今天，從wooyun平臺又傳出一個驚人的消息！天涯社區4000萬用戶資料泄露，賬號密碼郵箱明文保存！經驗證為有效數據，從一些途徑得知目前已經擴散，請廣大用戶和企業做好應急響應處理。

@烏云-漏洞報告平臺：密碼事件的延續，是一個不好的消息，但知道真相總不知道要好 天涯社區4000W用戶明文密碼泄漏
據天涯網相關負責人介紹，此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶，據悉，天涯網目前共有6000萬注冊用戶，而此次泄漏的用戶數量達到總數的60%以上。

在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案，通過站內短信、Email等一切有效聯系手段通知用戶盡快修改個人密碼，同時也已經向公安機關進行了報案。

DoNews 12月25日消息（記者 盧林嘉）繼12月22日國內最大的開發者社區CSDN.NET的用戶密碼遭到黑客泄漏之后，25日下午國內知名的社區網站天涯網的用戶隱私也遭到黑客泄漏，據了解此次被泄漏用戶數量達到4000萬。

25日下午有網友向DoNews爆料稱國內知名社區網站天涯網被黑客攻擊，有4000萬用戶的密碼遭到黑客泄漏，與之前CSDN被泄漏的信息一樣，天涯被泄漏的用戶密碼全部以明文方式保存，但是數量之大的確令人乍舌。

記者在第一時間與天涯網取得聯系，據天涯網相關負責人介紹，由于歷史原因，天涯社區早期使用過明文密碼，2009年11月修改了密碼保存方式，改成了加密密碼，但部分老的明文密碼未被清理。此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶，據悉，天涯網目前共有6000 萬注冊用戶，而此次泄漏的用戶數量達到總數的60%以上。

天涯強調，2011年5月12日天涯網升級改造了天涯社區用戶賬號管理功能，使用了強加密算法，解決了天涯社區用戶賬號的各種安全性問題。

據了解，在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案，通過站內短信、Email等一切有效聯系手段通知用戶盡快修改個人密碼，同時也已經向公安機關進行了報案。（完）

附天涯社區致歉信：

尊敬的天涯社區用戶：

我們非常抱歉地通知您，近日由于遭受黑客攻擊，天涯社區用戶數據庫部分外泄，您的用戶密碼有可能被公開，為確保您的隱私及帳戶安全，我們懇切地請您盡快修改天涯社區相關帳戶的密碼。請點擊以下鏈接重設密碼：http://passport.tianya.cn/fp/fp.jsp

如果您在其他網站也使用同一密碼，請務必同時修改更新。

目前天涯社區已向公安機關報案，公安機關也正在調查相關線索。

再次向您致以深深的歉意！

附關于天涯社區用戶賬號被泄露的聲明：

由于歷史原因，天涯社區早期使用過明文密碼，2009年11月修改了密碼保存方式，改成了加密密碼，但部分老的明文密碼未被清理。2011年5月12日我們升級改造了天涯社區用戶賬號管理功能，使用了強加密算法，解決了天涯社區用戶賬號的各種安全性問題。

一、天涯社區用戶數據庫是明文保存密碼嗎？

2009年11月之前是明文，2009年11月之后是加密的，但部分明文密碼未清理，2011年5月12日清理掉了所有明文密碼。所以從2011年5月12日開始全部都是安全的，5月12日之前的有可能不安全。

二、我的天涯社區帳號是安全的嗎？需要修改密碼嗎？

1、2011年5月12日之前的注冊用戶和沒有修改過密碼的用戶，請立即修改密碼；

2、2011年5月12日以后注冊的用戶，帳號，密碼和郵箱都非常安全；

三、天涯社區用戶帳號數據庫現在是安全的嗎？

歷史遺留的安全隱患從2011年5月12日起已經全部解決，我們進行了多方面的安全加固，密碼加密強度也很高。

四、天涯社區老的帳號數據庫是怎么泄露的？

目前泄露出來的天涯社區明文帳號數據是2010年9月之前的數據，因此可以判斷出來的泄露時間是在2010年9月之前，泄露原因正在調查中。

五、如果我的天涯社區帳號已經被盜怎么辦？

1、使用取回密碼功能，通過注冊郵箱、認證手機或申訴的方式取回密碼。

2、撥打我們的7*24小時客服電話0898-68582666，由客服人員進行驗證之后取回密碼。

六、我們將采取什么措施彌補此次問題？

1、我們將針對2011年5月之前的注冊用戶，提示修改密碼，并提示用戶把其他網站相同的密碼也盡快修改。

2、我們將針對所有弱密碼用戶進行提示，要求用戶修改密碼，并提示用戶把其他網站相同的密碼也盡快修改。

3、我們將對2011年5月之前所有注冊用戶群發Email提示用戶修改密碼，并提示用戶把其他網站相同的密碼也盡快修改。

4、針對有社區管理權限的用戶及V用戶，具體操作措施將另做具體通知。

缺陷編號： WooYun-2011-03772

漏洞標題： 天涯社區4000萬用戶資料

相關廠商： 天涯社區

漏洞作者： Snow

提交時間： 2011-12-25

公開時間： 2011-12-25

漏洞類型： 用戶資料大量泄漏

危害等級： 高

自評Rank： 10

漏洞狀態： 未聯系到廠商或者廠商積極忽略

漏洞來源： http://www.wooyun.org

Tags標簽： 敏感信息未加密存儲

漏洞詳情

簡要描述：

天涯社區4000萬用戶資料泄露 賬號密碼郵箱明文保存，經驗證為有效數據，從一些途徑得知目前已經擴散，請廣大用戶和企業做好應急響應處理

詳細說明：

天涯社區4000萬用戶資料泄露 賬號密碼郵箱明文保存

下載地址：（已幫原作者做隱藏處理）

漏洞證明：

 

修復方案：

廣大用戶速度更改密碼吧

版權聲明：轉載請注明來源 Snow@烏云

漏洞回應廠商回應：

未能聯系到廠商或者廠商積極拒絕

漏洞Rank：20 (WooYun評價)