针对2011年12月底CSDN部分用户数据库泄露事件,CSDN创始人蒋涛在YOCSEF论坛上表示,在发生数据库泄露后,CSDN邀请相关安全公司对网站系统进行了全面检测,目前已经给出了安全审核结论。据蒋涛介绍,根据杭州安恒出具的安全审计报告,此次CSDN的部分用户数据库泄露,主要原因有四点:
第一是开源CMS系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;二是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如弱口令及暴露的后台等;CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一。
为了减小数据泄露的风险,提高网站系统的安全性,CSDN目前正在申请信息系统等级保护,以接受信息安全监管部门的监督管理。蒋涛表示,CSDN也将强化网站核心服务的安全,而网站非核心的服务将与核心业务进行隔离,以减小系统安全风险。同时,CSDN也将采取相关措施,加大黑客获得数据的成本,降低网站数据对黑客的价值。据了解,CSDN也将在网站后台引入安全审核机制,从内部杜绝数据泄露的可能性。
蒋涛同时建议,在国内建立共享安全技术联盟,相关成员能够共享安全公共知识库,同时提升开发人员的安全技术技能,以保护网站数据的安全。
