[导读] 2011年的CSDN泄露门轰动了整个互联网，不仅是因为密码数据库的泄露，更是因为它所带来的连锁反应，因为大部分人上网都用同一组账号密码。

今天去蹭了通信的最后一节计算机导论课，王和兴老师提了几句当年CSDN数据库泄露的事情。
那个泄露的库我有下载过，是以前拿来练手Shell 编程，所以对这个事件也是比较熟悉的，给大家稍详细的介绍一下。

CSDN是中国软件开发联盟（Chinese software develop net）的缩写，是中国最大的开发者技术社区。
它是集新闻、论坛、群组、Blog、文档、下载、读书、Tag、网摘、搜索、.NET、Java、游戏、视频、人才、外包、第二书店、《程序员》等多种项目于一体的大型综合性IT门户网站，有很强的专业性，其会员囊括了中国地区百分之九十以上的优秀程序员，在IT技术交流及其周边国内中是第一位的网站。

2011年12月消息说CSDN有600余万个明文的注册邮箱帐号和密码被黑客公开，文件被疯传。

CSDN官方微博回应

“对于CSDN用户账号密码数据库被泄露一事，经过初步分析，该库系2009年CSDN作为备份所用，由于未查明原因被泄露，特向所有因此而受到影响的用户致以深深歉意。目前CSDN已向公安机关报案，公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。”

普通青年一般喜欢用 123456；文艺青年喜欢用 5201314；二逼青年则喜欢用 888888。
那么码农、攻城狮，程序猿爱用哪些密码呢？我们一起来看看这次被 爆库的 600 多万 CSDN 最常用密码 （以下图表由 Xueqiao Xu统计）：

实际上以上统计还忽略了一个最常见的情况：
用户名和密码相同。

这种情况的比例占到所有密码的 4.8%。

在一个程序员社区尚且如此，如果是普通用户，那么。。。
而如果你的所有密码都相同的话，很容易酿成下面的杯具：

所以密码安全问题，请各位重视起来吧。

那好，当我们手中拿着这个有着六百万真实账号信息的数据库能干什么呢？
《破解帐户后，黑客重现如何榨干用户的最终价值 》
以下全文引用
——————————————————————————————————————————

CSDN，天涯等数据库被拖引发了全民网络担忧，那么黑客拿到这些隐私秘密后会怎么用呢？

他们会如何由点到面榨干一个用户的最终价值呢？

一位匿名黑客从笔者已被泄露的天涯账户开始，理想化的重现了这一过程：

1 在获取笔者的天涯账户后，黑客首先尝试了关联的网易邮箱，由于笔者的网易邮箱密码与天涯账户相同，对方毫不费力进入了邮箱。

2 进入邮箱后，对方获得笔者历年来注册开心网、智联招聘、中华英才网、前程无忧、快钱、百度、百付宝、校内、京东、新浪微博的确认邮件。其中智联招聘、中华英才网、前程无忧、京东的注册确认邮件中直接显示会员名及密码。其余几个网站除开心网及快钱外均与天涯账户密码相同。但因开心网及快钱密码与京东密码相同，也被猜中，至此以上网站密码全被攻破。

3 通过前程无忧，获知笔者 QQ 号码，真实姓名，身份证信息，收入情况和生日等重要信息。

4 尝试破解 QQ 号码，尽管笔者的 QQ 密码与以上各网站密码完全不同，但黑客依据真实姓名全拼、生日、手机和之前各类密码的组合方式，迅速暴力破解成功。进入 QQ 邮箱，获得笔者在豆瓣、淘宝、网易战网的注册确认邮件，暴力破解淘宝及支付宝密码成功。
至此，一个天涯账号的泄密变成了一个自然人从虚拟到现实全方位的泄密，据匿名黑客介绍，已经从笔者身上获得的信息可以反复销售数次：虚拟货币的账户卖给专人直接变现；网络游戏的账号卖给专人将虚拟物品变现；个人资料卖给各个推广公司、调研机构（根据性别、年龄、收入、地域可卖给不同行业）；私密关系账户可卖给骗子集团牟利（QQ、人人网或朋友网）；天涯及微博早年注册的 ID 可卖给网络水军公司……

该匿名黑客称，除非有高价人肉搜索的单子，否则自己不会人工去做这些工作。但天涯和 CSDN 的数据库曝光太久，恐怕其中大部分人的隐私早已被窥探出售过。

————————————————————————————————————————————————————————————————————

是不是颤抖了~

文章结束前来个彩蛋。

大家再回去看看密码统计前50中有一个“xiazhili”。

有人很好奇，为什么这个密码会出现这么多次，有什么特殊含义？

图片

图片

图片

图片

大家看图，我就不评论了··

欢迎关注我的微博http://weibo.com/qingxp9，内容关注网络安全。