今天,从wooyun平台又传出一个惊人的消息!天涯社区4000万用户资料泄露,账号密码邮箱明文保存!经验证为有效数据,从一些途径得知目前已经扩散,请广大用户和企业做好应急响应处理。
@乌云-漏洞报告平台:密码事件的延续,是一个不好的消息,但知道真相总不知道要好 天涯社区4000W用户明文密码泄漏
据天涯网相关负责人介绍,此次遭到黑客泄漏的用户便是2009年11月升级密码保存方式之前所注册的用户,据悉,天涯网目前共有6000万注册用户,而此次泄漏的用户数量达到总数的60%以上。
在得知用户隐私遭黑客泄漏以后天涯网已经启动应急预案,通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码,同时也已经向公安机关进行了报案。
DoNews 12月25日消息(记者 卢林嘉)继12月22日国内最大的开发者社区CSDN.NET的用户密码遭到黑客泄漏之后,25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000万。
25日下午有网友向DoNews爆料称国内知名社区网站天涯网被黑客攻击,有4000万用户的密码遭到黑客泄漏,与之前CSDN被泄漏的信息一样,天涯被泄漏的用户密码全部以明文方式保存,但是数量之大的确令人乍舌。
记者在第一时间与天涯网取得联系,据天涯网相关负责人介绍,由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成了加密密码,但部分老的明文密码未被清理。此次遭到黑客泄漏的用户便是2009年11月升级密码保存方式之前所注册的用户,据悉,天涯网目前共有6000 万注册用户,而此次泄漏的用户数量达到总数的60%以上。
天涯强调,2011年5月12日天涯网升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。
据了解,在得知用户隐私遭黑客泄漏以后天涯网已经启动应急预案,通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码,同时也已经向公安机关进行了报案。(完)
附天涯社区致歉信:
尊敬的天涯社区用户:
我们非常抱歉地通知您,近日由于遭受黑客攻击,天涯社区用户数据库部分外泄,您的用户密码有可能被公开,为确保您的隐私及帐户安全,我们恳切地请您尽快修改天涯社区相关帐户的密码。请点击以下链接重设密码:http://passport.tianya.cn/fp/fp.jsp
如果您在其他网站也使用同一密码,请务必同时修改更新。
目前天涯社区已向公安机关报案,公安机关也正在调查相关线索。
再次向您致以深深的歉意!
附关于天涯社区用户账号被泄露的声明:
由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成了加密密码,但部分老的明文密码未被清理。2011年5月12日我们升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。
一、天涯社区用户数据库是明文保存密码吗?
2009年11月之前是明文,2009年11月之后是加密的,但部分明文密码未清理,2011年5月12日清理掉了所有明文密码。所以从2011年5月12日开始全部都是安全的,5月12日之前的有可能不安全。
二、我的天涯社区帐号是安全的吗?需要修改密码吗?
1、2011年5月12日之前的注册用户和没有修改过密码的用户,请立即修改密码;
2、2011年5月12日以后注册的用户,帐号,密码和邮箱都非常安全;
三、天涯社区用户帐号数据库现在是安全的吗?
历史遗留的安全隐患从2011年5月12日起已经全部解决,我们进行了多方面的安全加固,密码加密强度也很高。
四、天涯社区老的帐号数据库是怎么泄露的?
目前泄露出来的天涯社区明文帐号数据是2010年9月之前的数据,因此可以判断出来的泄露时间是在2010年9月之前,泄露原因正在调查中。
五、如果我的天涯社区帐号已经被盗怎么办?
1、使用取回密码功能,通过注册邮箱、认证手机或申诉的方式取回密码。
2、拨打我们的7*24小时客服电话0898-68582666,由客服人员进行验证之后取回密码。
六、我们将采取什么措施弥补此次问题?
1、我们将针对2011年5月之前的注册用户,提示修改密码,并提示用户把其他网站相同的密码也尽快修改。
2、我们将针对所有弱密码用户进行提示,要求用户修改密码,并提示用户把其他网站相同的密码也尽快修改。
3、我们将对2011年5月之前所有注册用户群发Email提示用户修改密码,并提示用户把其他网站相同的密码也尽快修改。
4、针对有社区管理权限的用户及V用户,具体操作措施将另做具体通知。
缺陷编号: WooYun-2011-03772
漏洞标题: 天涯社区4000万用户资料
相关厂商: 天涯社区
漏洞作者: Snow
提交时间: 2011-12-25
公开时间: 2011-12-25
漏洞类型: 用户资料大量泄漏
危害等级: 高
自评Rank: 10
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org
Tags标签: 敏感信息未加密存储
漏洞详情
简要描述:
天涯社区4000万用户资料泄露 账号密码邮箱明文保存,经验证为有效数据,从一些途径得知目前已经扩散,请广大用户和企业做好应急响应处理
详细说明:
天涯社区4000万用户资料泄露 账号密码邮箱明文保存
下载地址:(已帮原作者做隐藏处理)
漏洞证明:
修复方案:
广大用户速度更改密码吧
版权声明:转载请注明来源 Snow@乌云
漏洞回应厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:20 (WooYun评价)