密码泄漏事件下的冰山

2011-12-23 12:45

曝光在大众面前的 CSDN 密码泄漏事件只是冰山一角，很小的一角。 如开始时间，其实攻击从2011年初就开始了，下载文件里的日期一般不会做假：

• 2011-01-31 22:46 100W.txt
• 2011-03-08 20:49 duowan_user.txt
• 2011-10-16 01:02 www.csdn.net.sql

至这些密码泄漏开始，利用这些数据获取其他价值的的攻击行为从来就没有停止过，差不多同时就听闻各大网站被攻击。至 CSDN 事件曝光这是很长的一段时间，但是各大公司都选择了沉默应对攻击。

对历次泄漏数据汇总后，共计有 24249858 个合法邮件地址

24249858 total
10874262 qq.com
 5811878 163.com
 2362741 126.com
 1259566 sina.com
  780195 yahoo.com.cn
  644629 hotmail.com
  474650 sohu.com
  301836 yahoo.cn
  284507 tom.com
  195086 21cn.com
  193720 gmail.com
  165742 vip.qq.com
  161241 yahoo.com
   93434 yeah.net
   88933 eyou.com
   79438 sina.com.cn
   64147 139.com
   61092 yahoo.com.tw
   46959 msn.com
   42924 163.net
   40649 live.cn
   26327 263.net
   26000 foxmail.com
   24563 yahoo.com.hk
   18414 vip.sina.com
   17923 sina.cn
   16093 sogou.com
   15333 citiz.net
   13412 mail.china.com
   11049 chinaren.com
    8239 etang.com
    7201 189.cn
    6759 live.com
    5731 vip.163.com
    5324 china.com
    3993 msn.cn
    3480 2008.sina.com
    2251 371.net
    1648 yahoo.co.jp
    1603 netease.com
    1389 elong.com
    1132 mail.ustc.edu.cn
     820 sjtu.edu.cn
     645 x263.net
     564 zte.com.cn
     526 hotmail.com.tw
     522 neusoft.com
     453 bjtu.edu.cn
     406 huawei.com
     202 bofthew.com
     149 owlpic.com
      78 uggsrock.com

邮件服务提供商似乎没有太多作为，Gmail 提示不要使用相同密码，我使用的国内的邮件服务商(qq,163)没有类似举动。

各个邮件服务提供商都没有表现出应有的社会责任，未及时告知用户安全问题，导致整个中国互联网集体容颜扫地。

在表现上，各邮件服务提供商反应也不尽相同。

• QQ 每个登录都有验证码
• 163 貌似没有采取什么措施，截至12月22日还能用其中信息登录他人账户成功

不管如何，这次事件各互联网公司应对策略都有了长足的进步，验证码等技术得到了提升。

真正的冰山是利用这些信息的非法获利，各大互联网公司都有虚拟货币，甚至支付宝，有什么样的故事呢，我不得而知。