新浪洩密漏洞驚人 劉謙被駭直呼恐怖

2012年01月06日大陸
【新唐人2012年1月6日訊】(新唐人記者何雅婷綜合報導)“餵餵餵,太恐怖了吧,為什麼拿我做示範!”、“慘了,祕密都被看光了。”大陸魔術師劉謙在微博上喊冤。到底什麼讓劉謙如此恐怖呢?我們來看一看。

1月5號,“新浪愛問知識人”在微博上承認新浪網存在漏洞,“可能導致約30萬登錄過愛問的新浪帳號存在被盜號風險。”但安全公司瑞星說,洩露用戶數超過7000萬。帳號洩露後,著名魔術師劉謙成為駭客攻擊的對象,他在微博上驚呼祕密都被看光,太恐怖。

1月4日夜間,有技術從業者 evilniang 發佈消息稱,新浪網iask平臺曾有明文存儲密碼的漏洞,駭客可以輕易通過SQL注入的方式獲取包括明文密碼在內的7000萬新浪用戶資訊。同時,evilniang 舉例子稱,通過上述漏洞,就可以直接找到知名魔術師劉謙的用戶名和密碼。


遊俠安全網演示的利用iask的漏洞讀取用戶密碼。(網絡圖片)




劉謙驚呼其祕密都被看光。(網絡圖片)



洩密這種事在IT圈內其實不新鮮:帳號從來不安全。

在2009年以前,互聯網公司保存密碼的方法很簡單,直接存,不加密,叫做“明文密碼”。 使用這種明文密碼就相當於密碼沒放進“保險箱”裡。駭客只要利用網站的安全漏洞爆出了後臺的資料庫,帳號密碼就可以直接掌握。進而得到數量巨大的帳戶資訊。還能通過微博獲取用戶的私人資訊,甚至登錄他們的msn。去年年底就已發生過大規模的洩密事件,當時新浪微博也牽涉其中,隨後大量網站放棄明文密碼。但這次遭到洩露的新浪依然在用明文密碼。
近幾日鬧的沸沸揚揚的密碼危機讓我們切切實實的感受到了中國互聯網的危機四伏。

有網友質問,對於這次密碼危機誰該為用戶負責?

相關網站的網路安全部門無疑有不可推卸的責任,發現漏洞並及時修補是他們最基本職責,更何況早些時候已經爆發過大規模的網路洩密事件,新浪網卻沒有及時防範。

還有網友質疑:頻頻發生這樣的事件,國家相關管理部門都幹什麼去了。為什麼不在這些事關廣大網民的帳戶安全問題上做點實事,整天就挖空心思、絞盡腦汁地想辦法監控網民的言論?

有網友爆料:國內網站用在安全上面的投入只占1%左右,遠低於國外5%的平均水準——在駭客工具滿天飛的網路世界,不設防的帳號被偷走,再容易不過。

更有網友指出:這些搞網路安全的很有可能就是帳戶安全隱患的源頭。倒賣帳戶資訊這樣的事大家都心知肚明。

目前,evilniang稱他已經第一時間聯繫新浪官方修復漏洞,而目前新浪網已經修補該系統漏洞。不過DoNews記者電話連線新浪網相關負責人核實此事時,對方表示此事還要再查一下才能給出明確答復。

相關話題