然而，潘多拉魔盒已（yǐ）经打开，CSDN数据库的泄（xiè）露（lù）仅仅是（shì）个开始。“没（méi）想到（dào）后面的（de）事情越来越大，已经到（dào）了不可收拾的程（chéng）度（dù）。”蒋涛（tāo）说。

12月22日，知名IT博客“月光博客（kè）”披露，多玩网数据库泄露（lù）超（chāo）过800万（wàn）条信息，有大量用户（hù）名、明文密码、邮箱及部分加密密码。“经过验证，使用该数（shù）据（jù）库中（zhōng）的用户名和密码可以正常（cháng）登录多玩（wán）网。”

同（tóng）日（rì），标注为（wéi）“人人网500万用户资料（liào）”的文件开始在（zài）网（wǎng）上流传，嘟（dū）嘟牛、7k7k、178游戏网、CSDN等多家网（wǎng）站数据库文（wén）件的截图也出（chū）现在微博上（shàng），涉及的（de）用户信（xìn）息（xī）总（zǒng）量超过5000万条。但（dàn）人（rén）人网否（fǒu）认（rèn）用户数据遭到泄（xiè）露，他们在官（guān）方微博上提醒称，“如果您的（de）人人网（wǎng）账号密（mì）码和CSDN或（huò）其他网站一致，建议您马上修（xiū）改密码，以（yǐ）免（miǎn）账号被盗。”人人网相关人员在接受采访时表示，提醒用户只是出于安全（quán）考虑（lǜ）。

12月25日（rì），泄密规模进一步扩大，网（wǎng）络上开始流传天涯论（lùn）坛的用（yòng）户数（shù）据库，信息总量超过4000万条。随（suí）后，这一新（xīn）闻被天涯社（shè）区官（guān）方（fāng）致歉信证实：由于历（lì）史原因，天涯社区早期使用明文密码，在2009年11月改成加密密码，但是部分老的（de）明文密（mì）码库未被清理，黑客泄露（lù）的正是2009年11月升级密（mì）码保存方式之前所注（zhù）册的用（yòng）户。不过（guò）天涯社区并未在公告中对泄露的用户（hù）规（guī）模进行（háng）确认。天（tiān）涯社区公关经理初蒙在接受财新《新世纪》记者采访时表（biǎo）示，确认用户信（xìn）息遭（zāo）泄露（lù）后，已经向（xiàng）海南（nán）省（shěng）公（gōng）安（ān）厅（tīng）、海口（kǒu）市公安局报案（àn），案（àn）件目前正在侦查之中。

12月（yuè）26日，网上又传出（chū）新浪微博（bó）的（de）用户资（zī）料疑似被泄露，并公布了新浪（làng）微博数据下（xià）载地（dì）址。这（zhè）个疑似数据库一共有约476万条账户（hù）和密码信息。

此后，泄密事（shì）件继续发酵升级，传闻开（kāi）始波及到电子商务及银行系统。12月27日，乌（wū）云漏洞（dòng）报告平台披露京东商城的漏洞，“在某些（xiē）业务上存（cún）在用户权（quán）限（xiàn）控制不当的漏洞，导致（zhì）任意用（yòng）户登录（lù）系统后，都可（kě）以（yǐ）正常（cháng）访（fǎng）问到所有用（yòng）户的信息，包（bāo）括姓名、地（dì）址、电话、Email等。”这一漏洞报告得（dé）到了京东商城方面的（de）响（xiǎng）应。

12月28日，“当当网1200万用户信（xìn）息遭（zāo）泄露”的说法亦被“小部分”证实。当（dāng）当网的公告称：“经核实，网络公布的信息（xī）数据只有（yǒu）极小部（bù）分属实，且均系2011年6月（yuè）之前的老数据，该部（bù）分数据是由于之（zhī）前遭到网络黑客攻击（jī）被盗取。”

乌（wū）云漏洞报告平台在12月28日也再次报告（gào）称，“支（zhī）付（fù）宝用户（hù）大（dà）量泄露，被用于网络（luò）营销，泄露总量达（dá）1500万-2500万（wàn）之多，泄露事（shì）件不明（míng），里面只有支付宝用户的账号，没有密码”。支付宝随后回应称，支（zhī）付宝账号不是（shì）私密（mì）信息，在很多地方都可以搜集到，只有账号没有密码，对用户（hù）资金安全（quán）没有（yǒu）任何威（wēi）胁，“支（zhī）付宝采取金（jīn）融级的信息安全标准去（qù）保护（hù）用户（hù）信息及资金安全，我（wǒ）们承诺（nuò）没有任何人（rén）能从支付宝获得用（yòng）户的（de）密码等私密信息。过（guò）去没有，以后也（yě）没有，请（qǐng）大家放心”。

但12月29日，更吓人的消息又在网上疯（fēng）传：交（jiāo）通银（yín）行（háng）、民（mín）生银行分别泄露用户资（zī）料7000万（wàn）和（hé）3500万份，“卡号、姓名（míng）、密码都有”，并配（pèi）有截图。当天（tiān）下（xià）午，交通银行、民生银（yín）行、工商银行等分别（bié）发（fā）布（bù）公告辟（pì）谣，称“用户资（zī）料外泄（xiè）的传闻纯属谣言”。

当日晚（wǎn）间，又（yòu）有网友披露（lù）称，广东省公（gōng）安（ān）厅出入境政府服务网网上申请数据（jù）泄露，几乎所有（yǒu）提交（jiāo）网上申请用户的真实姓名、出生年（nián）月、电话、护（hù）照号码、港澳（ào）通行证（zhèng）号（hào）码等信息均可查到，泄露的总（zǒng）信（xìn）息量（liàng）高达444万条。这一信息被广（guǎng）东（dōng）省（shěng）公安厅证（zhèng）实：2011年6月24日至（zhì）2011年12月29日期间，在（zài）广东申请出（chū）入境（jìng）的用户（hù）信息遭到（dào）泄露。

仅仅一（yī）个星期，泄密已（yǐ）经从CSDN一家网（wǎng）站的危机（jī）演化成为了席（xí）卷整个互（hù）联网（wǎng）的大事件。一时间，各大网站人人自危，真假数据库屡屡出现（xiàn）。国家互联网应（yīng）急（jí）中心对（duì）所（suǒ）曝光（guāng）的（de）数（shù）据进行了抽查核（hé）实，发现部分数据是有（yǒu）效的，经过与相关网站、论坛（tán）联系后，确认CSDN社区、天（tiān）涯社区两家（jiā）网站发（fā）生了用户数据泄露事件，但泄露原因还有待进一（yī）步分（fèn）析（xī）；对于其他网站、论坛（tán），虽然曝光数（shù）据（jù）中（zhōng）个别条（tiáo）目有效，但不能判（pàn）定发（fā）生了网站、论坛（tán）用（yòng）户数据泄露事件。

金山（shān）网络反病毒工程（chéng）师李铁军12月30日接受财新《新世（shì）纪》记（jì）者采访时则表示，根（gēn）据他们从网上下载的（de）数据（jù）库，剔除重复信息之后，有超过1亿（yì）条的用（yòng）户信（xìn）息在此次事件（jiàn）中泄露。

一位不愿具名的网络安（ān）全工程师（shī）也向财新《新世纪（jì）》记者证实（shí），经过（guò）重合（hé）度分析、数据库格式（shì）判断等验证分析（xī），基本可以断定“有十几家网站的（de）数据库比较靠谱，应（yīng）该是真实（shí）的”。

大规模用户（hù）数据泄密后，各（gè）种（zhǒng）“浑（hún）水（shuǐ）摸鱼者”也随之而来。蒋涛告诉财（cái）新《新世（shì）纪（jì）》记者，一些人开始制造假的数据库来（lái）混淆视听；一些网站（zhàn）通知所（suǒ）有用（yòng）户修改（gǎi）密码（mǎ），以（yǐ）乘机激活“沉睡”用（yòng）户；甚至（zhì）一些网站（zhàn）把曝光（guāng）的数据库直（zhí）接导入自己的（de）数据库，然后发通知（zhī）给用（yòng）户（hù）修改密（mì）码，不费吹灰之力即获得（dé）上千万规模（mó）的用户。当（dāng）然，对用户（hù）影响最直（zhí）接（jiē）的是（shì）各种垃圾邮（yóu）件、钓鱼邮件多了起（qǐ）来。

真（zhēn）正令（lìng）人担心的是，或许还有更大规模的数据被地下黑客所掌握（wò），只是没有公布（bù）而已。著名网络安全专（zhuān）家龚蔚（goodwell）公开表示，这次（cì）曝光的1亿多条用户账号及密码等相（xiàng）关（guān）信息，只是黑客所掌握数据（jù）的（de）“冰山一角”，预计（jì）有将（jiāng）近4亿（yì）-6亿的用户账号信息在黑客（kè）地下（xià）领域（yù）流传。

翻过新年，此波（bō）网络账号信息泄密的浪潮仍有余（yú）波。1月4日，一位网络ID为“网（wǎng）路游侠（xiá）”的“白帽黑客”在自己的博客上发布了新（xīn）浪的（de）漏洞：新浪（làng）iask站点存在SQL注（zhù）入漏洞，利用漏洞可以（yǐ）读取iask数据库内容，包括明文密码在内的7000多万新（xīn）浪用户（hù）信息（xī）。由于新浪实（shí）行“全站一号登（dēng）录”，黑客利用这（zhè）个漏洞还可以获得新浪微（wēi）博的（de）相关账号（hào）信（xìn）息（xī）。“网路游（yóu）侠”以知（zhī）名魔术师刘谦的微博为（wéi）例，通过构造数（shù）据库查询（xún）语句就轻松（sōng）获得了刘谦的账（zhàng）号及密（mì）码信（xìn）息，并成功登录（lù）。当天晚间，刘谦在（zài）微（wēi）博上转发该博客，证实此事。不过（guò），“网（wǎng）路（lù）游侠”称，这个（gè）漏（lòu）洞（dòng）他是在1月1日发现，已及时（shí）通（tōng）知新浪官方，并在新浪修复了该漏洞后才在博客上（shàng）公布文章，供参考学习之用。

截至（zhì）发稿（gǎo），新浪方面（miàn）对此事尚未做出回应。事实上，早（zǎo）在2010年10月（yuè），乌云漏洞平台就曾报告称新浪iask站（zhàn）点存在SQL注入漏洞的安全问题。

偶然中的（de）必（bì）然

“这些数据库（kù）在黑客圈几年前（qián）就有（yǒu）了，这一次只不过是个比较集中的爆发”

是谁，在什么（me）时候，拿（ná）走了这些涉及用户隐私（sī）的数（shù）据？原本隐秘在黑客（kè）圈（quān）的数（shù）据库缘何会曝光在公众面（miàn）前？互联网是否还有安全可（kě）言？此轮网络（luò）大泄密，让这（zhè）些问题成了普通互（hù）联网用（yòng）户（hù）最自然（rán）的追问。

“这些数据（jù）库在黑（hēi）客（kè）圈几年前就有了（le），这一次只不过是个比较集中的（de）爆发。”安全（quán）宝（bǎo）CEO马杰对（duì）财（cái）新《新世纪（jì）》记者称，CSDN数据（jù）库的曝光看似偶然，实则（zé）必然（rán）。“冰冻三尺非一日之（zhī）寒，互联网行业（yè）安全（quán）问题的（de）累积已经太多了，迟早会爆发（fā）。”马（mǎ）杰在安全行业超过十年，曾任瑞星研发总经理，负责个人和企业的安全（quán）产品。

这（zhè）也是（shì）网络安全行业人员近乎一致的观点。天融信（xìn）公司高级（jí）安全顾问（wèn）吕延辉向财（cái）新《新（xīn）世纪》记者证实（shí），最早在2008年时（shí），就（jiù）曾（céng）听说有一些网站（zhàn）的数据（jù）库在黑客圈流传。

本次密码信息最先被公布的（de）CSDN社区，后来（lái）曾组织安全（quán）专家进行讨论，得知公司的数据库事（shì）实上（shàng）早（zǎo）就在黑客的手上（shàng）了。“并不是说（shuō）这一（yī）刻先攻破了CSDN，放（fàng）出数（shù）据库，然后（hòu）下一刻攻破了天涯再放（fàng）出数据（jù）库（kù）。而是（shì）这（zhè）些数据他们手上一直都有，只不（bú）过抛出来的时间（jiān）不一样。”蒋涛（tāo）说。

天融信（xìn）成都分公司技术负（fù）责人（rén）邹晓波称（chēng），早期的（de）很多网站（zhàn），都可以通（tōng）过服务器渗透（tòu），取得后（hòu）台数据库的权限（xiàn），直（zhí）接取得数（shù）据。“黑客（kè）圈（quān）内人（rén）都知道（dào）谁被盗了（le），他们不（bú）一（yī）定（dìng）公布，但是会炫耀，在小范围内（nèi）流传，大部分没有去获利（lì）。”

CSDN社区数（shù）据库（kù）的曝（pù）光，曾经被指向一名（míng）ID为Hzqedison的金山公司员工，他分享数据库（kù）下载地址的截（jié）图最早在网上流传。12月22日，CSDN数据库外（wài）泄一事被（bèi）广泛关注的时候，Hzqedison在新浪（làng）微博表（biǎo）示道歉。随后，金山公司也发表（biǎo）声明（míng），金山员工并非（fēi）网络上传言（yán）的黑客，并非最早（zǎo）对外发（fā）布密码库的第一人。

Hzqedison解（jiě）释了事情的经过：“12月21日，我在一个聊（liáo）天群里看（kàn）到CSDN数据库的迅雷下载地址，就离（lí）线（xiàn）下载了该文件来检（jiǎn）查自己账号是否被泄露。为（wéi）了让同事（shì）们也检查，才做了分享贴到同事群里。5分钟（zhōng）后，该地址截图被发到了乌（wū）云漏洞（dòng）报告（gào）平台上，得知后我立即（jí）删除了（le）迅雷分享地址。因（yīn）为删除（chú）很及时，该地（dì）址只有几名（míng）同（tóng）事下载过（guò），而且从未将数据（jù）库文件外（wài）泄（xiè）。”

李铁（tiě）军告诉财新《新世纪》记（jì）者，据他了解，当时该（gāi）金山员工上传（chuán）CSDN数据（jù）库时，是（shì）“秒传”的（de），说明这个数据库文件在迅（xùn）雷下载（zǎi）服务（wù）器中早已存在。

“是谁最早上传（chuán）了这些数据库，现在已经（jīng）很难确（què）定。”李铁（tiě）军说，除了CSDN的（de）数据库，还有其他网站的数据（jù）库一起在（zài）网（wǎng）上流（liú）传。因为CSDN的影（yǐng）响力比较大，所以（yǐ）就传开了。

事（shì）实上，CSDN数据库曝光之（zhī）前（qián）已（yǐ）有征兆。李铁军告诉财（cái）新（xīn）《新世纪》记者（zhě），他在12月（yuè）14日（rì）前后，即泄密（mì）事件发（fā）生（shēng）的前一周，就（jiù）已经注意到有（yǒu）很多网（wǎng）友（yǒu）在（zài）新浪微博上反映账号被（bèi）盗，“这是黑客在用数据（jù）库去试探（tàn）新浪的数据（jù）库，有些就撞到了”。

马（mǎ）杰（jié）分析，这次曝光的（de）网站数据库应该是最近几年间连续不（bú）断（duàn）被刷库的（de）。“安（ān）全圈也知道，这（zhè）几年地下黑客圈在刷（shuā）库，也知道一（yī）些数（shù）据库在（zài）黑客圈流传。”

所谓刷库（kù），是指黑客入（rù）侵（qīn）网站服务器之后（hòu）窃取用户数（shù）据库的行为，互（hù）联网业内也称（chēng）其为“拖库”，取其谐音，也形象（xiàng）称之为“脱（tuō）裤”

看（kàn）上去，金山员工“偶然（rán）”的发现（xiàn）和分（fèn）享，加上地下黑客累积经年（nián）的刷库行（háng）为，以及数据库在圈子中的一轮（lún）轮（lún）扩散，最（zuì）终促成了这次网站数（shù）据（jù）库（kù）大规模的曝（pù）光。

但是，这里面依然（rán）隐藏着两个问题（tí）。第一（yī），金山员工如何（hé）能“偶（ǒu）然”发现原本在地下黑客圈（quān）流传的数据库？第二，仅是CSDN的数据（jù）库曝光，缘何能引发一连串（chuàn）的数据库浮出水面（miàn）？

地下黑客圈传输或交换文件，一般都是点对点（diǎn）的（de）传输，有时甚至通过邮寄移动硬盘（pán）或光盘来实现。但随着（zhe）被刷的（de）数据库越来越多（duō），转（zhuǎn）手（shǒu）的次数越（yuè）来（lái）越多，参与的人（rén）数也越来越多，出错和曝光的概率就越来（lái）越大。

乌云漏洞报告（gào）平台的创建人剑心（xīn）分析说，由（yóu）于不（bú）同黑客掌握的（de）数据库各有（yǒu）不同（tóng），刷出来的数据库会在黑客圈中交换，这样就（jiù）会一轮（lún）一轮的扩散。很有可（kě）能是某个人在（zài）转手传播（bō）的过程中（zhōng），由于文（wén）件太大，无法实现网络（luò）上（shàng）点对点的传输，不得不（bú）利用迅（xùn）雷（léi）、网盘一类的工具进行上（shàng）传和下载。在（zài）这过程中，工具会（huì）把这些文（wén）件泄露（lù）出来，甚（shèn）至会（huì）在搜索“数（shù）据”等关键词时出现推荐（jiàn）。这样（yàng）扩（kuò）散的范（fàn）围就更（gèng）大，进入（rù）与黑客圈有交流的安全圈也就不足为奇了。

至于网站用（yòng）户密码连（lián）续（xù）被报丢（diū）失的现（xiàn）象（xiàng），吕延辉解释说，一些数据（jù）库曝（pù）光（guāng）之后，黑客手中那（nà）些与之雷同的数据库就没有价值了。并且，引发公众关注后，基本（běn）所（suǒ）有网站都会通知用户修改（gǎi）密码，政（zhèng）府相（xiàng）关部门可能还会介（jiè）入，那么其他的一些非核心数据（jù）库的价值也就更低（dī）了。

吕延辉表示，可（kě）以看出来，这次曝光的数（shù）据库都（dōu）是（shì）在地下黑客圈转手（shǒu）很多（duō）次的，本身（shēn）价值也不大，再加上CSDN数据（jù）库的曝光，其他数（shù）据库（kù）的含金量进一步降低，那（nà）些手上（shàng）有库的人（rén）抛出来也不奇怪，这才形成了（le）一连串（chuàn）的规模效应。

脆弱的网站安全

泄密事件，将众多（duō）网（wǎng）站在安全方面的脆弱暴露无遗（yí）。知名网络安全专家、安（ān）天实（shí）验室首席技术架构师江（jiāng）海客（kè）直言，这是一个安全崩（bēng）盘的（de）时代。

安全（quán）圈（quān）内资深人士的共识是，被黑（hēi）客攻（gōng）击（jī）和（hé）刷库，各大网站几（jǐ）乎是无一（yī）幸免，只是程度和范（fàn）围的不同。在做安全行业（yè）的人看（kàn）来（lái），目前大部分网（wǎng）站的安全性都不足。“这一次表面上看是（shì）明（míng）文密码库的问题，但实际上（shàng）多数网站从根本上（shàng）都没（méi）有重视自身的信息安全。”天（tiān）融（róng）信公司副总裁刘辉对财新（xīn）《新世纪》记者表示，网站把绝大部分资金（jīn）投入到日常运营中（zhōng），只（zhī）有被攻击或（huò）吃过教训后，才想起来（lái）安全的（de）重要（yào）性。

“一些网站之所以容易被‘脱（tuō）裤’，很大一部分原因就是因（yīn）为（wéi）本身就穿得太少了。”刘辉说（shuō），很多经营（yíng）性网站甚至都（dōu）没（méi）有专（zhuān）门的网络安全工程师。

CSDN社区数据库在此次事件中最先曝光（guāng）。蒋涛也（yě）坦言（yán），“原来（lái）对安全的（de）认识还停留在（zài）相对低的（de）水平（píng）上，觉得（dé）自己的数据不是什么关（guān）键数据（jù），别人拿去也没什么用。”

但这次一连串的数据库泄密（mì）事（shì）件（jiàn）证明，互联网存在很大（dà）的（de）关联性，特别是拥有（yǒu）大量（liàng）用（yòng）户的网站（zhàn），更不是一个孤立的存在，很多用户的（de）邮箱（xiāng）、账（zhàng）号都与别（bié）的（de）系统（tǒng）相（xiàng）关联，一旦有事，就会造成跨网站的连（lián）锁反应。另外，由于（yú）安全问题出在了（le）服务器（qì）端，普通（tōng）用户基本没有办（bàn）法（fǎ）防范，数据库（kù）被刷后曝光（guāng）出（chū）来，用户只能被（bèi）动的修改密码。

马杰则指出，现在互联网（wǎng）从原来提供内容为主，到现（xiàn）在有很多的网上购物与社（shè）交，网站的重（chóng）要性进入了另外一（yī）个（gè）层面，但安（ān）全现状（zhuàng）停（tíng）步（bù）不前。“现在网站数据中所包含信息的价值在上升，但安全防护的（de）措（cuò）施并没（méi）有加强。”他说。

另一方面（miàn），专（zhuān）业做网（wǎng）站功能、应用（yòng）和服务的人（rén），与专（zhuān）业（yè）做安（ān）全（quán）的人（rén），在技术（shù）思维上也存在巨（jù）大差异（yì）。“一个B2C网站的程序员，做了一个系统，花（huā）了几个（gè）月的（de）功夫，自己觉得没什么（me）问题，然后请专业做（zuò）安全的人（rén）去找漏（lòu）洞，结果做不到十分钟就破解了。”李铁军举例说，二者没（méi）有（yǒu）高下之分，只是（shì）职业（yè）的特（tè）征（zhēng）决定了（le）思路上的（de）差异。

思路上的差异（yì），加上安（ān）全意识的不到位，导致了（le）网站安全的脆弱。CSDN、天涯社区至今仍（réng）未披露数（shù）据库（kù）外泄的具体原因。马杰告诉财新《新世纪》记（jì）者，从技术上讲，有很多种方法（fǎ）可以刷库，“就像一个很大（dà）的房子（zǐ），可以爬窗户、撬门（mén），或者从烟（yān）囱进来，甚至挖个地道进来，就看黑客想花多（duō）大（dà）的（de）功夫和精力”。

通常来说，黑客都是（shì）通过发现网站或应用软件的漏洞进入服务器，然后想办法提升权（quán）限，就可以把数据库下载下来。对（duì）一些（xiē）防护比较弱的网站，甚至都不（bú）用进入网站就能刷库。安全行业资深人士TK说：“只要分两步，第（dì）一步找到一个SQL注入点，执行一条备份命令，备份到一个（gè）目（mù）录去；第二步（bù），从目录把数据（jù）下载（zǎi）回来。根（gēn）本不需要获得网站（zhàn）的权限，只要有SQL注入的漏（lòu）洞，就可以爆库了。”

剑心告（gào）诉财（cái）新《新世纪（jì）》记者（zhě），决定（dìng）在12月30日临时关闭乌云平台的（de）其中一（yī）条（tiáo）原（yuán）因，就是担心后续几天爆出的（de）网站漏洞会越来越多，引起互（hù）联网用户（hù）的恐（kǒng）慌。乌云漏洞报（bào）告平台是由一群互联网安全研究人员自发组织的信息安全沟通平台，研究人（rén）员在上（shàng）面提交厂商的安全问题，也（yě）披露一些通用的（de）安全咨询和安全使用。有超过500个“白帽子”安（ān）全研究人员和120多个厂商参与平台，反馈和处理了（le）接近4000个安全问题。在泄密事（shì）件引（yǐn）发大范围（wéi）关注后（hòu），乌云平台因曾多次发布相（xiàng）关安全漏洞预警而被（bèi）关（guān）注（zhù）。

剑心（xīn）也证实说，目前国内除极少数大（dà）型网站外，可能都被黑客刷过库，包括网易、搜狐在内的门户，一些（xiē）漏洞（dòng）都是在乌云平台上被证实的。此外，近年来快速膨胀的电子商（shāng）务网（wǎng）站，在（zài）剑心看（kàn）来（lái），安全（quán）性更是糟糕，乌云平台已经多次证实并报告（gào）了他们的漏洞（dòng）。这其中就包（bāo）括11月10日所报告的当（dāng）当（dāng）网漏洞，可以（yǐ）抓取（qǔ）超过4000万条用户信息。

相对而言，金融系统的安（ān）全性较强。银行通常会采用硬加（jiā）密的技术，既不仅依靠登（dēng）录（lù）密码（mǎ）和交易密码，还需有一个（gè）外在于（yú）密码（mǎ）系（xì）统的物（wù）理密钥，比如发送到手机的动（dòng）态口令或U盾（dùn）密钥，其安全性要（yào）高（gāo）于单靠密码（mǎ）的“软加（jiā）密”方式（shì）。但是（shì），随着第三方支付、代收费、代缴费等业（yè）务的展开，银行系（xì）统需要开放的接口也（yě）越来越多，对银（yín）行系统的安全提出了更高的要求。

除（chú）网站的安全性差外（wài），本次泄密事件中备受诟病的还（hái）有（yǒu）明（míng）文密（mì）码库。所（suǒ）谓明（míng）文密（mì）码库（kù），即在对用（yòng）户密码信息存储时（shí）未进（jìn）行加密处理，黑客获得数据库后，所有的用户名、密码一目了（le）然，更加（jiā）容易（yì）利用。

蒋涛解释（shì）称，各（gè）家网站的明文密码库都（dōu）有（yǒu）复杂（zá）的历史原因，CSDN是在2010年9月之后才采（cǎi）用了密文存储。“这不是（shì）一家的问题，而是（shì）行业（yè）性的问题。”

但是（shì），加密存（cún）储也并不（bú）一定意味（wèi）着安全。多位受访的网络安全（quán）专家（jiā）告诉财新《新世（shì）纪》记者，现在相对简单（dān）的MD5加（jiā）密方法已（yǐ）经不安全，黑客圈（quān）建立了庞大（dà）的MD5值（zhí）的（de）“字典库”，通过“查字典”的方式很快就能（néng）破解还原。

马杰建议，在进行密文存储时，还需（xū）要对加密算法做一些改变（biàn），或（huò）多次加密，安全（quán）性（xìng）能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在破解（jiě）不了的（de）情况，但至少会大大增加破解的成本和时（shí）间（jiān），降低数（shù）据（jù）库对黑客的吸引力。

乌云平台撰文称，最好的安全应该是（shì）自始至终就有人为安全负责，将（jiāng）安全落（luò）实到（dào）公司的（de）流程制度规范以（yǐ）及基础技（jì）术（shù）架（jià）构里（lǐ）去，形成完善的安全体系（xì），并（bìng）且持（chí）续更新迭（dié）代，“如果以前没（méi）有这方面制度，就从现在开始建（jiàn）设；如果没有团队，就可以先找一些公（gōng）司或者外部顾问。但是记住，不要（yào）幻（huàn）想一次性的（de）投入就可以抵（dǐ）抗利益驱动长久进化的黑色产（chǎn）业链（liàn）”。

黑色（sè）产业链

有人（rén）负责（zé）发掘漏洞，有人负责（zé）根据漏洞开发利用工具，有人负责漏洞（dòng）利用工具的销售（shòu），有人负责刷库，有人负责洗库，有人负（fù）责销售，还有人利用数据库钓鱼、诈骗（piàn）、发送垃圾邮件（jiàn）

大规模的泄密事件，也使得互联网（wǎng）江湖中最为隐秘的黑色产业（yè）链再度引人关注。“熊猫烧香”病毒让公众知道了（le）病毒黑色产业链，而此次的泄（xiè）密事件则指向（xiàng）了数据交易的黑色产业链。

马杰告诉财新《新世纪》记者，最近几（jǐ）年，“黑帽（mào）子”黑客圈（quān）内的盈利（lì）模（mó）式发生（shēng）了一（yī）些变化（huà）。最早是（shì）“挂马”比较挣钱，通过（guò）发现漏洞SQL注入，然后（hòu）想办法获得网站权限，在网（wǎng）页上挂（guà）上木马程（chéng）序，中了木马（mǎ）程（chéng）序的（de）机器就成（chéng）为“肉鸡”，通过木马（mǎ）控（kòng）制“肉鸡”来赚钱。比如说盗号、弹窗（chuāng）、导流（liú）量等。

“早（zǎo）几年木马猖獗的时候，一个服务器能（néng）控（kòng）制几万台的‘肉鸡’。即（jí）使只是IE自动跳（tiào）转到某一页（yè）面，每年也能（néng）带来（lái）可（kě）观（guān）的流量和收入。”李铁军（jun1）说，还有黑（hēi）客（kè）利用（yòng）系统漏（lòu）洞（dòng）和木马进行“钓鱼诈骗”，从个人客户（hù）一端（duān）入（rù）侵网银（yín）系统，进行非法转账等。

后来，“挂马”和“钓鱼”被各大安全公司打击得非（fēi）常厉害，特别是免费杀毒软件在个人终端（duān）的普及。而这个时候，地下黑客（kè）发现（xiàn），刷（shuā）库是个（gè）更快、更直接的赚钱方法。

最近几年，围绕数据（jù）交易的黑（hēi）色产业链正在逐步形（xíng）成。在地下黑客（kè）圈内，一（yī）些大型网站的数据（jù）库被明（míng）码（mǎ）标价，一（yī）个数（shù）据库整个端下（xià）来，价值数百万元到上千万元不等。

拖库成功后，到手的数据库可以有（yǒu）很多（duō）用途（tú），比如直接卖给被刷（shuā）库网站（zhàn）的（de）竞争对手（shǒu）。黑客还（hái）可（kě）以利用部分互联网（wǎng）用户“多（duō）家网站一个用户名一个密码”的习惯，去试探别的网（wǎng）站数据库（kù）。这叫“撞（zhuàng）库”，技术上也很容（róng）易（yì）实现（xiàn），只需要编写一个脚本，自动不断用已（yǐ）盗取（qǔ）数（shù）据库里的（de）信息（xī）去请求登录。由于（yú）都（dōu）是（shì）正常请求（qiú），被撞的网站也很难防范，所以也会有网站“躺着中枪（qiāng）”。

安全业内人士称，刷库之后（hòu），黑客拿着数据库去“撞”有虚（xū）拟币系统的游（yóu）戏（xì）网站（zhàn）、腾讯，以及网（wǎng）上（shàng）银（yín）行、支（zhī）付宝及（jí）电子商（shāng）务网站（zhàn），都是必然会发生的事情（qíng）。如果（guǒ）撞（zhuàng）到了（le）重合用户，将其账号内虚拟资产、网银洗劫一空（kōng）都是再自然不过了。

经过多（duō）次倒卖和“洗库”之（zhī）后，数据库（kù）还能（néng）被卖给（gěi）价（jià）值链的末梢买家（jiā）——利（lì）用账号信息（xī）来发送广告（gào）、垃圾（jī）邮件、垃圾短信的推销公司。通常情况下，数据库的价格越卖越便（biàn）宜，流传的（de）范围也就越广，距离曝光也就（jiù）越近。

而在整（zhěng）条黑（hēi）色产业链中，分工（gōng）也比较明确。最核心和最难的是发（fā）掘漏洞，这对技术的要（yào）求最高（gāo），能发掘漏洞的黑客（kè）也比较少。吕延辉介绍，在（zài）地下（xià）黑客中，有人专门负责发掘漏（lòu）洞，有人专（zhuān）门负责（zé）根（gēn）据漏洞开发利用工（gōng）具（jù），有人负责漏洞（dòng）利用工具的销售，有人负责刷库，有（yǒu）人负责洗库（kù），有人（rén）负（fù）责数据库的（de）销售，最（zuì）后端，还有人利用数据库（kù）钓鱼、诈骗、发（fā）送（sòng）垃圾邮件。

有网络安全人士估算，目前（qián）互联网的地（dì）下黑色产（chǎn）业链规模已经达到（dào）上千亿元，而安全行业的规模目前（qián）还只有几（jǐ）百亿元，“就像毒品的市场（chǎng）规模（mó）反而大于麻醉药的市场规模”。

失能的（de）法律防火墙

周（zhōu）汉华表示，“当网站的资料（liào）和个人（rén）信息紧密相连，安全却没有保障，这（zhè）种情况下，实名制（zhì）是相当危险（xiǎn）的（de）”

刘辉判断，这次泄密事件将注定会是互联网发展历史上一件大事。一方（fāng）面（miàn）是对互联（lián）网（wǎng）业务发展模（mó）式的影响；另一方（fāng）面，则是互（hù）联（lián）网（wǎng）行业安全（quán）规范机制（zhì）的建（jiàn）立已（yǐ）势（shì）在（zài）必（bì）行。

“短期内，互联网行业的发展会（huì）受到一定的（de）影响。”刘辉说（shuō），例（lì）如近两年兴起的云计算服务，现（xiàn）在（zài）提供云（yún）服（fú）务的互联网公司必须要重新（xīn）建立（lì）用户（hù）的信息，并说服用（yòng）户上（shàng）传至云端的资（zī）料是安全的。要说服用（yòng）户，就需（xū）要相应的安全（quán）承诺（nuò）及安全认证机制。

蒋涛也表（biǎo）示，这次泄（xiè）密事（shì）件相当于给整个互联网业上了一课（kè）。“CSDN也是专业（yè）的IT社（shè）区（qū）平（píng）台，我们会利用（yòng）这（zhè）个（gè）平台来加强安（ān）全的教育（yù）和（hé）普（pǔ）及（jí），提升互联（lián）网（wǎng）行业的安全意识（shí）。”他说，除了（le）加强（qiáng）自身的安全性（xìng），这（zhè）是CSDN在2012年要去做的重要事情，“互联网上各大网站的关联度越来越（yuè）高，安全已（yǐ）经不是（shì）一家两（liǎng）家的问题，而（ér）是全行（háng）业的问（wèn）题”。

在全世界（jiè），身份（fèn）的盗（dào）用（yòng）和（hé）密（mì）码（mǎ）的泄（xiè）露（lù）每天都（dōu）会出现，但与发达国家不同的是，这次（cì）密（mì）码泄露事件发生后（hòu），各方几乎（hū）束手无策。“大家（jiā）都不（bú）知道怎么去（qù）保护（hù）自己的权利（lì），大家（jiā）就只能看着发（fā）生，等着下一（yī）次什么时（shí）候发生（shēng）。”中国社会科学院研究员（yuán）周（zhōu）汉华对财新《新（xīn）世纪》记者说，“我们的（de）问题是没（méi）有（yǒu）有效的管理手段，没有可以（yǐ）适用的（de）法律。”

在（zài）亚太（tài）网络法律研究中（zhōng）心主（zhǔ）任刘德良教授（shòu）看来，个人信息在（zài）网络时代越来越具有商业（yè）价值，这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日益泛滥（làn）的（de）内（nèi）在驱动力。针对如此严重的网络的个人信（xìn）息安全威胁，法律（lǜ）的“防火墙”为何失能以（yǐ）及如何（hé）重构，成为一个急（jí）需解决（jué）的问题。

上（shàng）海一位经侦（zhēn）人员对财新（xīn）《新世纪》记者介绍（shào），他们曾（céng）经侦办（bàn）过一个利用个人信息实施（shī）犯罪的案子。有人发现（xiàn）几百万（wàn）元银行（háng）存款莫名消失（shī），于是报（bào）案。此案涉及几百万条的（de）车主信息数据库，这些信息有黑客（kè）攻击得到（dào）的，也（yě）有银行（háng）、保（bǎo）险业的（de）内部（bù）人泄露（lù）出来的。犯（fàn）罪分子的（de）作案手法是（shì），通过内部泄露或者黑客攻击得到包（bāo）括车主姓名和身份证号码的用户信（xìn）息库（kù），找银行的人查开户信息，这（zhè）个行话叫（jiào）“包行”，几百块就能做。得到（dào）卡（kǎ）号（hào）后，然后猜密码，利用黑客软件和银行卡进行比（bǐ）对。

从刑事（shì）法律来看，2009年《刑法》修（xiū）正案增加了（le）“非（fēi）法侵入计（jì）算（suàn）机信息（xī）系（xì）统罪（zuì）”的条款，“违反国家规定，侵入计算机（jī）信息系统或者采用（yòng）其他技术手（shǒu）段，获取（qǔ）该（gāi）计算机信（xìn）息系（xì）统中存储、处理或者传（chuán）输的数（shù）据，或者对该计算机信息系统实施非法控制，情（qíng）节严重的，处三（sān）年（nián）以下（xià）有期徒（tú）刑或者拘（jū）役（yì），并处或者单处罚金；情节特（tè）别（bié）严重的，处三年以上七年（nián）以下有期徒刑，并处罚金”。

同年，全国（guó）人大常委会还出台《侵权责任法》，规定网络（luò）服务提供者和网络用户利用网络侵害他人民事权益的（de），应当承担侵权责任；网络服务提供者（zhě）知道网络用户利（lì）用其网（wǎng）络服务侵害（hài）他人民事（shì）权益，未采（cǎi）取必要措施的，与该网络用户（hù）承担连（lián）带责（zé）任。2000年，全国人（rén）大常委会又专（zhuān）门制定（dìng）了《关于（yú）维护互联网安全（quán）的决定》，重申各种互联网违法的刑事责任和民事责任（rèn）。

在（zài）行政监管层面，除了国务院在1994年制定的（de）《计算机信（xìn）息系统安全（quán）保（bǎo）护条例》，作为全国计算机系统安全保护工作主管部门的公安部，也制定了（le）《信息（xī）安全（quán）等级保护管理办法》以及《计算机（jī）信息系统安全保护等级划分准则》《信息系统安全等（děng）级保护基本要求》《信（xìn）息系统安全等级保护测评要求》等30多个标准（zhǔn）。

多重的法（fǎ）律规定，为何（hé）实施效（xiào）果不佳？周汉华认为，《刑法》的适用（yòng）门槛比较（jiào）高，需要（yào）“违反国家规定”和（hé）“情节严（yán）重”的条件（jiàn），何况这两个条件目（mù）前都缺乏相应的标准。而《侵（qīn）权责任（rèn）法》的适用（yòng），在网络环（huán）境下，当事人（rén）举证非常困难，而（ér）且存在成本投（tóu）入和收益不对称的情况。

周汉华认为（wéi），《刑法》和《侵（qīn）权责任法》都属于事（shì）后救济，在网络时代，由于损害的发生是系统性（xìng）的、不可复（fù）原的，所以对网络安全以（yǐ）及个（gè）人信息进行全流程（chéng）的（de）监管才更为有效。目前对于这种全流程的监管，中国既缺乏（fá）专门的（de）法（fǎ）律，也没有专门的执法机关，搜集个人资料的企业所应承（chéng）担的相应（yīng）的安全（quán）责任以（yǐ）及相（xiàng）应的信息（xī）流管理行为（wéi）规范（fàn）都缺失。“这就是为什么要制定《个人信（xìn）息（xī）保护法》的原（yuán）因（yīn）。”周汉（hàn）华称。

据财新（xīn）《新世纪》记者了解，早在2003年（nián）之（zhī）时，周汉华曾（céng）经受当时的国务（wù）院（yuàn）信息（xī）化办（bàn）公室委托，主持《个人信息保护法（fǎ）》的立法研究，并且在2005年形成了一份专家意（yì）见稿。但（dàn）时（shí）隔（gé）多年，这部法律的立法工作（zuò）迟迟未被启（qǐ）动。

刘（liú）德良教授认为，在当前中国的（de）法律框架下，把个人（rén）信息都纳入人格权（quán）的（de）范畴，而不承认个（gè）人（rén）信息的商业价值也是个（gè）人（rén）的财产；人（rén）格（gé）权受到侵害后，原（yuán）则上也不能（néng）要求财（cái）产损害赔偿。因（yīn）此他提（tí）出，对于个人（rén）信息的法律保护，应该（gāi）包括隐私上的人格（gé）利（lì）益（yì）和个人（rén）信息的商（shāng）业价值这双方面，将（jiāng）个人（rén）信息的（de）商（shāng）业价值视为个（gè）人的财产，未经允许擅自收集和商业（yè）性利用个人隐私，既（jì）是一种（zhǒng）侵犯人格（gé）权的行为，也是一种侵害财产权的行为（wéi）。