律责任。本次事件中,如果因为传播而出现损害后果,且较为严重的后果,就要承担刑事责任。如果“hzqedison”确为安全公司的员工,则“hzqedison”本身应当比其他行业的工作者具有更高的保密义务和对他人个人信息妥善保管的义务,对比其他行业人员,安全公司的员工对于自己擅自发布后果应当具备辨别能力,如果属于主观故意泄露,就是在“知法犯法”,更加不可饶恕,理应受到法律的严惩。 据悉,虽贵为老牌安全厂商,但近两年的金山公司却疲态尽显,丑闻缠身。金山官网曾经四次被黑,金山游戏员工监守自盗,这次又冒出“金山泄密门”,其管理之混乱,可见一斑。有网友愤怒的评论:“这样的公司生产出来的安全软件,你还敢用吗?!”
———————-华丽的分割线———————————–
敢不敢用这个从来都没用过的金山我还不确定,反正csdn是肯定不敢用了,这个号称中国最大的开发者社区的网站,居然犯那么低级的错误,不是懒一个字能盖的过去的,是在就是脑残,搞出一个金山的人来,只是让我们鄙视的队伍中加入一个小角色而已.你们转移不了任何斗争的视线.
转自:http://it.people.com.cn/GB/16711223.html
北京时间12月26日凌晨消息,继CSDN数据库被爆之后,新浪微博用户密码亦疑遭泄露,数据经用户验证有真有假。
0点19分,《看天下》杂志主笔陈劲松在其微博透露,新浪微博用户密码库已被泄露,并提供电驴下载地址。TechWeb下载后,经随机抽取验证,其中部分用户名、密码可以正常登陆新浪邮箱或新浪微博。亦有用户通过微博反映,此次泄露出来的数据库为假,用户名和密码基本都无法成功登陆。根据泄露文件显示,用户数据涉及微博4765896名用户。
新浪微博认证用户夏勇峰分析:“最大的可能是,数据中有些是从别的表里拿过来,有些完全伪造,应是喜欢添乱的无聊人士游戏之作。”
本月22日,国内最大的开发者社区CSDN.NET用户密码遭黑客泄露,涉及600余万个注册邮箱账号和密码,CSDN官方确认并道歉。此后,黑客陆续公开提供包括人人网、猫扑、多玩、天涯等在内的网站用户数据库下载,真假难辨,互联网各大网站人人自危。
转自:http://www.williamlong.info/archives/2477.html
据金山微博报道,杀毒软件公司金山网络在2010年12月31日下午召开发布会,称发现360的一台服务器出现问题,导致数据被搜索引擎索引,而这台服务器涉嫌收集用户的个人隐私,金山网络称已经向主管部门和公安机关报案,并且呼吁360用户尽快修改密码信息。
360随后对外回应称,金山公布的360侵犯隐私的证据中,360上传恶意网址的正常功能歪曲成为收集用户隐私的恶意功能,并且称金山自己也有这个功能。而且其他的杀毒软件,如瑞星、卡巴斯基、诺顿等等都有这种功能。
金山指控360利用客户端收集用户隐私,并且还不幸泄漏给了Google(泄漏给了百度可能有一堆人多想,泄漏给了google看起来还是颇有公信力的)。乍看起来,很像一场毫无新意的口水战。目前来看,网民的反应也不太热烈,这也难怪,互联网从来不缺大事,习惯了每天都有惊闻,很多大事常常因为不够惊艳而变得默默无闻,相反,360过去惊天地泣鬼神的事多了,高潮过N次的网民面对这种不痛不痒的事已经快没感觉了。
但此战延续此前的3Q之战,应该涉及到在法院和有关部门博弈的方方面面,主角三方应该都不会等闲视之。
1.金山胜了有史以来第一局
我们很难怀疑360不无敌,最重要的一个证据是,想当年QQ做了一个艰难的决定,360居然连元气都没伤多少。但是这次,他横竖不会赢,虽然他也大概也输不了多少。因为:
a. 战事烧在360本土。
b. 除了看到有很多人要卸载360,还看到好些人说厌烦了金山整天360打架,准备卸载了,那一定是水手,因为金山卫士就那点份额,卸了跟没卸没什么区别,卸多少360才是重点,跟腾讯对半分战果才出料。
c. 考虑到google正在配合删除相关数据,金山公司的证据如果来自360服务器,那这事又可能要被岔开成金山如何从360服务器上获取了证据的问题了,所以,要摆平360,证据是关键,证据的来源也是关键。
2. 360真的收集用户隐私吗?
尽管目前360如何收集用户名密码还没看到十足可信的证据,但隐藏核心证据的事上一次周鸿祎做过,所以360是否真贼喊捉贼,虽然目前还看得困惑。
按照天极网卢林嘉的说法,所谓收集用户名密码只是一小部分网站违反安全编码规则传输密码而已,如果此事仅仅只是360不慎没有配置好服务器+一些网站自身问题的叠加整出来的华丽事故。
而不论金山指责是否属实,360都不会严肃接招,顶多也就局限在网站主页微博上发发犀利的反驳文,绝不会弹窗澄清,因为没必要,用户层面回应反击下就够了,相信的大部分不需要弹窗,不相信的弹窗也没有用,毕竟真正的战场不在用户这里,而在有关部门。
有人说360员工这个元旦又没休息了,这是个好视角,附近的人了解下,如果他们居然正常休息了,那么此事无辜的可能性很大,如果如临大敌,那么即使目前所谓的“收集用户密码”等证据无效,360可能在怀疑的是金山是否还掌握了其他真正涉及隐私收集的问题(上一次隐私战,360自己就有意藏了核心证据,被对手学过来是极有可能的事)。
3.决定360败多败少的是什么?
是它究竟有没有干偷用户信息的事,其他神马口水、公关、起诉都是浮云,大道决定一切,谁真正敬畏用户谁就能笑道最后。
4.周鸿祎是否郁闷?
很郁闷,因为无论自己有没有干过这事,自己战无不胜的战神神话从此不再。所谓神话,只是常人所不易理解的东西,孙膑打败庞涓,不是因为他爷爷是高深莫测的兵圣孙武,而是他更了解庞涓,庞涓没那么了解他而已,本质是信息不对称问题,如今的周鸿祎已经没什么东西看起来很神秘了,只是多了些实战经验而已。
即使傅盛没有确凿证据,这种把战火烧到敌人门口的做法也算是学出窍了,对长期得益于没被看懂的周鸿祎而言,被以己之道还施己身也许不是最郁闷的事,但一定是很郁闷的事。
5.结局或开始
此事对于360而言,要么是一个长期战略防御的结束,要么是一个长期战术防御的开始。如果这样,市场地位都没有消退的,那么大部分用户的忠诚已经堪比QQ了,再防御就失去意义了,金山再进攻也成不了什么气候了,如果金山在这场战役里取得了甜头,相信这不会是一个终结,未来,前董事长和前总经理会玩得很激情。
6.建议QQ和360整个隐私交易工具出来。
个人一直认为,隐私问题是重要人物的大是大非问题,但作为一个普通用户,一个没什么私好隐的用户,其实无论QQ还是360,偷没偷隐私笔者真的一点都不在乎,无非电脑上有点什么软件,浏览了什么网站,搜索了什么词,然后就是私人文档、密码什么的,前半截不算什么隐私,搜什么词360即使不知道百度google也知道,私人文档吗,还真不信周鸿祎马化腾有那闲功夫来翻看我们这种小人物的文档,就算是银行卡有动态密码,偷去了翻不了天,里面没几分钱。
所以,笔者觉得隐私对于用户按亿来计算的超级企业而言,多数时候是个伪概念,你注册新浪微博,你本身就存在信任这家公司的选择,笔者不相信数据在新浪从没任何人被查阅过,总会有人有权限查你,但即使如此,没实质性伤害干嘛在地球上忧郁火星上的爆炸。这个问题之所以被炒得一塌糊涂,除了一部分高端人士确实很在意这个之外,另外原因有二,一是过去战事出人意料,二是勒庞笔下的某些群体心理。
实际上,类似于QQ、360安全卫士这种覆盖量极大的工具,正面要求用户参与统计是一件用户可能感兴趣的事,比如一些软件安装量、网站访问排名的权威性,比起抽样规则上更可靠。比如QQ就可以在用户登陆之后直接像弹出现在的安全扫描通知一样,你不反对我就扫描了,多数人压根儿不理会,想扫就扫吧,然后扫了什么谁也不知道。如果用户参与其中就能换取知道动态排名结果的话,这是一个交易,360应该微创新下这件事,以后跟百度一样,整个竞价排名出来。
后续:上周末金山爆出“360泄露用户隐私”一事,昨天又有新进展。此前一直处于被动的360公司,昨日反指金山“搜集用户隐私”。360称,使用百度、谷歌、搜狗、必应等搜索引擎,均可搜索出金山收集的隐私信息。金山随后回应称公司没有收集用户私密信息的行为。双方称工信部已经介入。
月光点评:说道用户隐私,Google的“网络历史记录”实际上最涉及隐私,只要用户登录Google,就会记录所有用户搜索历史,安装Google工具栏后还会记录用户所有访问网站记录,但没有人质疑Google,因为该功能默认不开放,每次访问均要登录,Google承诺保证隐私安全,用户可以删除隐私记录。
转自:http://www.williamlong.info/archives/2939.html
继前几日CSDN网站被爆出明文存储的用户数据库被窃取之后,今天网上又爆出天涯社区4000万用户资料泄露,账号密码邮箱明文保存,该资料已经网上传播,初步验证为有效数据。
天涯社区自称是“全球最具影响力的中文论坛”,创办于1999年,目前,天涯社区注册用户超过6000万,在国内社区型网站颇具人气,而此次泄漏的用户数量达到总数的60%以上。
据天涯网新浪微博上的介绍,由于历史原因,天涯社区早期使用过明文密码,2010年之后改成了加密密码。此次遭到黑客泄漏的用户便是2009年保存的备份数据。
该份高达386M的泄漏文件“天涯数据.kz”经过下载验证,里面保存了天涯的用户名、密码、邮箱三个数据,根据泄漏的天涯用户名和密码测试,大部分都可以可直接登录到天涯社区。从密码的构成看,泄密的密码很多并非是弱密码,而是8位以上的强密码,因此可以认为天涯的确是以明文方式保存的用户密码。
明文存储密码这种蠢事原来并不是CSDN一家网站的个例,大名鼎鼎的天涯社区竟然也这么干,并且在2010年才修正,以前的明文密码也不清除,如此对待用户的个人隐私,天涯实在是令人大跌眼镜。现在用户真的需要扪心自问,中国的那些所谓的大网站,你究竟还信任哪一家?
因此,曾经注册过天涯社区的用户,如果你在天涯的用户和密码也在其他网站使用,那么请立刻修改你的密码为一个新密码,密码设置方法参见我早先的文章《个人密码安全策略》。
此外,据天涯称2009年才明文保存密码,但据我所致,有用户2010年注册,依旧是明文保存的密码,因为无法确认天涯目前是否还是明文保存密码,我建议天涯用户修改密码的时候,不要和其他网站的密码一样,最好不要填写一个已知的强密码,以免泄漏更多的信息。
目前,天涯社区已经在新浪微博上就4000万用户密码泄露一事发布声明和对用户的致歉信,称已向公安机关报案,并呼吁用户修改密码。以下是声明:
来自:http://www.itivy.com/ivy/archive/2011/12/21/let-us-fk-csdn-together.html
CSDN,你泄露了的我的个人信息,不是一句抱歉或者非常抱歉就能解决的。作为一个搞IT的企业,我真心为你可耻。不是因为你的系统被破,这世界是人外有人,黑客无处不在,不能怪你,但是你不应该把我们的密码以明文的形式保存吧。我记得小学的时候,我刚接触计算机,大家也还在win98上学习开关机的时候,我知道在计算机界有一种叫加密的东西,对称加密、非对称加密等等,虽然那时由于我的智商问题我不是很理解这些,更不懂其原理,但我深深地意识到这些对于一个计算机门外汉是多么的重要,因为他也许就在不久的将来在不知不觉中FK了自己,同时也FK了别人。
1999年成立的网站,到2009年,整整10年,你们居然都是用明文保存密码的,现在还好意思来拿这个当借口?可笑!现在我深深地意识到最危险的不是病毒,是随意践踏用户的愚蠢低级行为。黑客其实都是一群蠢货,但只有遇到比蠢货还蠢的家伙才能真正体现出黑客伟大的一面,否则黑客只能眼睁睁地看着一串达芬奇都无法解密的MD5值默默流泪!CSDN,你终于做到了,是你解开了MD5密码,你是多么伟大的一个神奇人物,我们为你喝彩,也祝你安息!
最后,我弱弱地提一个问题:我们是该告CSDN还是直接FK了CSDN?
在这个神奇的国度,我只能选择直接FK了CSDN,法院不适合我,我也不适合法院!
不知道各位的选择是什么,我希望听到各位的心声!
来自: 师北宸 @http://tech2ipo.com/38832/
第一个问题:我找不到这本电子书!
搜索中不包括电子书内容
第二个问题:找不到客户端下载页面
第三个问题:各平台支持不足
号称的支持多数都是骗人的.
第四个问题:PC 在线阅读体验奇烂无比
第五个问题:电子书品种贫乏
看原文前点击来源连接.
tinyfool的评论
继黑客放出CSDN 600万用户名和密码后,人人网和多玩网也分别被放出500万和800万用户名和密码资料。@月光博客说,多玩网的800万用户泄漏库里,有大量用户名、明文密码、邮箱、部分加密密码,经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。
而人人网的被黑数据库用户名和密码大部分都无法登陆,因此还有待验证。
不过这次的数据库被黑事件或许不是这么简单的风波,CSDN和多玩网或许只是冰山一角,网上放出的文件图片(来自@pellchen——黑莓中国站长)显示开心,美空,世纪佳缘,百合等都在其列。
更新:人人网刚刚进行了回应——如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。人人从上线开始就没有记录明文密码。在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险,请尽快修改。