悲剧的CSDN!600多万用户账号与密码泄露!!


今天,在技术群里有人贴出了一个链接,链接直接到了WooYun.org漏洞报告平台,提到了一个CSDN的漏洞信息: http://www.wooyun.org/bugs/wooyun-2010-03692
文章标题非常引人注目:“CSDN数据库泄露,大量用户真实账号密码外泄。”

我看了以后将信将疑,赶快追随其提到的迅雷分享链接,取到了大小为274M的后缀为sql的文件(其实不是真正的SQL)。为了方便通过grep查询,我将该文件传到了自己一台Linux服务器上,首先很迫切的就是想查询一下自己的密码,看是不是真的,结果经过查询之后!非常震惊!自己的密码就放在那里!!当初为了安全还设置的很复杂,结果还是敌不过垃圾到无法形容的CSDN!震惊之余我赶快把所有用到该密码的地方都一一修改了!

接着出于好玩,让周围很多朋友和同事告诉我他们的账号,结果绝大多数都被我把密码给查出来了,他们也非常吃惊,并不停的骂CSDN垃圾,一个个都急着去更新密码。

这次不管CSDN给出怎样的解释,都是无济于事的,用户名和密码,最起码也是应该经过MD5加密的,这一点最初级的程序员都知道。这次完全暴露了CSDN作为一个技术社区在技术上的拙劣!我奉劝大家今后都不要把自己的Blog和社区活动放在CSDN上了。

下面是我在Linux服务器上操作的部分截图,文件我保留下来了,这东西非常值得纪念。

这里是CSDN创始人蒋涛的新浪微博截图,他们给出的理由是备份文件被泄露,也就直接说明了所有用户的密码是未经过加密存储的,真的很垃圾!有黑客说根本不像是备份,而是通过注入导出的,不过只导出了用户名,密码和邮箱字段。

,

  1. No comments yet.
(will not be published)
*