CSDN“泄密门”后,创始人蒋涛首次公开谈“关于用户资料库泄露的情况报告和反思”
今天在
\nYOCSEF论坛上,CSDN创始人@蒋涛CSDN 首次公开谈论了12月21日发生的
\nCSDN数据库大规模泄密情况与反思。
他首先对网上传播的一些数据进行了澄清,指出“对于用户数据的分析:总会员库2010万,泄露库643万,其中625万数据用户id符合,18万不符”。
随后,他公布了由第3方机构杭州安恒出具的安全审计报告,报告主要谈到了4点原因造成泄密:第三方系统漏洞(开源CMS)、应用程序漏洞(存在跨站脚本漏洞)、大量系统后台认证漏洞、已停用的老系统。
蒋涛承认了他们对安全系统的忽视和对网站运维的忽视。不过他表示CSDN未来将采取以下措施,包括:实施信息系统等级保护,对核心服务强化安全,采取非核心隔离,降低数据对黑客的价值以及引入安全审核机制等来进一步提高网站的安全性。
最后,他还提出了自己的安全建议:1)建立共享安全技术联盟;2)共享安全公共知识库;3)提升开发人员的安全技术性能。
不过报告中并没有明确谈到明文保存密码的问题,这或许又会造成许多人对这样一份报告持批评态度。