CSDN超级弱智漏洞，导致600万用户密码泄露

分享到：

CSDN犯了低级错误，用户数据库被爆，600万用户密码被公布到网上任人下载。

看看下图，用户密码是明文存储的。经营了十几年的CSDN居然没有基本的MD5存储密码。

下图发布时间：2011年12月21日13:55分

CSDN终于在7个小时后发出了公开信，不过在网站首页的非常不显眼的位置：

下面是公开信的部分内容截取，归罪于程序员（不知道这程序员是否临时工 ~~）

这次密码泄露事件非常严重，原因如下：

1. 被泄露密码的用户范围广——600万！

2. 错误低级，自诩技术优胜的CSDN居然没有对密码加密。而密码加密是普通的wordpress博客或会员后台数据表必做的处理。

3. 用户密码可能会关联用户的邮箱、支付宝账号等。因为大多数程序员对CSDN有信心，以至于邮箱、支付账号密码都一样，可能造成连锁灾难。

最后说点搞笑的，有人用程序对CSDN泄露的密码做了一次分析，算了算出镜率，如下：

23.5万人用123456789做密码

21.2万人用12345678做密码

7.6万人用11111111做密码

5965人用147258369 （这个密码其实有点技术含量，不过有差不多6000人用）

565人用wocaonima

741人用5201314520（我爱你一生一世我爱你，估计这程序员挺浪漫）

882人用5845201314（我发誓我爱你一生一世，这个更浪漫，估计注册的时候女朋友在旁边）

不过以上密码都曝光啦，大家以后别用了 : )

密码出镜率统计见这里

作者: 谭砚耘@用户体验与可用性设计-科研笔记

版权属于: 谭砚耘（TOTHETOP至尚国际）

http://www.webusability.cn/csdn-database-hacked-user-password-leaked-712/

如果你希望与作者交流，请发送邮件到 tanyanyun/at/163.com 别忘了修改小老鼠

分享到：

This entry was posted on 2011 年 12 月 21 日, 下午 10:56 and is filed under 幸福的IT生活. You can follow any responses to this entry through RSS 2.0. You can skip to the end and leave a response. Pinging is currently not allowed.

用户体验与可用性设计

by 谭砚耘