然（rán）而（ér），潘（pān）多拉魔盒已经（jīng）打（dǎ）开，CSDN数据库的泄露仅仅（jǐn）是个开（kāi）始。“没想到后面的事情越来越（yuè）大，已经到（dào）了不可收拾的程度。”蒋（jiǎng）涛说。

12月22日，知名（míng）IT博客（kè）“月光博客”披露（lù），多玩（wán）网数据库（kù）泄露超过800万条信（xìn）息（xī），有大量用户名、明文密码、邮箱及部分加密（mì）密（mì）码。“经（jīng）过验证，使用该数据（jù）库中的用户名和密码可以正常登录多玩网。”

同日，标（biāo）注为“人人网（wǎng）500万用户资料（liào）”的文件开始在网上流传，嘟（dū）嘟（dū）牛、7k7k、178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上（shàng），涉及（jí）的用（yòng）户信（xìn）息总量超过（guò）5000万条。但人（rén）人（rén）网否认用（yòng）户数据遭到泄露，他（tā）们在（zài）官方微博上（shàng）提醒（xǐng）称，“如果您的（de）人人（rén）网账号密码和CSDN或其他网站一致，建议您（nín）马上修改密码，以免账号被盗。”人人（rén）网相关人员（yuán）在接（jiē）受采访时表示，提醒用户只是出于安全考虑。

12月25日，泄（xiè）密规模（mó）进一步扩大，网络上开始流传天涯论坛的用户数据（jù）库，信息总量超过（guò）4000万条。随后，这一新闻被天涯社区官方致（zhì）歉信证实：由（yóu）于（yú）历史原（yuán）因，天涯社区早（zǎo）期使用明（míng）文密码，在2009年11月（yuè）改成加密密码，但（dàn）是部分老的明文（wén）密码库（kù）未被清（qīng）理，黑客泄露的正是2009年11月（yuè）升级密码保存方（fāng）式之（zhī）前所注册的用（yòng）户。不过天涯社区（qū）并未（wèi）在公告（gào）中对（duì）泄露（lù）的用户（hù）规模进行确认。天涯社区公关经理（lǐ）初蒙（méng）在接受财新《新世（shì）纪》记者（zhě）采（cǎi）访（fǎng）时表（biǎo）示，确认用户信息（xī）遭泄露后，已经向海（hǎi）南省公安（ān）厅（tīng）、海口市公安局报案，案件（jiàn）目前正在侦查之中。

12月26日，网上（shàng）又传出新（xīn）浪微博的用户资料疑似被（bèi）泄露（lù），并公布了新浪微博数据下（xià）载地址。这个疑（yí）似数据库一共有约476万条账户和密码信息。

此后，泄密事件继续发（fā）酵升（shēng）级，传闻开始波及到电子商（shāng）务及银行系（xì）统。12月27日，乌云漏洞报告平台披露京（jīng）东商城的漏洞，“在某些业（yè）务上存在用户（hù）权限控制不当（dāng）的漏洞（dòng），导致任（rèn）意用户登录系统（tǒng）后，都可以正常访（fǎng）问到（dào）所有用户的信息，包括姓名、地（dì）址、电话、Email等。”这一漏洞报告得（dé）到了京东商城方（fāng）面的响应。

12月（yuè）28日，“当（dāng）当网1200万用户信（xìn）息遭泄露”的说法亦被（bèi）“小部分”证实。当当网的公告称（chēng）：“经核（hé）实（shí），网络公布的信息（xī）数据只有极小（xiǎo）部分（fèn）属实，且均系2011年6月之（zhī）前的老数据，该部分（fèn）数据（jù）是由于之前遭（zāo）到（dào）网（wǎng）络黑客攻击被盗取。”

乌云漏洞报告（gào）平（píng）台（tái）在（zài）12月（yuè）28日也再次报告称（chēng），“支付宝用户大量泄露，被用于网络营销，泄露总量达（dá）1500万-2500万（wàn）之多，泄露（lù）事件（jiàn）不明，里面只有支付宝用户的账（zhàng）号，没有密码”。支（zhī）付宝随后回应称，支付宝账号不（bú）是私（sī）密信息，在很多地方（fāng）都（dōu）可以（yǐ）搜集到，只（zhī）有（yǒu）账号没有（yǒu）密码，对用（yòng）户资金（jīn）安（ān）全没有任何威胁，“支付宝采取金融级的信息安全标准去保（bǎo）护用（yòng）户信息及资金安全，我们承诺没有任何人能从支付宝（bǎo）获得用户的密（mì）码等（děng）私密信息。过（guò）去没有（yǒu），以后（hòu）也没有，请大家放心”。

但（dàn）12月29日（rì），更（gèng）吓（xià）人的消息（xī）又在网上疯传：交通银（yín）行（háng）、民（mín）生银（yín）行分别（bié）泄露用（yòng）户资料7000万和3500万份，“卡号、姓（xìng）名、密码都（dōu）有”，并配有截图。当（dāng）天下午，交通银行、民生银行（háng）、工商银行（háng）等分别（bié）发布公告辟（pì）谣，称“用户资料外泄的传闻纯属谣言”。

当日晚间，又有（yǒu）网友披（pī）露称，广（guǎng）东省公安厅出入境政府服务网网（wǎng）上申请（qǐng）数据泄（xiè）露，几乎（hū）所有提交网上申请用户（hù）的（de）真实姓（xìng）名、出生年月、电（diàn）话、护照号码、港澳通行证号码等（děng）信（xìn）息均可查（chá）到，泄露的总信息量高达（dá）444万条。这一信（xìn）息被广东省公安厅（tīng）证实：2011年6月24日至2011年12月（yuè）29日期间，在广东申请出入境的（de）用户信息遭到泄露。

仅仅一（yī）个星（xīng）期，泄密已经从CSDN一家网站的危机（jī）演化成为了席卷整个互联网的（de）大（dà）事件。一时间（jiān），各（gè）大网站（zhàn）人人自（zì）危，真假（jiǎ）数据库屡屡出现。国家互联（lián）网（wǎng）应（yīng）急中心对所曝光的数据进行了抽查核（hé）实，发现部分数据是有效的，经过与相关网站（zhàn）、论坛联系（xì）后，确认CSDN社（shè）区、天（tiān）涯社（shè）区两（liǎng）家网站发生了用户数据泄（xiè）露事件，但泄露（lù）原因还有待进一步（bù）分析；对于其他（tā）网站、论坛，虽（suī）然曝光数据（jù）中个别条目有效，但不能判定发生了网站、论坛用户数据（jù）泄露事件。

金（jīn）山网络反病（bìng）毒工程师李铁军（jun1）12月30日接受（shòu）财新《新世纪》记者采访时则表示，根据他们从网上下载的数据库，剔除重复信息之后，有超过1亿条（tiáo）的（de）用户（hù）信（xìn）息在此次（cì）事件中泄露。

一位（wèi）不愿具名的网络安全工程师也向财（cái）新（xīn）《新（xīn）世纪》记者证实（shí），经过重（chóng）合（hé）度分析（xī）、数据库（kù）格式判断等（děng）验证分析，基本可以断定（dìng）“有十（shí）几家网站的数据库比较靠谱，应该是真（zhēn）实的”。

大规模用户（hù）数据泄密后，各种“浑水摸鱼者（zhě）”也随之（zhī）而（ér）来。蒋涛告诉财新《新世纪（jì）》记者，一些人开始制造假（jiǎ）的数据库来（lái）混淆视听；一些网站通知所（suǒ）有用户修改密码（mǎ），以乘机激活“沉（chén）睡”用户（hù）；甚至一些（xiē）网站把曝光的（de）数据库直接导入自己的数（shù）据库，然后发通知给用户修改密码，不费（fèi）吹（chuī）灰之力即获得上千（qiān）万（wàn）规模的用户。当然，对用户（hù）影响（xiǎng）最（zuì）直接的是各种垃圾邮件、钓鱼邮件多了起来（lái）。

真（zhēn）正（zhèng）令人担（dān）心（xīn）的是，或许还有更（gèng）大规（guī）模（mó）的数据被地下（xià）黑客（kè）所（suǒ）掌握，只是没有公布而已。著名网（wǎng）络安全专家龚蔚（goodwell）公开表示，这次曝光的1亿（yì）多条（tiáo）用（yòng）户账（zhàng）号及密码等相（xiàng）关信息，只是黑（hēi）客所掌握数据的“冰（bīng）山一角”，预计有将近4亿（yì）-6亿（yì）的（de）用户（hù）账（zhàng）号信息在（zài）黑（hēi）客（kè）地下领域流传。

翻（fān）过新年，此波网络账号信息泄密的（de）浪潮仍有余波。1月4日，一位网络ID为“网路（lù）游（yóu）侠”的“白帽黑客”在（zài）自己的博（bó）客（kè）上发布了新浪的漏（lòu）洞：新浪iask站点存在SQL注入漏（lòu）洞，利用漏（lòu）洞可以读取iask数据库内容，包（bāo）括明文（wén）密码在内的7000多万新浪用户信（xìn）息。由于新浪实行“全（quán）站一号登录”，黑客利用这个漏洞还可以获得新浪微博的（de）相（xiàng）关（guān）账（zhàng）号信息。“网路游侠”以知（zhī）名魔（mó）术师刘谦的微（wēi）博为例，通过构造数据（jù）库查询语句就轻松获得了刘（liú）谦（qiān）的账号及（jí）密码信息，并成功登录。当天晚间，刘谦（qiān）在微博上转发该博客，证实此事。不（bú）过，“网路游侠（xiá）”称，这（zhè）个（gè）漏洞（dòng）他（tā）是在1月1日发现，已及（jí）时通知（zhī）新浪官方，并在（zài）新（xīn）浪修复了该漏洞后才在（zài）博客上公布文章，供参考学习之（zhī）用。

截至发稿，新浪方面（miàn）对此事（shì）尚未做（zuò）出回应。事（shì）实上，早在2010年（nián）10月，乌云（yún）漏洞平（píng）台（tái）就曾报告（gào）称新（xīn）浪（làng）iask站点存在SQL注入漏洞（dòng）的安全问题。

偶然中（zhōng）的必（bì）然

“这些数据库（kù）在黑客（kè）圈几年前就有了，这一次只不过是个（gè）比较集中的爆发”

是（shì）谁（shuí），在（zài）什么（me）时候，拿（ná）走了这些涉及用户隐私的数据（jù）？原本隐秘（mì）在（zài）黑客（kè）圈的数据库（kù）缘何会曝光在公众面前？互联网是否还有（yǒu）安全可言？此轮（lún）网络大泄（xiè）密，让这些问题成了（le）普通互联网用（yòng）户最（zuì）自（zì）然（rán）的追问。

“这（zhè）些数据库在黑客圈几（jǐ）年前就有了，这一次只不（bú）过是个（gè）比较集中的（de）爆发。”安全宝CEO马杰对（duì）财新《新世（shì）纪》记者（zhě）称，CSDN数（shù）据库的曝光（guāng）看（kàn）似偶然，实则必（bì）然。“冰冻三（sān）尺非（fēi）一日（rì）之寒（hán），互联网行业（yè）安全（quán）问题的累积已经太多了，迟早（zǎo）会爆（bào）发。”马杰在（zài）安全行业超过十年，曾任瑞星研发（fā）总经理（lǐ），负责个人和企业的安（ān）全产品。

这也是网络安全行（háng）业（yè）人员（yuán）近乎一致的观点。天融信（xìn）公司高级安（ān）全顾问吕延辉向财新（xīn）《新（xīn）世纪》记者证实（shí），最早在2008年时（shí），就曾听说有一些网（wǎng）站的数据（jù）库（kù）在黑客圈流传。

本次密码信息最先被公布的CSDN社区，后（hòu）来（lái）曾组织安全专家进行讨论，得知公（gōng）司的数据库事实上早就在黑客的（de）手上了。“并（bìng）不（bú）是（shì）说这（zhè）一刻先攻破了CSDN，放出数据库，然后（hòu）下一刻攻破了天涯再放出数据库。而是这些（xiē）数据他们手（shǒu）上一直都有，只不（bú）过（guò）抛出来的（de）时间不一样。”蒋（jiǎng）涛说（shuō）。

天融信成都分公司技术负责（zé）人邹晓（xiǎo）波称，早期（qī）的很多网站，都（dōu）可以（yǐ）通过服（fú）务器渗透，取得后台（tái）数据库的（de）权限，直接取得数（shù）据。“黑（hēi）客（kè）圈内（nèi）人都（dōu）知道谁被盗了，他们不一（yī）定公布，但是会炫耀（yào），在小范围内流传（chuán），大（dà）部分没有去获利。”

CSDN社区（qū）数据库的曝光，曾（céng）经被指向一名ID为Hzqedison的金山公司员工，他分享数据库下载地址的截图最早在网上流传。12月22日，CSDN数据库外泄一事被（bèi）广泛关（guān）注（zhù）的时候，Hzqedison在新（xīn）浪（làng）微博表示（shì）道歉。随后，金山公司也发表声（shēng）明（míng），金（jīn）山员工并非（fēi）网（wǎng）络上传（chuán）言的黑客（kè），并非最早对（duì）外发（fā）布密码库的第一人（rén）。

Hzqedison解释了事情的经过：“12月（yuè）21日，我在一个聊（liáo）天群里看到CSDN数（shù）据库的迅雷下载地（dì）址（zhǐ），就（jiù）离线下（xià）载（zǎi）了该文件来检查自己账号（hào）是否被泄露。为了让同（tóng）事（shì）们也检（jiǎn）查（chá），才做了（le）分享贴到同事群里。5分钟（zhōng）后，该地址截图被（bèi）发到了乌云漏洞报（bào）告平台上，得知后我立即删除了（le）迅（xùn）雷分享地址。因为删除很及时，该地址只有几名同事下载过（guò），而且从未将（jiāng）数据库文件外泄。”

李铁军告诉（sù）财新《新世纪》记者，据他了解（jiě），当时（shí）该金山员工（gōng）上传CSDN数（shù）据库时（shí），是“秒（miǎo）传（chuán）”的（de），说明这个数（shù）据库文件（jiàn）在迅雷下载服（fú）务器中早已存（cún）在。

“是谁最早上传了这些数据库，现在已经很难确定。”李铁（tiě）军说，除了（le）CSDN的数据库，还有其他网站的数据库一起在网（wǎng）上流传。因为CSDN的影响力比较大，所以就传开了。

事实上，CSDN数据（jù）库曝（pù）光之前（qián）已（yǐ）有征兆。李铁军告诉财新（xīn）《新世纪》记（jì）者（zhě），他在12月14日前后，即泄密事（shì）件发生（shēng）的（de）前一（yī）周，就已（yǐ）经注意（yì）到有很多网友在（zài）新浪微博上反映账号被盗，“这是黑客（kè）在用数据库（kù）去（qù）试探新浪（làng）的数（shù）据（jù）库，有些就撞到了”。

马（mǎ）杰分（fèn）析，这次曝光的网站数据库应该是最近几年间（jiān）连（lián）续不断被刷库的。“安全圈也知道，这几年地下黑客圈在刷（shuā）库（kù），也知道一（yī）些数据库在（zài）黑客圈流（liú）传。”

所谓刷库，是指黑客入侵网站服务器之后窃取用户数据库的行为，互联网业内也称其为“拖库”，取其谐音（yīn），也形（xíng）象称（chēng）之为“脱裤”

看（kàn）上（shàng）去，金（jīn）山（shān）员工（gōng）“偶然”的发（fā）现和分享（xiǎng），加上地下黑客累积（jī）经年的刷库行为，以及数据库在（zài）圈子中（zhōng）的一（yī）轮轮扩散，最终（zhōng）促成了（le）这次网站数据库大规模的（de）曝光。

但是，这（zhè）里面依然（rán）隐（yǐn）藏着两个（gè）问（wèn）题。第一，金山员工如何能“偶然”发现（xiàn）原本在地下黑客（kè）圈流（liú）传（chuán）的数据库（kù）？第二，仅是CSDN的数据库曝光，缘何能引（yǐn）发一（yī）连串的（de）数据库浮出水面？

地下黑客（kè）圈传输或交换文（wén）件，一般都是点对（duì）点的传输，有（yǒu）时甚（shèn）至通过（guò）邮寄移（yí）动硬盘或（huò）光盘来实现。但随着被刷（shuā）的（de）数据库越来越多，转（zhuǎn）手的次数（shù）越来（lái）越多（duō），参（cān）与的人数也越来（lái）越多，出错和曝（pù）光的概率就越来越大。

乌云漏洞报告平台的创建（jiàn）人剑心分析说，由（yóu）于不（bú）同黑客掌握的数据库（kù）各有不同（tóng），刷出来的数据库会在黑客圈中交换，这样就会一轮一轮（lún）的扩散。很有可能是某（mǒu）个人在转手传（chuán）播的过程（chéng）中，由（yóu）于文件太大，无（wú）法实现网（wǎng）络（luò）上点对点的传输，不得不利用迅雷、网盘一（yī）类的（de）工具进（jìn）行上传和下（xià）载。在（zài）这过程中，工具会（huì）把这些文件泄露出来（lái），甚至会在搜索（suǒ）“数据”等关键词时出（chū）现推（tuī）荐。这样（yàng）扩散的范围（wéi）就（jiù）更大（dà），进（jìn）入与黑客（kè）圈有交流的（de）安全圈也就不（bú）足为奇了。

至于网站用（yòng）户密（mì）码连续被（bèi）报丢失的现象，吕延辉解释说，一些数据库曝光之后，黑客（kè）手中那（nà）些与（yǔ）之雷同的数据库（kù）就没有价值了（le）。并且，引（yǐn）发公众（zhòng）关注后，基本所（suǒ）有网（wǎng）站都会（huì）通知用户修（xiū）改密码，政府相（xiàng）关部（bù）门可能（néng）还会介入，那么其他的一些非核心数据库的价值（zhí）也（yě）就更低了。

吕延辉表示（shì），可以看出来，这次曝（pù）光的数据（jù）库（kù）都是在地下黑（hēi）客圈转手很多次的（de），本身价值也（yě）不（bú）大，再（zài）加上CSDN数据库（kù）的曝光，其（qí）他数据（jù）库的（de）含（hán）金（jīn）量进一步降低，那些手上有库的人抛出来也不奇怪，这才（cái）形成了一连串（chuàn）的规模效（xiào）应。

脆弱的网站（zhàn）安（ān）全

泄（xiè）密事件，将众多（duō）网站（zhàn）在安全方（fāng）面的脆（cuì）弱（ruò）暴露无遗（yí）。知名网络（luò）安（ān）全专家、安天实验室（shì）首席技术架构师江海客直言，这是一个安全崩盘的（de）时代。

安（ān）全圈内资（zī）深人（rén）士的共识是，被黑（hēi）客（kè）攻击和刷库，各大网（wǎng）站几乎是无一（yī）幸免，只是（shì）程（chéng）度和范围（wéi）的不（bú）同。在做安全行业的人看来，目前大部分网站的安全性都不足。“这一（yī）次表面上看是明文密码库的问（wèn）题，但实际上多数网站从（cóng）根本（běn）上都没有（yǒu）重视自身的信息安全。”天（tiān）融信（xìn）公司副总裁（cái）刘辉对财新《新世纪》记者表示，网站把绝大（dà）部分（fèn）资金投入到日（rì）常运营中，只有被攻击或吃（chī）过教（jiāo）训后，才想（xiǎng）起来安全（quán）的重要（yào）性。

“一些（xiē）网（wǎng）站之所以容易被‘脱裤’，很（hěn）大（dà）一部分原因就是因为本身就穿得太（tài）少了（le）。”刘辉说，很（hěn）多经营性网站（zhàn）甚至都（dōu）没有专门的网络安（ān）全工程师（shī）。

CSDN社区数据（jù）库在此次事件中最先曝光。蒋涛也坦言（yán），“原（yuán）来（lái）对安全的认识还停留在相对低的水平上，觉得自（zì）己（jǐ）的数据不是什么关键数据，别人拿去也没什么用。”

但（dàn）这（zhè）次一连串的数据（jù）库泄（xiè）密（mì）事件（jiàn）证明，互联（lián）网存（cún）在（zài）很（hěn）大的关联性，特（tè）别（bié）是拥有大量用户的网站，更不是一个孤立（lì）的存在，很多用户的邮（yóu）箱、账号都与别（bié）的系统（tǒng）相关联，一旦有事，就会造成跨网站的（de）连（lián）锁反应（yīng）。另外，由（yóu）于安（ān）全问题出在了服务器端（duān），普通用户基本（běn）没有（yǒu）办法防范（fàn），数据库被（bèi）刷后曝（pù）光出来，用户只能被动的（de）修改密码。

马杰则指（zhǐ）出，现（xiàn）在互（hù）联网从原来提（tí）供内容（róng）为主，到（dào）现在有很多的网（wǎng）上购物与社交，网站的重要性进入（rù）了另外（wài）一个层面，但安（ān）全（quán）现状停步不前。“现在网（wǎng）站数据中所（suǒ）包含信息（xī）的价值在上（shàng）升，但（dàn）安全防护的（de）措施并没有加强。”他（tā）说。

另一方面，专业做网站（zhàn）功能、应用和服务的人，与专（zhuān）业做安（ān）全的人，在技（jì）术思维上也（yě）存在（zài）巨大差（chà）异。“一个B2C网站的程（chéng）序员，做了一个系统，花了几个月的功夫，自己觉得没什么（me）问题，然后请（qǐng）专业（yè）做安全（quán）的（de）人去找漏洞，结果做不到十分钟就破解了。”李铁（tiě）军举例说（shuō），二者没有高下之分，只（zhī）是（shì）职业的特征决定了（le）思路上的差异。

思路上（shàng）的（de）差异，加上安全（quán）意（yì）识的不（bú）到位，导致了网站安全的脆弱（ruò）。CSDN、天涯社区至今仍未披露数（shù）据库外泄（xiè）的具体原因（yīn）。马杰告（gào）诉（sù）财新（xīn）《新世纪》记者，从技术上讲（jiǎng），有（yǒu）很多种方法可以刷（shuā）库，“就（jiù）像一个很大的（de）房子，可以爬窗户、撬门，或者从烟囱进来，甚至挖个（gè）地道进来，就看黑客想花（huā）多大（dà）的（de）功夫（fū）和精（jīng）力”。

通常（cháng）来说，黑客（kè）都是通过发（fā）现网站或应用软件的漏洞进入服务器（qì），然（rán）后想办法提升权限，就可以把数据库下载下（xià）来。对一些防护比较弱的（de）网站，甚至都不用（yòng）进入网站就能刷库（kù）。安全（quán）行（háng）业资（zī）深人士TK说：“只要分两步，第（dì）一步找到一个SQL注（zhù）入点，执行一条备份命令，备份到一个目录（lù）去；第二步（bù），从（cóng）目录把（bǎ）数据下（xià）载回来。根本不需要获得（dé）网站的权限，只要有SQL注入的漏洞（dòng），就可（kě）以爆库了。”

剑心告诉财新《新世纪》记（jì）者，决定（dìng）在12月30日（rì）临时关闭乌云平台的其中一条原因，就是担心后续几天（tiān）爆出的网站漏洞会（huì）越来越多，引（yǐn）起互联网用户的恐慌。乌云漏洞报告平（píng）台是由一群（qún）互（hù）联网安全研究人（rén）员自发组织的信息（xī）安（ān）全沟通平台，研究（jiū）人员（yuán）在上面提交厂商的安全问题，也披露（lù）一些通用的安全咨询和安全使用。有超过500个“白（bái）帽（mào）子”安全研究人员和120多个厂商参与平台，反馈（kuì）和处理（lǐ）了接近4000个安全问题。在泄密事件引发大范围关（guān）注后，乌云平台因曾多次发布相关安全漏洞预警（jǐng）而被（bèi）关注。

剑（jiàn）心（xīn）也证（zhèng）实说，目前国内除极少（shǎo）数大型（xíng）网站外，可能（néng）都被黑客刷过（guò）库，包括网（wǎng）易（yì）、搜狐在内的门户，一些漏洞（dòng）都是在乌云平台上被证实的。此外（wài），近年（nián）来快速膨胀的电（diàn）子商务网站，在剑（jiàn）心看来，安全性更是糟糕，乌云平（píng）台已经多次证（zhèng）实并报告了（le）他们的漏洞（dòng）。这其中（zhōng）就包括11月10日所报告的当当网漏洞，可（kě）以（yǐ）抓取超过（guò）4000万条用户信息。

相对而言，金融系统的安全性较强。银行通（tōng）常会采用（yòng）硬（yìng）加（jiā）密的技术（shù），既不仅依靠登录密码和（hé）交（jiāo）易密码（mǎ），还需有一（yī）个外在于（yú）密码系统的物理密钥，比如发送到手机的（de）动态口令或U盾密（mì）钥（yào），其安全性要（yào）高于（yú）单（dān）靠密码的“软加（jiā）密（mì）”方（fāng）式。但是，随着第三（sān）方支付、代（dài）收（shōu）费、代缴（jiǎo）费等业（yè）务的展开，银行系统需要开放的接口也越来越（yuè）多，对（duì）银行系统的（de）安全提出了更高的要求。

除网站的安全性差外，本次泄密事件中备受诟病的（de）还有明文密码库。所谓明文密码（mǎ）库，即在对用户密码（mǎ）信息存储时未进行加密处（chù）理，黑客获得（dé）数据库后（hòu），所有的用户名、密码一（yī）目了然，更（gèng）加容易利用。

蒋涛解（jiě）释称，各家网站（zhàn）的（de）明文密码库都有复杂的历史（shǐ）原因（yīn），CSDN是在2010年9月之后才采用了（le）密文存储。“这不是（shì）一家的问题，而是（shì）行业性的问题。”

但是，加密存储（chǔ）也并不一定意味着（zhe）安全（quán）。多（duō）位受访的网络（luò）安全专家告诉财（cái）新《新世纪》记（jì）者，现在（zài）相对简（jiǎn）单（dān）的MD5加密方法已经不安（ān）全，黑客圈建立（lì）了庞大的MD5值（zhí）的“字典（diǎn）库（kù）”，通（tōng）过“查字典”的方式（shì）很快就能破解还原。

马杰建议（yì），在进行密文存储时，还需要对加密算法做一些改（gǎi）变，或（huò）多次加密（mì），安全（quán）性能才会有（yǒu）所提升。尽管通过“彩虹表”碰撞等方（fāng）法不存在破解不了的情况，但至（zhì）少（shǎo）会大大（dà）增加（jiā）破（pò）解的成本和（hé）时间，降（jiàng）低数据库对（duì）黑客（kè）的吸引力。

乌云平台（tái）撰文（wén）称，最（zuì）好（hǎo）的安全应该是（shì）自（zì）始至（zhì）终就有人为安全负责，将（jiāng）安全落（luò）实（shí）到公（gōng）司的流程制度规范以（yǐ）及基础（chǔ）技术架构里去，形（xíng）成完善的安全体系，并（bìng）且持续（xù）更新迭代，“如果以前没有这（zhè）方（fāng）面制度，就从现（xiàn）在开始建设（shè）；如果（guǒ）没有团（tuán）队（duì），就可以先（xiān）找一些公司或者外（wài）部顾问。但是记（jì）住，不要幻想一次性的投（tóu）入就可以（yǐ）抵（dǐ）抗利益驱动长久（jiǔ）进化的黑色产业链（liàn）”。

黑色产业链

有人负责（zé）发掘漏洞，有人负责根据漏洞（dòng）开（kāi）发利用工（gōng）具，有人负责漏（lòu）洞利用工具（jù）的销售，有人负责刷库（kù），有人（rén）负责洗（xǐ）库，有人负责销（xiāo）售，还有人利用数据库钓（diào）鱼、诈骗、发送垃圾邮件

大规模的泄密事件，也使得互（hù）联网江湖中最为隐秘的黑色产业链再度引人关（guān）注。“熊猫烧香”病（bìng）毒让公众知道了病毒（dú）黑色产业链，而（ér）此次的泄密（mì）事件则（zé）指向了（le）数（shù）据（jù）交易（yì）的黑（hēi）色（sè）产业链。

马（mǎ）杰告（gào）诉（sù）财新《新世纪》记者，最近几年，“黑帽子”黑客圈（quān）内（nèi）的盈（yíng）利模（mó）式发生了一（yī）些（xiē）变化。最早是（shì）“挂马”比较（jiào）挣（zhèng）钱，通过发（fā）现漏洞SQL注入（rù），然后想办法获得网站权（quán）限，在网页上（shàng）挂上木马（mǎ）程序，中了木（mù）马程（chéng）序的机器就成（chéng）为“肉（ròu）鸡”，通过木（mù）马控制“肉鸡”来赚钱（qián）。比如说盗号、弹窗（chuāng）、导流量等。

“早几年木马猖獗（jué）的（de）时候，一个服务器能控制几万台的‘肉鸡’。即使（shǐ）只（zhī）是IE自动跳转（zhuǎn）到某一页（yè）面，每（měi）年也能带来可观（guān）的流量（liàng）和收（shōu）入。”李（lǐ）铁军（jun1）说，还有黑（hēi）客利（lì）用（yòng）系统（tǒng）漏洞和木马进行（háng）“钓鱼（yú）诈骗”，从个（gè）人客户（hù）一端（duān）入侵网银（yín）系统，进行非法转账（zhàng）等。

后来，“挂马”和（hé）“钓（diào）鱼（yú）”被各大安（ān）全公司打（dǎ）击得（dé）非常厉（lì）害，特别（bié）是免费杀毒软件在个人终（zhōng）端（duān）的普（pǔ）及。而这（zhè）个时候（hòu），地下（xià）黑客（kè）发（fā）现，刷库是个更快、更直接的赚钱方法。

最近（jìn）几年，围绕（rào）数（shù）据交（jiāo）易的（de）黑色产业链正在逐步形成。在（zài）地下黑客圈内（nèi），一些大型网站的（de）数据库被明码标价，一个数据（jù）库整个端下来，价值数百万元到（dào）上千（qiān）万元不等。

拖库成功后，到手的数据库可（kě）以有（yǒu）很多（duō）用途，比如直（zhí）接卖给被刷库网站的竞争对手。黑客（kè）还（hái）可以利用部分互联网用户“多家网（wǎng）站一（yī）个用户（hù）名一（yī）个密码”的习惯，去试探别的网站数据库。这叫（jiào）“撞库”，技术上也很容易实现，只需（xū）要编写一个脚（jiǎo）本，自动不断（duàn）用已盗取数据库里的信息去（qù）请求登录。由（yóu）于都（dōu）是正常请（qǐng）求，被撞的网站也很难（nán）防（fáng）范，所以也（yě）会有网站“躺着中枪”。

安全业内人士称，刷（shuā）库之后，黑客拿着数（shù）据库（kù）去（qù）“撞”有虚拟币系统的游（yóu）戏（xì）网站（zhàn）、腾讯，以及网上银（yín）行、支（zhī）付宝及电子商务网站，都（dōu）是必然会发生的事情。如果（guǒ）撞到了重合用（yòng）户，将其账号（hào）内虚（xū）拟资产、网银洗劫（jié）一空都是再自（zì）然（rán）不过了。

经过（guò）多次倒卖和（hé）“洗库”之后，数（shù）据库还（hái）能被卖给价值链的末梢买家——利用账号（hào）信息来发送广告、垃圾邮件、垃圾短信的推（tuī）销公司。通（tōng）常情况（kuàng）下（xià），数（shù）据（jù）库的（de）价格越卖越便宜（yí），流传的范（fàn）围（wéi）也就越广，距离曝光（guāng）也（yě）就越近（jìn）。

而在整条黑色（sè）产业（yè）链中，分工也比较明确。最核心和（hé）最难的是发掘漏洞，这对（duì）技术的要求最高，能发掘漏洞的黑（hēi）客也比较少。吕延辉介绍，在（zài）地下黑客中，有人专门负责发（fā）掘（jué）漏洞（dòng），有人专门负责根据（jù）漏洞开发利用工（gōng）具（jù），有人负责漏洞（dòng）利用工具（jù）的销售，有（yǒu）人负责（zé）刷库，有人负责洗库，有人负责数据库的（de）销售，最后端，还（hái）有人利用（yòng）数（shù）据库钓鱼、诈骗、发送垃圾邮件。

有（yǒu）网络安全人（rén）士估（gū）算（suàn），目（mù）前互联网的地下黑（hēi）色产业链规模已（yǐ）经达到上（shàng）千亿元，而安全行业的规模目（mù）前（qián）还只有几百亿元，“就（jiù）像毒品的（de）市（shì）场规模（mó）反而大于麻醉药的（de）市场规模”。

失能（néng）的法律防火（huǒ）墙

周汉华表示，“当网站的资（zī）料和个人（rén）信息紧密相连，安全却没有保障，这（zhè）种情况下，实（shí）名（míng）制是（shì）相（xiàng）当危险的（de）”

刘辉判断，这次泄密事件将注定会是互联网（wǎng）发展（zhǎn）历史（shǐ）上一件大事。一方（fāng）面（miàn）是对互（hù）联网业务发展模式（shì）的影响（xiǎng）；另（lìng）一（yī）方面，则（zé）是互联网行业安（ān）全规范（fàn）机制的（de）建（jiàn）立已势在必（bì）行。

“短期内，互联网行业的发展会受（shòu）到一定的影响。”刘（liú）辉说，例如近两年兴起的云计算服（fú）务（wù），现在提供（gòng）云服务的（de）互联网公司必须要重新（xīn）建立用户的（de）信息，并说服用户（hù）上传至云端（duān）的（de）资（zī）料（liào）是安全的。要（yào）说（shuō）服用（yòng）户，就需要相应的安（ān）全承诺及安（ān）全认（rèn）证（zhèng）机制。

蒋涛也表示（shì），这次泄密事件相当于给整个（gè）互联网业上了一课。“CSDN也是专业的IT社区平台，我（wǒ）们会利用（yòng）这个平（píng）台（tái）来加强（qiáng）安全的（de）教（jiāo）育（yù）和普及（jí），提升互联网行业的安全意识。”他说，除了加强自身的安全性，这是CSDN在（zài）2012年要去做的重要事情，“互（hù）联网上各大网（wǎng）站的关联度越（yuè）来越高（gāo），安全已经（jīng）不是一家两（liǎng）家（jiā）的（de）问题，而是全（quán）行（háng）业的问题”。

在全世界，身份的盗（dào）用和密码的泄露每天（tiān）都会出现，但与发（fā）达国家不同的是，这（zhè）次密码泄露（lù）事件发生后，各方几乎束手无策。“大家都不知道怎么（me）去（qù）保（bǎo）护自己（jǐ）的权利，大家就只能看着发生，等着（zhe）下一次什么时候发（fā）生。”中国社会科学（xué）院研（yán）究员周（zhōu）汉华对财新《新世纪（jì）》记者说，“我们的问题是没有有效（xiào）的管理手段，没有可以（yǐ）适用的法律。”

在亚太网络（luò）法律研究中心主任刘德（dé）良（liáng）教授看（kàn）来，个人（rén）信息在网络（luò）时代越来越（yuè）具有商业（yè）价值，这也（yě）是目前非法收集、加工、买卖和商（shāng）业性滥用个人信息行（háng）为日益泛滥（làn）的内在驱动力。针对如（rú）此严重（chóng）的网络的个（gè）人信（xìn）息安全威（wēi）胁，法律（lǜ）的“防火墙”为何失能（néng）以及如（rú）何重构，成为（wéi）一个急需解决的问题。

上海一位（wèi）经（jīng）侦人员对财（cái）新《新世纪》记者介绍，他们曾经侦办过一（yī）个利用个人信息实施犯（fàn）罪的案子。有人发现几百万元银行存款莫名消失，于是报案。此案涉及（jí）几百万（wàn）条（tiáo）的车主信息数据库，这些信息有黑（hēi）客（kè）攻击得到的，也有银行、保险业的内部人泄露出来的（de）。犯罪分子的作案手法是，通过内部泄露或者黑客攻击得到包括车主姓（xìng）名和身份证号（hào）码（mǎ）的用户信息库（kù），找（zhǎo）银行的人查开户信息，这个行（háng）话叫“包（bāo）行”，几（jǐ）百块就（jiù）能做。得到卡（kǎ）号后，然后猜密码，利用黑客软（ruǎn）件和银行卡进行比对。

从刑（xíng）事法律来看，2009年《刑法（fǎ）》修正案增加（jiā）了“非法侵（qīn）入计算（suàn）机信息系统罪”的条款，“违反国家（jiā）规定，侵入计算机信息系统或（huò）者采用其他（tā）技术手段（duàn），获取该计（jì）算机信（xìn）息系统（tǒng）中（zhōng）存储、处理或者传输（shū）的（de）数据，或者对该计算机信息（xī）系（xì）统实施非法控制，情节严重（chóng）的，处三年以下有（yǒu）期徒刑（xíng）或者拘役，并（bìng）处或者单处（chù）罚金；情节特别严（yán）重的，处三年以上七（qī）年以下有期徒刑，并（bìng）处（chù）罚金”。

同年，全国人（rén）大（dà）常（cháng）委会（huì）还出台《侵权责任法》，规定网（wǎng）络服务提供者和网络（luò）用户（hù）利（lì）用网络侵害（hài）他人（rén）民事权益（yì）的，应当承（chéng）担侵权责任；网络服务（wù）提供者知道网络用户利用其网络服务侵害他人民事权益，未采取（qǔ）必（bì）要（yào）措（cuò）施的，与该网络用户承担连带责任。2000年，全（quán）国人大常委会（huì）又专门制定了《关于维护互联（lián）网安全的决定》，重（chóng）申各（gè）种互（hù）联网违法的刑事责任和（hé）民（mín）事责任。

在行政监管层（céng）面，除了（le）国务院在1994年（nián）制定的（de）《计算机（jī）信息系统（tǒng）安全保护条例（lì）》，作为全国计算（suàn）机系统安全保护（hù）工作主管部门（mén）的（de）公安部，也制定了《信息安（ān）全等级保（bǎo）护管理办法》以及《计算机信（xìn）息（xī）系统安全（quán）保护等级划分准则》《信息系统安（ān）全等级保护基本要求（qiú）》《信（xìn）息系统安全等级（jí）保护测评（píng）要求（qiú）》等30多个标（biāo）准。

多（duō）重的法律规定，为何实施（shī）效果不佳？周汉华认为，《刑法》的（de）适用门槛（kǎn）比较（jiào）高，需（xū）要“违反（fǎn）国（guó）家规定”和（hé）“情（qíng）节严（yán）重”的（de）条件，何况（kuàng）这两个条件目（mù）前都缺乏相应的标准。而《侵权责任法》的（de）适（shì）用（yòng），在网络环境（jìng）下，当事人举证非常困难，而且存在成本投入和收益不对称的情况。

周汉华认为，《刑法》和《侵权（quán）责任法》都属（shǔ）于（yú）事后救（jiù）济，在网（wǎng）络时代，由于（yú）损害（hài）的发生是系统性（xìng）的、不可（kě）复原的，所（suǒ）以对网络安全以及个人（rén）信息进行（háng）全流程的监管才更（gèng）为有效（xiào）。目前对于这种全流程的监管，中国既缺乏（fá）专门的（de）法（fǎ）律，也没有（yǒu）专门的执法（fǎ）机关，搜集个人资料的企业所应（yīng）承担的相应的安全责（zé）任以及相应的信（xìn）息（xī）流管（guǎn）理行为规范（fàn）都（dōu）缺（quē）失。“这就是为什么要制定（dìng）《个人信息保护法》的原因（yīn）。”周汉华称。

据财新《新世纪》记者了解，早在2003年之（zhī）时，周汉华曾经（jīng）受当（dāng）时的国务（wù）院信息化办公室委托（tuō），主持《个人信息保护法》的立法研究，并且在2005年形成了一份专家意（yì）见稿（gǎo）。但时（shí）隔多年，这部法（fǎ）律的立法工作迟（chí）迟未（wèi）被启（qǐ）动。

刘德良教授认为，在（zài）当前中国的法律框架下，把个人（rén）信息都纳入（rù）人格权的范畴，而不（bú）承（chéng）认（rèn）个人信息的商业价值也是个（gè）人（rén）的财产；人格权受到侵害（hài）后，原（yuán）则上也不能要（yào）求财产（chǎn）损害赔偿。因（yīn）此（cǐ）他提出，对于个（gè）人信息的（de）法律保（bǎo）护，应该包括隐私上的人格利益和个人信息的商业价值这双（shuāng）方面，将（jiāng）个人信息的商业价（jià）值视为（wéi）个人的财（cái）产（chǎn），未经允许擅自收集和商（shāng）业性利用个人隐私，既是一种侵犯人格权的行为，也是一种侵害财产权的行为。