天涯4000W用户明文密码泄露——知名互联网网站再爆漏洞

DoNews 12月25日消息（记者 卢林嘉）继12月22日国内最大的开发者社区CSDN.NET的用户密码遭到黑客泄漏之后，25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏，据了解此次被泄漏用户数量达到4000万。

25日下午有网友向DoNews爆料称国内知名社区网站天涯网被黑客攻击，有4000万用户的密码遭到黑客泄漏，与之前CSDN被泄漏的信息一样，天涯被泄漏的用户密码全部以明文方式保存，但是数量之大的确令人乍舌。

记者在第一时间与天涯网取得联系，据天涯网相关负责人介绍，由于历史原因，天涯社区早期使用过明文密码，2009年11月修改了密码保存方式，改成 了加密密码，但部分老的明文密码未被清理。此次遭到黑客泄漏的用户便是2009年11月升级密码保存方式之前所注册的用户，据悉，天涯网目前共有6000 万注册用户，而此次泄漏的用户数量达到总数的60%以上。

天涯强调，2011年5月12日天涯网升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。

据了解，在得知用户隐私遭黑客泄漏以后天涯网已经启动应急预案，通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码，同时也已经向公安机关进行了报案。（完）

附天涯社区致歉信：

尊敬的天涯社区用户：

我们非常抱歉地通知您，近日由于遭受黑客攻击，有多家网站的部分用户数据库外泄，天涯也是受害网站之一。为确保您的隐私及帐户安全，在此，我们恳请 您尽快修改天涯社区相关帐户的密码。请点击以下链接重设密码：http://passport.tianya.cn/fp/fp.jsp

如果您在其他网站也使用同一密码，请务必同时修改更新。

目前天涯社区已向公安机关报案，公安机关也正在调查相关线索。

再次向您致以深深的歉意！

关于天涯社区用户账号被泄露的声明：

由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据。2010年之后，我们升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了天涯社区用户账号的各种安全性问题。

如果我的天涯社区帐号已经被盗怎么办？

1、使用取回密码功能，通过注册邮箱、认证手机或申诉的方式取回密码。

2、拨打我们的7*24小时客服电话0898-68582666，由客服人员进行验证之后取回密码。

（以上转自DoNews：www.donews.com/original/201112/1044644.shtm）

据乌云漏洞报告平台给出来的漏洞报告，看出来，天涯网站的确是存在漏洞的。

缺陷编号： WooYun-2011-03772

漏洞标题： 天涯社区4000万用户资料

相关厂商： 天涯社区

漏洞作者： Snow （注意：该作者是提交漏洞而并非利用漏洞）

提交时间： 2011-12-25

公开时间： 2011-12-25

漏洞类型： 用户资料大量泄漏

危害等级： 高

自评Rank： 10

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org

Tags标签： 敏感信息未加密存储

漏洞详情

简要描述：

天涯社区4000万用户资料泄露 账号密码邮箱明文保存，经验证为有效数据，从一些途径得知目前已经扩散，请广大用户和企业做好应急响应处理

详细说明：

天涯社区4000万用户资料泄露 账号密码邮箱明文保存

修复方案：

广大用户速度更改密码吧

版权声明：转载请注明来源 Snow@乌云

漏洞回应厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：20 (WooYun评价)

下载地址和图片就不多贴了，大家应该已经看到了很多类似的图片。继前几天的CSDN密码泄露之后，知名互联网社交网站天涯再次出现同样的问题，难道是黑客都趁着过年捞一次，亦或者说黑客都有跟风情节，你泄露了400W，我狠一点泄露4000W，而且两家公司都称是备份数据库，具体是与否我不知道，但是有账号的用户劝你赶紧改密码。同期肯定会多出很多新闻来，比如CSDN的密码处处体现出coder都是诗人，那天涯的用户密码肯定更是精彩绝伦了。

今天收到百度联盟的邮件，提醒修改密码，难道连度娘都虚了，看来有一句名言还是肯靠谱的，“必死更可怕的是等死”。

最后提醒大家一句，请尽量使用复杂的密码，请尽量不要多个网站使用同一个密码，请不要再设计数据库时将密码存成明文的，至少要是MD5加密过的。