专家称泄密事件规模虽大但信息多不属实

　　CSDN、天涯社区用户信息泄露事件搅起的漩涡仍在不断扩大，波及的领域从电商转向银行。昨天，网上有消息称国内多家银行的用户数据和密码已经泄露。消息扩散后引发了一些银行用户的恐慌，相关银行立即就此辟谣。专家也指出，银行卡的密码是不可逆加密的，根本不存在明文密码。

　　针对泄密事件，工信部前晚表示已启动应急预案了解核实情况、评估影响及危害。国家计算机网络应急技术处理协调中心运行部主任周勇林昨天表示，从目前掌握的信息来看，网上公布的用户信息绝大多数都不属实，只有个别被验证属实。

　　事态进展一

　　网曝银行数据泄露相关银行出面辟谣

　　知名互联网资讯平台“挨踢客”昨天通过微博发布消息称，有网友向其爆料称国内多家银行的用户数据已经泄露，涉及交通银行的7000万用户和民生银行的3500万用户，微博附带的一张截图显示了“泄密”的用户姓名、卡号、密码等敏感信息，图中还有工商银行的用户信息。

　　上述消息传出后，相关银行立即辟谣。

　　交通银行昨天发布声明，称传闻纯属谣言，交行采用了先进的密码硬加密技术和周密的安全防范措施，确保为所有客户提供安全高效的金融服务。交行呼吁社会各界共同抵制造谣行为，不要误信、误传谣言。对于任何有意造谣滋事、严重扰乱金融秩序的行为，交行将保留追究其法律责任的权力。

　　工商银行相关负责人昨天对记者表示，上述传言不实。工行对客户密码等重要信息采取了非常严格的措施来确保信息安全，在系统中对于客户密码的存储和传输均采用加密方式;在与第三方公司的电子商务合作中，涉及的密码信息均要求在工行系统页面上进行操作。工行的客户信息和密码是安全的。

　　民生银行昨天也发声明称：“12月29日，有微博说有我行客户信息遭泄露。经查，此信息严重失实!”

　　昨天下午两点多，那引起轩然大波的微博已被“挨踢客”删除，“挨踢客”表示，“银行用户数据泄漏”的消息并没有经过验证，自己发微博只是想提醒大家关注网络信息安全。

　　不是银行系统页面工行卡为已注销卡

　　工商银行相关负责人：在网上那张所谓的泄密截图中，涉及的三张工行银行卡均为已注销的无效卡，而且，从相关文本数据结构含义上分析，其中包含了订单号(OrderId)等内容，据此可以判断这些信息不是来自银行的数据库。

　　交通银行总行信息技术管理部总经理麻德琼：从截图的页面来看，显然不是银行的系统页面，况且银行的密码设置是全程硬加密的，不可能在银行外部的系统上显示。因为此事是谣言，所以用户不需要因此更改密码，但建议用户的密码保持一定的复杂度，并定期更改，避免使用888888等简单密码。密码设置要避免简单的数字序列、别人了解的个人信息和简单的键盘组合。建议使用字母、数字和字符的组合，并经常更换。

　　篱笆网创始人徐湘涛：截图中所谓的交行、民生银行用户姓名、卡号、密码毫无疑问是假的，银行卡的密码是不可逆加密的，我做过十多个包括核心交易系统的银行卡相关项目，很确定系统里根本就不可能存在明文密码，也不存在所谓给安全部门留明文密码的后门，(造谣者)不要唯恐天下不乱了。

　　事态进展二

　　知名电商被指卷入 当当京东紧急回应

　　昨天，有网友爆料称当当网1200万用户资料已泄露，目前这些数据已经在黑市上流通。

　　当当网昨天发布紧急声明表示，经查网上公布的数据只有极少部分属实，且均为2011年6月以前的老数据，这部分数据是之前遭到黑客攻击被盗取的，当当网当时已向公安机关报案。目前，当当网已对系统安全进行了全面升级，以确保用户信息的安全。对于任何擅自公开、贩卖企业商业机密的行为，当当保留追究其法律责任的权力。

　　除了当当，京东商城本周也被曝出类似问题。国内安全问题反馈平台wooyun(乌云)日前发布漏洞预警，称京东数据库存在高危风险，用户数据或已被盗。京东商城随即回应称，经核查，并未查到相应漏洞，用户的信息密码也都为加密储存，并未泄露。

　　与电子商务息息相关的第三方支付企业支付宝也卷入泄密风波中，网上传言称支付宝的用户信息被用于网络营销，泄露总量达1500万至2500万。对此，支付宝方面表示，泄露的只有账号没有密码，对用户的资金安全没有任何威胁，“支付宝采取金融级的信息安全标准去保护用户信息及资金安全，我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有，以后也不会有，请大家放心”。

　　目前，被曝出泄密的除了CSDN、人人网、天涯外，还包括开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等多家知名网站。虽然目前尚未发现泄密事件引发实质性的大规模伤害，但网民的恐慌情绪却在蔓延，业内也担忧今后会有更多网站的用户数据被黑客放出。

　　工信部着手评估事件影响危害

　　12月28日晚间，工业和信息化部就近期部分互联网站信息泄露事件发布通告，对窃取和泄露用户信息的行为表示强烈谴责。

　　工信部称，CSDN、天涯社区等网站发生用户信息泄露事件后，工信部立即启动应急预案，组织相关通信管理局、国家计算机网络应急技术处理协调中心(CNCERT)、网络安全专家和部分互联网企业，了解核实事件情况，评估事件影响和危害，研究提出应对措施。

　　工信部要求各互联网站高度重视用户信息安全工作，发生用户信息泄露的网站要妥善做好善后工作，尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示，提醒用户修改在本网站或其它网站使用的相同用户名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。工信部还要求各互联网站开展全面的安全自查。

　　CNCERT：网曝泄密信息多不属实

　　昨天，记者联系到国家计算机网络应急技术处理协调中心(CNCERT)运行部主任周勇林，他表示，目前CNCERT正在按照工信部提出的要求积极处理此次泄密事件，具体的泄密原因、规模以及危害损失还在调查评估之中。但他指出，从目前掌握的信息来看，此次泄密事件看似规模较大，但网上公布的泄密信息绝大多数都不属实，只有个别被验证属实。在验证属实的这部分信息中，很多是因为用户设置的密码太简单，还有的是临时注册使用过、而后又被抛弃的用户名和密码。

　　如何判断密码是否泄露?

　　用户想查询自己的用户名和密码是否泄露，可借助安全软件厂商的测试工具。安全专家提醒用户，最近出现了很多不知名网站制作的密码泄露测试软件，其中很可能含有病毒，建议用户不要随意测试。

[编辑：lamzhe]