天涯社區(qū)4000萬用戶密碼遭泄漏!

2011-12-25 19:52:16來源:cnbeta作者:

今天,從wooyun平臺又傳出一個驚人的消息!天涯社區(qū)4000萬用戶資料泄露,賬號密碼郵箱明文保存!經驗證為有效數(shù)據(jù),從一些途徑得知目前已經擴散,請廣大用戶和企業(yè)做好應急響應處理。

今天,從wooyun平臺又傳出一個驚人的消息!天涯社區(qū)4000萬用戶資料泄露,賬號密碼郵箱明文保存!經驗證為有效數(shù)據(jù),從一些途徑得知目前已經擴散,請廣大用戶和企業(yè)做好應急響應處理。

@烏云-漏洞報告平臺:密碼事件的延續(xù),是一個不好的消息,但知道真相總不知道要好 天涯社區(qū)4000W用戶明文密碼泄漏
據(jù)天涯網相關負責人介紹,此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶,據(jù)悉,天涯網目前共有6000萬注冊用戶,而此次泄漏的用戶數(shù)量達到總數(shù)的60%以上。

在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案,通過站內短信、Email等一切有效聯(lián)系手段通知用戶盡快修改個人密碼,同時也已經向公安機關進行了報案。

DoNews 12月25日消息(記者 盧林嘉)繼12月22日國內最大的開發(fā)者社區(qū)CSDN.NET的用戶密碼遭到黑客泄漏之后,25日下午國內知名的社區(qū)網站天涯網的用戶隱私也遭到黑客泄漏,據(jù)了解此次被泄漏用戶數(shù)量達到4000萬。

25日下午有網友向DoNews爆料稱國內知名社區(qū)網站天涯網被黑客攻擊,有4000萬用戶的密碼遭到黑客泄漏,與之前CSDN被泄漏的信息一樣,天涯被泄漏的用戶密碼全部以明文方式保存,但是數(shù)量之大的確令人乍舌。

記者在第一時間與天涯網取得聯(lián)系,據(jù)天涯網相關負責人介紹,由于歷史原因,天涯社區(qū)早期使用過明文密碼,2009年11月修改了密碼保存方式,改成了加密密碼,但部分老的明文密碼未被清理。此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶,據(jù)悉,天涯網目前共有6000 萬注冊用戶,而此次泄漏的用戶數(shù)量達到總數(shù)的60%以上。

天涯強調,2011年5月12日天涯網升級改造了天涯社區(qū)用戶賬號管理功能,使用了強加密算法,解決了天涯社區(qū)用戶賬號的各種安全性問題。

據(jù)了解,在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案,通過站內短信、Email等一切有效聯(lián)系手段通知用戶盡快修改個人密碼,同時也已經向公安機關進行了報案。(完)

附天涯社區(qū)致歉信:

尊敬的天涯社區(qū)用戶:

我們非常抱歉地通知您,近日由于遭受黑客攻擊,天涯社區(qū)用戶數(shù)據(jù)庫部分外泄,您的用戶密碼有可能被公開,為確保您的隱私及帳戶安全,我們懇切地請您盡快修改天涯社區(qū)相關帳戶的密碼。請點擊以下鏈接重設密碼:http://passport.tianya.cn/fp/fp.jsp

如果您在其他網站也使用同一密碼,請務必同時修改更新。

目前天涯社區(qū)已向公安機關報案,公安機關也正在調查相關線索。

再次向您致以深深的歉意!

附關于天涯社區(qū)用戶賬號被泄露的聲明:

由于歷史原因,天涯社區(qū)早期使用過明文密碼,2009年11月修改了密碼保存方式,改成了加密密碼,但部分老的明文密碼未被清理。2011年5月12日我們升級改造了天涯社區(qū)用戶賬號管理功能,使用了強加密算法,解決了天涯社區(qū)用戶賬號的各種安全性問題。

一、天涯社區(qū)用戶數(shù)據(jù)庫是明文保存密碼嗎?

2009年11月之前是明文,2009年11月之后是加密的,但部分明文密碼未清理,2011年5月12日清理掉了所有明文密碼。所以從2011年5月12日開始全部都是安全的,5月12日之前的有可能不安全。

二、我的天涯社區(qū)帳號是安全的嗎?需要修改密碼嗎?

1、2011年5月12日之前的注冊用戶和沒有修改過密碼的用戶,請立即修改密碼;

2、2011年5月12日以后注冊的用戶,帳號,密碼和郵箱都非常安全;

三、天涯社區(qū)用戶帳號數(shù)據(jù)庫現(xiàn)在是安全的嗎?

歷史遺留的安全隱患從2011年5月12日起已經全部解決,我們進行了多方面的安全加固,密碼加密強度也很高。

四、天涯社區(qū)老的帳號數(shù)據(jù)庫是怎么泄露的?

目前泄露出來的天涯社區(qū)明文帳號數(shù)據(jù)是2010年9月之前的數(shù)據(jù),因此可以判斷出來的泄露時間是在2010年9月之前,泄露原因正在調查中。

五、如果我的天涯社區(qū)帳號已經被盜怎么辦?

1、使用取回密碼功能,通過注冊郵箱、認證手機或申訴的方式取回密碼。

2、撥打我們的7*24小時客服電話0898-68582666,由客服人員進行驗證之后取回密碼。

六、我們將采取什么措施彌補此次問題?

1、我們將針對2011年5月之前的注冊用戶,提示修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。

2、我們將針對所有弱密碼用戶進行提示,要求用戶修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。

3、我們將對2011年5月之前所有注冊用戶群發(fā)Email提示用戶修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。

4、針對有社區(qū)管理權限的用戶及V用戶,具體操作措施將另做具體通知。

缺陷編號: WooYun-2011-03772

漏洞標題: 天涯社區(qū)4000萬用戶資料

相關廠商: 天涯社區(qū)

漏洞作者: Snow

提交時間: 2011-12-25

公開時間: 2011-12-25

漏洞類型: 用戶資料大量泄漏

危害等級:

自評Rank: 10

漏洞狀態(tài): 未聯(lián)系到廠商或者廠商積極忽略

漏洞來源: http://www.wooyun.org

Tags標簽: 敏感信息未加密存儲

漏洞詳情

簡要描述:

天涯社區(qū)4000萬用戶資料泄露 賬號密碼郵箱明文保存,經驗證為有效數(shù)據(jù),從一些途徑得知目前已經擴散,請廣大用戶和企業(yè)做好應急響應處理

詳細說明:

天涯社區(qū)4000萬用戶資料泄露 賬號密碼郵箱明文保存

下載地址:(已幫原作者做隱藏處理)

漏洞證明:

 

\

\

修復方案:

廣大用戶速度更改密碼吧

版權聲明:轉載請注明來源 Snow@烏云

漏洞回應廠商回應:

未能聯(lián)系到廠商或者廠商積極拒絕

漏洞Rank:20 (WooYun評價)