2011年中国网站用户信息泄露事件,是发生于2011年12月的多家中国互联网网站用户信息泄露的网络信息安全事件。
2011年12月21日,互联网上传出开发者社区CSDN遭黑客攻击,600万用户帐号及明文密码泄露,用户资料被大量传播。
之后CSDN先后在其官方网站上发布了声明和公开道歉信解释事件原因,称已经向警方报案并提醒用户更改密码。
12月22日,网上传言最早流出数据的是金山公司员工hzqedison,hzqedison后在其微博解释说只是偶然在互联网上发现后在内部共享时不慎导致数据大面积流出,对此向网民道歉。
12月23日6时36分,中央电视台新闻频道《朝闻天下》节目报道了CSDN等多家网站用户信息泄露的消息。
12月23日,金山公司对金山员工hzqedison为CSDN密码库黑客的传言发表声明。金山公司推出密码泄露快速查询工具。有律师质疑金山公司持有用户数据提供公开查询服务是否合法。
12月25日,事件继续升级,乌云漏洞平台再次爆出天涯社区4000万用户资料泄露,用户明文密码泄露。之后天涯社区在网站上发表致歉信。
12月27日17时34分,中央电视台新闻频道《新闻直播间》节目报道了天涯社区遭遇黑客攻击,大量用户帐号密码泄露的消息。天涯社区工作人员称黑客攻击可以确认,但泄漏数量并非传言的4000万那么多,天涯社区已就此事向公安机关报案,并通过微博、邮件、短信等渠道向用户致歉。
12月28日,有黑客在乌云漏洞平台提报京东商城网站存在用户信息完全泄露漏洞,京东商城回应将马上处理。
12月29日,京东商城发表声明回应称并未发现有安全漏洞存在,也没有发现数据泄漏情况。
12月29日,传言当当网1200万完整用户数据已经泄露,包括用户真实姓名、注册邮箱、收货地址、电话等信息。后当当网发表声明称:“经核查网络公布的信息仅有极小部分属实,为此前黑客攻击所窃取,已就此事向当地公安机关报案”。
12月29日,有消息称支付宝平台也遭泄露,但只包含用户账号名,不含其他信息。支付宝官方回应称:账号名并非私密信息,用户资金安全不会受到任何威胁,并表示不会有人能窃取支付宝用户的密码等个人信息。
12月30日,先后爆出多家网站存在安全漏洞而数据泄露消息的乌云漏洞平台宣布,将进行网站升级调整漏洞处理流程及公开机制而暂时关站。
2012年1月4日,白帽黑客“张百川”在其个人博客“游侠安全网”上发布消息表示新浪爱问存在SQL注入漏洞,利用漏洞可读取数据库内的约7000万用户帐号、明文密码等信息,漏洞详情发出前已通知新浪修复了该漏洞。新浪爱问知识人产品微博承认了存在漏洞,可能导致约30万登录过爱问的新浪账号存在盗号风险。但安全软件公司瑞星表示可能泄露的用户数超过7000万。
2011年12月23日,网易邮箱官方表示已通过多种渠道向CSDN泄露事件中信息被泄露的网易邮箱用户发出提醒修改密码的通知。
2011年12月23日,迅雷公司称已经在所有迅雷平台上全面屏蔽CSDN泄露数据的搜索、下载和分享,防止违法涉密内容的传播。并加强了对迅雷用户帐号、密码数据库的保护工作。
2011年12月28日,中国工业和信息化部发布了“工业和信息化部关于近期部分互联网站信息泄露事件的通告”,表示强烈谴责窃取和泄漏用户信息的行为,称事件发生后已立即启动了紧急预案,组织相关单位了解事件情况、评估事件影响和危害、研究应对措施,并要求各网站加强安全工作,发生用户信息泄露的网站做好善后工作向用户发出警示。
2011年12月30日,中国互联网协会召开“网站用户信息保护研讨会”,与会代表通报各自单位用户信息安全情况,针对信息安全工作探讨和提出建议,并呼吁业界提高社会责任感,加强用户信息安全工作。
2011年12月31日,瑞星公司针对泄密事件发布网站密码保护方案“瑞星网站密码安全检测系统”,网站管理员可免费注册使用该系统对网站安全性进行深度检测,并得出分析报告和修复建议。
此外还有多家网站先后通过网站、微博、电子邮件等渠道发布公告,提醒网民注意修改密码确保安全。
2012年1月10日,北京市公安局外宣处工作人员表示已有两名“CSDN泄密门”涉案黑客被抓,因仍有涉案人员未归案,案情细节不便公布。并还表示此次泄密与实名制无关。
同日国家互联网信息办公布了近期一些泄露事件的查处情况:
大规模的泄密事件影响了网民对中国网络信息安全的信心,可能让网民对网上银行、网上购物、实名制制度等事物采取抵触情绪。此外泄露的数据可能被黑客利用,造成财物损失、隐私泄漏、收到更有针对性的电话推销和垃圾邮件等。一些安全软件公司也借机制作针对性的软件并推销其安全产品。
