然（rán）而，潘多（duō）拉魔盒已经打开（kāi），CSDN数据（jù）库的泄露仅仅是个开（kāi）始。“没想到后（hòu）面的事情越来（lái）越大，已经到了不可（kě）收（shōu）拾的程（chéng）度。”蒋涛说。

12月（yuè）22日，知（zhī）名IT博客“月光博客”披（pī）露，多玩网数据库泄（xiè）露超过800万条（tiáo）信息，有大量用户名、明文（wén）密码、邮（yóu）箱及（jí）部分加密密码。“经过验证，使用该数据库中的用户名和密码（mǎ）可以正常登录多玩网。”

同日，标注为“人人（rén）网500万用户资料”的文件开始在网上流传，嘟嘟牛、7k7k、178游戏（xì）网（wǎng）、CSDN等多家网站（zhàn）数据库文件的截图也出现（xiàn）在（zài）微（wēi）博上，涉及的用户信（xìn）息总量超过5000万条（tiáo）。但（dàn）人人网否认（rèn）用户数据遭到泄露，他们在官方微博（bó）上提醒称，“如果您的（de）人人（rén）网账（zhàng）号密码和CSDN或其他（tā）网站一致，建议（yì）您马上修改（gǎi）密码，以免（miǎn）账（zhàng）号被盗。”人（rén）人网相关人员在（zài）接受采（cǎi）访时表示，提醒用户只是出于安全考虑。

12月25日，泄密规模进一（yī）步扩大，网络上开始（shǐ）流传天涯论坛的用（yòng）户数据库，信息总量（liàng）超过4000万条。随后，这一新闻被天涯社区官方（fāng）致歉信证（zhèng）实：由于历史原（yuán）因，天涯社区早期使用明文密码（mǎ），在2009年（nián）11月改成加密密码，但是部分（fèn）老的明文密码库未（wèi）被清理，黑客（kè）泄露的正是2009年11月（yuè）升级（jí）密码保存方式之（zhī）前所（suǒ）注册的用户（hù）。不过天（tiān）涯社区并未在公告中（zhōng）对（duì）泄露的用户规模（mó）进行确认。天涯社区公（gōng）关经理初蒙（méng）在接（jiē）受财新《新世纪》记者（zhě）采访时表示，确认用户信息遭泄（xiè）露后（hòu），已经向海南省公（gōng）安（ān）厅、海口市公安局报案，案件（jiàn）目前（qián）正在（zài）侦查之中。

12月26日，网上又传出新（xīn）浪微博的用户资料疑似被（bèi）泄（xiè）露，并公布了新浪微博数据下载地址。这（zhè）个（gè）疑似数据库一共有约476万条（tiáo）账户和（hé）密码信息。

此后，泄密事件继续发（fā）酵升级，传闻开始波及到电子（zǐ）商务及银行（háng）系统。12月（yuè）27日，乌云（yún）漏洞报告平（píng）台披（pī）露（lù）京（jīng）东商城的漏洞，“在某些业务上存在用户权限控制不当的漏洞，导致任意用（yòng）户登录系统后，都（dōu）可以正常访问到所有用户（hù）的（de）信息（xī），包（bāo）括（kuò）姓名、地址、电话、Email等。”这一漏洞（dòng）报告（gào）得到（dào）了京东商城方面的响（xiǎng）应。

12月28日，“当当网1200万用户信（xìn）息遭泄露”的（de）说（shuō）法亦被“小部分（fèn）”证实。当当网的公（gōng）告称（chēng）：“经核实，网络公布的（de）信（xìn）息数据只（zhī）有极小（xiǎo）部分属实，且均系2011年6月（yuè）之前的老数据，该部分数据是由于之前遭到网络黑客（kè）攻击被盗取。”

乌云漏洞（dòng）报告平台在12月28日也再次报（bào）告称，“支付（fù）宝用户大量泄露（lù），被用于网络营销，泄露总（zǒng）量（liàng）达1500万-2500万之多，泄露事件不明，里面只（zhī）有支付宝用户的账号，没（méi）有（yǒu）密码”。支（zhī）付宝（bǎo）随后回应称，支（zhī）付（fù）宝账号不是私密信（xìn）息，在很多地方都可以搜集（jí）到，只有账号没有密（mì）码，对用户资（zī）金安全没有任何威胁，“支（zhī）付（fù）宝采取金融级的信息安全标准去保护用户信息及资金（jīn）安全，我们承诺没有任何人能从支付宝获（huò）得用户的密码等私密信息。过去没（méi）有，以后也没（méi）有，请大家放心”。

但12月（yuè）29日（rì），更吓人的消息又在（zài）网上（shàng）疯传：交通银行、民生银行分（fèn）别泄（xiè）露用（yòng）户资（zī）料7000万和3500万份，“卡（kǎ）号、姓名（míng）、密码都有”，并配有截图（tú）。当天下午，交（jiāo）通银行、民生银行、工商银行等（děng）分别发布公告辟谣，称“用户资料外泄的传闻（wén）纯属谣言（yán）”。

当（dāng）日晚间，又有网友（yǒu）披露称，广（guǎng）东省公安厅出入境政府服务（wù）网网（wǎng）上申请数（shù）据（jù）泄露，几乎（hū）所（suǒ）有（yǒu）提交网（wǎng）上申请用（yòng）户的真实姓名、出（chū）生年月、电话、护照号码、港澳通行证号码等信（xìn）息均可查到，泄露的总信息量高达（dá）444万条。这一（yī）信息（xī）被广东省公安（ān）厅证实：2011年6月（yuè）24日至2011年（nián）12月29日期间，在广东申请（qǐng）出入境（jìng）的用户信（xìn）息遭到泄露。

仅仅一（yī）个星期，泄密（mì）已经从CSDN一家网站的危（wēi）机演化成为（wéi）了席卷（juàn）整个互联网的大事件。一时间，各大网站人人（rén）自危，真假数据库（kù）屡屡（lǚ）出（chū）现。国家互联（lián）网应（yīng）急中心（xīn）对所（suǒ）曝光的数据进行（háng）了抽查核实，发现部（bù）分数据是有（yǒu）效的，经过与相关网站、论（lùn）坛联系后（hòu），确认（rèn）CSDN社区（qū）、天涯社（shè）区两家网（wǎng）站发（fā）生了用户数据泄露事件，但泄露原（yuán）因还有待进一步（bù）分析；对（duì）于其他网站、论坛（tán），虽然曝光（guāng）数据中个别条目（mù）有效，但不能（néng）判定发生（shēng）了网站、论坛用户数据泄露事件。

金（jīn）山网络反（fǎn）病毒工程（chéng）师李铁军12月30日（rì）接受财新《新（xīn）世纪》记者采访时则表示，根据（jù）他们从（cóng）网上下载的（de）数据库，剔除重（chóng）复信（xìn）息之后，有（yǒu）超过1亿条（tiáo）的用户信息在此次事件中泄露。

一（yī）位（wèi）不愿具名的网络安全工（gōng）程师也向财新《新世纪》记者证实（shí），经（jīng）过重（chóng）合度分析（xī）、数据库格式（shì）判（pàn）断等验（yàn）证分析，基（jī）本可以断定“有十几家网站（zhàn）的数据（jù）库（kù）比较靠谱（pǔ），应该（gāi）是真实的”。

大规模用户（hù）数（shù）据（jù）泄密后，各种“浑（hún）水摸鱼者”也随之而来。蒋涛（tāo）告诉财（cái）新《新世纪》记（jì）者，一些人（rén）开始制造假的数（shù）据库来混淆视（shì）听；一（yī）些（xiē）网站通知所有用户修改（gǎi）密码，以（yǐ）乘机（jī）激活“沉睡”用（yòng）户；甚至一些网站把曝光的数据库（kù）直接导（dǎo）入自己的（de）数据库，然后发通知（zhī）给用户（hù）修改密码（mǎ），不（bú）费吹灰之力（lì）即获得上千万规模的用（yòng）户。当（dāng）然，对用户影（yǐng）响（xiǎng）最直接的（de）是各种垃圾邮（yóu）件、钓鱼邮（yóu）件多了（le）起来（lái）。

真正（zhèng）令人担心的是，或许（xǔ）还有更大规（guī）模的数据被地下黑客所掌握，只是没有（yǒu）公布而已。著名网（wǎng）络安全专（zhuān）家龚（gōng）蔚（goodwell）公（gōng）开表示（shì），这次曝光的1亿多条用户（hù）账号及密码（mǎ）等相关信息，只是黑客所（suǒ）掌握数（shù）据的“冰（bīng）山一角”，预（yù）计有将近（jìn）4亿（yì）-6亿的用（yòng）户账号信息（xī）在黑客地下领域流传。

翻过新年，此波网络账（zhàng）号（hào）信（xìn）息泄密（mì）的浪潮仍有余波（bō）。1月4日，一位网络ID为“网路游侠”的“白（bái）帽黑客”在自（zì）己（jǐ）的博客上发布（bù）了（le）新浪的漏洞：新（xīn）浪（làng）iask站点存在SQL注入漏洞，利用漏洞可以读取iask数据（jù）库内容，包（bāo）括明文密（mì）码（mǎ）在内的7000多万新（xīn）浪用户信息。由于新浪实行“全（quán）站一号登（dēng）录”，黑客利用（yòng）这个漏（lòu）洞还可以获得新浪微博的相关账号信息。“网路游侠”以知名魔术师刘（liú）谦的微（wēi）博为例，通过构造数据库查询语句就轻松（sōng）获得了刘谦的（de）账号及（jí）密码（mǎ）信息（xī），并成功登录。当天（tiān）晚间，刘谦在微博上转（zhuǎn）发该博客，证实此（cǐ）事。不过，“网（wǎng）路游侠”称，这个（gè）漏洞他是在1月（yuè）1日发现，已及（jí）时（shí）通知新浪官（guān）方，并在新浪修复了该漏洞后才在博客上公（gōng）布文章（zhāng），供参（cān）考学习之用。

截至发稿，新（xīn）浪方面对此事尚未做出（chū）回应。事实上，早在2010年10月，乌云漏洞平台就曾报告（gào）称（chēng）新浪iask站点（diǎn）存在SQL注入漏洞的安全问题。

偶然中的必然

“这些数据库在黑（hēi）客圈几年（nián）前就有了，这一次只不过是个比较集中的爆发”

是谁（shuí），在什么时候，拿走（zǒu）了这些涉及用户隐（yǐn）私的数据？原本隐秘在黑客圈的数据库缘何会曝（pù）光在公众面前？互联网是否还有安全可言？此（cǐ）轮网络（luò）大泄密，让这些问题成了普通互联网用户最自然的追问。

“这些数据库在黑客圈几年前就有了，这一次只不过是个比较集中的（de）爆发。”安全宝CEO马杰对财新《新世纪（jì）》记者称，CSDN数据库的曝光看似偶然，实则（zé）必然。“冰冻三尺非一日之寒（hán），互联网行业安全问题的累积已经（jīng）太多了，迟早会爆发。”马杰在安全（quán）行业超过（guò）十年，曾任瑞星研发总（zǒng）经（jīng）理，负（fù）责个人和企业的安（ān）全产品。

这也是（shì）网（wǎng）络安（ān）全（quán）行（háng）业人员近乎一致的观（guān）点。天融信公司高级安（ān）全顾问（wèn）吕延辉向财新（xīn）《新世（shì）纪》记者（zhě）证实，最早（zǎo）在（zài）2008年时，就曾听说有一些（xiē）网站的数据库（kù）在黑客圈流传（chuán）。

本次密码信息最先被公（gōng）布的CSDN社区，后（hòu）来曾（céng）组织安全专家进行讨论，得知公司的数据（jù）库事实（shí）上早就（jiù）在黑（hēi）客的手上（shàng）了。“并不（bú）是说这一刻先攻破了（le）CSDN，放（fàng）出（chū）数据库（kù），然后下一刻（kè）攻破了天涯再放出数据库。而是这些数据他们（men）手（shǒu）上一直都有，只不过抛出（chū）来的时间（jiān）不一样（yàng）。”蒋涛说。

天融信成都分（fèn）公司技术负责人（rén）邹晓波称，早期的很多网站，都可以通（tōng）过服务器（qì）渗透，取得后台数据库（kù）的（de）权限（xiàn），直接（jiē）取得数据（jù）。“黑（hēi）客圈（quān）内（nèi）人（rén）都知道谁被盗了，他（tā）们不一定公布，但是（shì）会炫（xuàn）耀，在（zài）小范围内流传，大部分没有去获利。”

CSDN社区数据库的曝光，曾经被（bèi）指向一名ID为Hzqedison的（de）金山公司员工，他（tā）分享（xiǎng）数据库下载地址的截图最早在网上（shàng）流传。12月22日，CSDN数据库外泄（xiè）一事（shì）被（bèi）广（guǎng）泛（fàn）关注的时候，Hzqedison在新浪微（wēi）博表示（shì）道歉（qiàn）。随后，金山公司也发表声明，金山员工并非（fēi）网（wǎng）络上（shàng）传言的黑（hēi）客，并非最早（zǎo）对（duì）外发（fā）布密码库的第一人。

Hzqedison解释了事情的（de）经过（guò）：“12月21日，我在一（yī）个（gè）聊（liáo）天群（qún）里看到CSDN数（shù）据库的迅雷下载地址，就离（lí）线下载了该文件来检查自己账号是否被泄露。为了让同事们也检查，才（cái）做了分享（xiǎng）贴到同事群（qún）里。5分钟后，该地（dì）址截图被发到（dào）了乌云漏洞报告平台上，得（dé）知后我立即删（shān）除了（le）迅（xùn）雷分享地址。因为删除很（hěn）及时，该地（dì）址只有几名同事下载过，而且从未将（jiāng）数据库（kù）文件外泄。”

李（lǐ）铁军告诉财新《新世纪》记者，据他了（le）解，当（dāng）时（shí）该金山（shān）员工上传（chuán）CSDN数据库时，是“秒传”的（de），说明这个数（shù）据库文件（jiàn）在迅雷下（xià）载服务器中早已（yǐ）存在。

“是谁（shuí）最早上（shàng）传了（le）这些数据（jù）库，现在已经很（hěn）难确定。”李（lǐ）铁军说，除了CSDN的数据（jù）库，还有其他网站的数据库（kù）一起在网上流传。因为CSDN的影响力（lì）比较大，所以就传（chuán）开了。

事实（shí）上，CSDN数（shù）据（jù）库曝（pù）光之前（qián）已有征兆。李铁军告诉财新《新世纪》记者（zhě），他在12月（yuè）14日（rì）前后（hòu），即（jí）泄密事件发生的前一周，就已经（jīng）注意到有很多网友在新浪微博（bó）上（shàng）反（fǎn）映账号被盗，“这是黑客在用数据库去（qù）试探新浪的数（shù）据库，有些（xiē）就撞到了”。

马杰分析，这次曝光的网站数据库应该是最近几年间连续不断被刷库的。“安全（quán）圈也知道，这几年（nián）地（dì）下（xià）黑客圈在刷库（kù），也知道一（yī）些数据（jù）库在（zài）黑客圈流传。”

所谓刷（shuā）库，是（shì）指黑客入侵网站服务器之（zhī）后窃取用户（hù）数据库的行（háng）为，互（hù）联网业（yè）内也（yě）称其为“拖库”，取其谐音，也形象（xiàng）称之为“脱裤（kù）”

看上去（qù），金山（shān）员工“偶然（rán）”的发现和分享，加上地下黑客累积（jī）经年的刷库行为，以（yǐ）及（jí）数据库在圈子中的一轮轮扩散，最（zuì）终促成了这次网站数据库大规模（mó）的曝光。

但是，这（zhè）里面依然隐藏着两个问题（tí）。第一，金山员工如何能“偶（ǒu）然”发现（xiàn）原（yuán）本在（zài）地下黑客圈流传的数据库？第二，仅是CSDN的数据库曝光，缘何（hé）能（néng）引发一连（lián）串的数据库浮出水面？

地下黑客（kè）圈传输或交换（huàn）文件，一般都是点对点的传输，有时甚（shèn）至通过邮寄移动硬盘（pán）或（huò）光盘来实现。但随着被刷的数（shù）据（jù）库越来（lái）越多，转（zhuǎn）手的次数越来越多，参与的人（rén）数（shù）也越来越多，出错和曝光的概率（lǜ）就（jiù）越来越大（dà）。

乌云漏洞报告平台（tái）的创建人剑心分析说，由于不同黑客掌握（wò）的数据库各有不同，刷出来的数据（jù）库会在黑客圈中交换，这样就会一轮一轮（lún）的（de）扩散。很有可（kě）能是某个人（rén）在转（zhuǎn）手传播的过程中，由于文件太大，无法实现网（wǎng）络上点对点的传输，不得不利用迅雷、网（wǎng）盘一类的工具进（jìn）行上（shàng）传和下载（zǎi）。在（zài）这过程中（zhōng），工具会把这（zhè）些文（wén）件泄露出来，甚至（zhì）会在搜索“数据”等关键词时（shí）出（chū）现（xiàn）推（tuī）荐（jiàn）。这样扩（kuò）散的范围就更大，进入与黑客圈（quān）有（yǒu）交流的安（ān）全（quán）圈也就不（bú）足为奇了。

至于网（wǎng）站用户密码（mǎ）连续被报（bào）丢失（shī）的现象，吕（lǚ）延辉（huī）解释说，一些（xiē）数据库（kù）曝光之后，黑客（kè）手中那些与之雷（léi）同的数据库就没（méi）有价（jià）值了。并且，引发公众关注后，基本（běn）所有（yǒu）网站都会通知用户修（xiū）改密码，政府相关部门可能还会介入，那么其他的一些非核（hé）心数据库（kù）的价值（zhí）也就更（gèng）低了。

吕（lǚ）延辉表示，可以看出来，这次曝（pù）光的数（shù）据（jù）库都是在地下黑客圈转（zhuǎn）手很多次的，本身价值（zhí）也不大（dà），再加上CSDN数（shù）据库的曝光（guāng），其他（tā）数据库（kù）的含金（jīn）量进（jìn）一步降（jiàng）低，那些手上有库的人抛出来也不奇（qí）怪，这才形成了一连串的规模效应。

脆弱的网站（zhàn）安全

泄（xiè）密事（shì）件（jiàn），将众多网站在安全方（fāng）面（miàn）的脆弱暴露无遗。知（zhī）名网络安全专家、安天实验室首席技术架构师江海客直言（yán），这是一个安全崩盘的时代。

安全圈内（nèi）资深人士的共识是，被黑（hēi）客（kè）攻击和刷库，各（gè）大网站几乎是（shì）无一幸免，只是程度（dù）和（hé）范围的不同。在做安全（quán）行业的人看（kàn）来，目前大部分（fèn）网站的安（ān）全性都不足。“这一次表面上（shàng）看是（shì）明文（wén）密（mì）码（mǎ）库（kù）的问题，但（dàn）实际上多数网站（zhàn）从根本（běn）上都没有（yǒu）重视自身（shēn）的信（xìn）息安全。”天融信公司副总裁刘辉对财新《新世纪》记者表示，网站把绝大部分资金投（tóu）入到日（rì）常（cháng）运营中，只有被攻击或吃（chī）过教（jiāo）训（xùn）后，才（cái）想（xiǎng）起来安全的重要性。

“一些网站之（zhī）所以容易被‘脱（tuō）裤’，很（hěn）大一部分原因就（jiù）是因为（wéi）本身就（jiù）穿得太（tài）少了。”刘辉说，很多经营（yíng）性（xìng）网站甚至都没有专门的网（wǎng）络安全工程（chéng）师。

CSDN社区（qū）数（shù）据库（kù）在此次事件中最先曝光。蒋涛也坦言，“原（yuán）来对（duì）安全的认（rèn）识还（hái）停留在相对低的水平上，觉得自己的数（shù）据不是什么关键数（shù）据，别人拿（ná）去也（yě）没什么用。”

但（dàn）这次（cì）一连串的数据库（kù）泄密（mì）事件证明，互联网存在很大的关（guān）联性，特别是拥有大量用户（hù）的网站，更（gèng）不是（shì）一（yī）个孤立的存在，很多用户的邮箱、账号都与别（bié）的系统相（xiàng）关（guān）联，一旦有事，就会造成跨网站的连锁（suǒ）反（fǎn）应（yīng）。另外，由于（yú）安全问题出在（zài）了服务器端，普通用户基本没有（yǒu）办法防范（fàn），数据库被（bèi）刷（shuā）后曝光出来，用户只（zhī）能被动（dòng）的修改（gǎi）密码。

马杰则指出，现在（zài）互（hù）联（lián）网从原（yuán）来提供内（nèi）容（róng）为（wéi）主（zhǔ），到现在有很多（duō）的网上（shàng）购物与社交，网站的重要性进入了另（lìng）外一个层面，但安全现状停（tíng）步不前。“现在网站数据中所包（bāo）含信息（xī）的价值在（zài）上升，但（dàn）安全（quán）防（fáng）护的措（cuò）施（shī）并没有加强（qiáng）。”他说。

另一（yī）方面（miàn），专（zhuān）业做网站功能、应用和服务的人，与（yǔ）专业做安全（quán）的（de）人，在（zài）技术思维上也（yě）存（cún）在巨大差异。“一个B2C网站的程序员，做（zuò）了一（yī）个（gè）系（xì）统，花了几个月的功夫，自己觉得（dé）没什么问题，然后请专业（yè）做安全的人去找漏洞，结果做不到十分钟就破解了。”李铁（tiě）军举例说，二者没有高下之分，只是职业（yè）的特征决定了思路上的（de）差异。

思路上（shàng）的差（chà）异（yì），加上安全意识的不（bú）到位，导致了网站安全的脆弱。CSDN、天涯社区（qū）至今仍未披露数据库外泄的（de）具体原因。马（mǎ）杰告诉财新《新（xīn）世纪》记者（zhě），从技（jì）术（shù）上讲，有很多种方法可以刷库（kù），“就（jiù）像一个很大的（de）房子，可以爬窗（chuāng）户、撬门（mén），或者从烟囱进来，甚（shèn）至挖个（gè）地（dì）道进来，就看（kàn）黑（hēi）客想花多大的功（gōng）夫（fū）和精力”。

通常来说，黑客（kè）都是（shì）通过（guò）发现网站或应用软件的漏洞（dòng）进入服务器，然后想（xiǎng）办法提升权限，就可以把数据库下载下来。对一些防护比（bǐ）较弱的网站，甚至都（dōu）不用进入网站就能刷库。安全行业资深人士TK说：“只要分两步（bù），第一步找到一个SQL注入点，执行（háng）一条备份命（mìng）令，备份到一个目录去（qù）；第二步，从目录把数据下载回来。根本不（bú）需要获得网站的权限，只要有SQL注（zhù）入的漏洞，就可以爆（bào）库了。”

剑心告诉财新《新世纪（jì）》记（jì）者，决定在12月（yuè）30日临时关闭乌云（yún）平台的（de）其中一条（tiáo）原因，就是担心后续几天爆出的网站（zhàn）漏洞会越来（lái）越多，引起互联（lián）网用户的恐慌。乌云（yún）漏（lòu）洞（dòng）报（bào）告平（píng）台是由一群互联网安全研究人员自发（fā）组（zǔ）织的（de）信息安全沟通平（píng）台（tái），研究人员在（zài）上面（miàn）提交（jiāo）厂商的安（ān）全问题，也披（pī）露一（yī）些通用的安全咨询（xún）和安全使用。有超（chāo）过500个“白帽子”安全研究人（rén）员和120多（duō）个（gè）厂商参与平台（tái），反馈和处理了接近4000个安全问题（tí）。在泄密事件引发大范（fàn）围（wéi）关（guān）注后（hòu），乌云（yún）平台（tái）因曾多次发（fā）布（bù）相关（guān）安全（quán）漏洞预警而被关注。

剑心也证实说，目前国内除极少数大型网站外，可能（néng）都被黑（hēi）客刷（shuā）过库，包括网易、搜狐在内的门户，一些漏（lòu）洞都是（shì）在乌云平台上被证实的。此外，近年来快速膨胀的（de）电子商务（wù）网站（zhàn），在剑心看来，安全性更是（shì）糟糕，乌云平台已（yǐ）经多次证实（shí）并报告了他们的漏洞。这（zhè）其中就包（bāo）括11月10日所报告的当当网漏洞（dòng），可以抓（zhuā）取（qǔ）超过4000万条用（yòng）户（hù）信息。

相对而言，金（jīn）融系（xì）统的安全性（xìng）较强（qiáng）。银（yín）行通常会采用硬（yìng）加密（mì）的技术，既不仅依靠登录密码和交易密码，还需有一个外在于（yú）密码系统的物理密钥，比如发（fā）送到手机的（de）动态（tài）口令或U盾（dùn）密钥，其安全性要高于单靠密码的“软加密”方式。但是（shì），随着第三方支付、代收（shōu）费、代缴费（fèi）等业务的展（zhǎn）开，银行系统需（xū）要开（kāi）放的接口也（yě）越来越多，对银行系统的安全提出了（le）更高的要求。

除网站的安全性差外（wài），本次（cì）泄密事件（jiàn）中备受诟病的（de）还有（yǒu）明文密（mì）码（mǎ）库。所谓明文密码库（kù），即（jí）在对用户密码信息存储时未进行加密（mì）处（chù）理，黑客获得数据库后，所有的用户名、密码（mǎ）一目了然，更加容易利用。

蒋（jiǎng）涛解释称（chēng），各家网站的明（míng）文密码库都有复杂的历史原因，CSDN是在（zài）2010年9月（yuè）之后才采用（yòng）了密文存（cún）储。“这不是（shì）一（yī）家的（de）问题（tí），而是行业性的问题。”

但是（shì），加密（mì）存储也并不一定意味着安全。多位受访的网络安全专家告诉（sù）财新《新世纪》记者，现在相对简单（dān）的MD5加密方法已经不安全，黑客圈（quān）建立了庞大的（de）MD5值的“字典库”，通过“查字典（diǎn）”的方式（shì）很（hěn）快就能破解（jiě）还（hái）原。

马杰（jié）建议，在进行（háng）密文存储（chǔ）时，还需要对加密算（suàn）法做（zuò）一些改变（biàn），或（huò）多次加密（mì），安全（quán）性能才会有所（suǒ）提升。尽管通过（guò）“彩（cǎi）虹表（biǎo）”碰撞等方法不存在破解不了的情况（kuàng），但至少会大大增加（jiā）破解（jiě）的（de）成本（běn）和（hé）时间，降（jiàng）低（dī）数（shù）据库对（duì）黑客的吸引力（lì）。

乌云平台撰文称，最好的安全应该是自始至终就有人为安全负责，将安全落实到（dào）公司的流程制度规范以（yǐ）及基（jī）础（chǔ）技术架（jià）构里去（qù），形成完善的安全体系（xì），并（bìng）且持（chí）续更新（xīn）迭代，“如果以（yǐ）前没有这方（fāng）面制度，就从现在开始建设；如果没有团（tuán）队，就可以先找一（yī）些公司或者外（wài）部顾问。但是记住，不要幻想一次性的（de）投（tóu）入就可以抵（dǐ）抗利（lì）益驱动（dòng）长久进化（huà）的（de）黑色（sè）产（chǎn）业（yè）链（liàn）”。

黑色产业链（liàn）

有（yǒu）人负责发掘漏洞，有人（rén）负责（zé）根（gēn）据漏洞开发利用工具，有人负责漏洞（dòng）利用工具的销售，有人负（fù）责刷库（kù），有人负责洗库，有人负责销售，还有人利用数（shù）据库（kù）钓鱼、诈（zhà）骗、发送垃圾邮件

大规模的泄密（mì）事（shì）件，也使得互联网江湖中最为隐秘的黑色产（chǎn）业（yè）链再度引（yǐn）人关注。“熊猫烧香”病毒让（ràng）公（gōng）众知道了病毒黑色产业链，而此次的（de）泄密事件则指向了数据（jù）交易的黑色产业（yè）链。

马（mǎ）杰告（gào）诉财新《新世纪》记者，最近几（jǐ）年，“黑帽子（zǐ）”黑客（kè）圈（quān）内的（de）盈利模式发生了一（yī）些变化。最早是（shì）“挂马”比较挣钱，通（tōng）过发现（xiàn）漏洞SQL注入，然后想（xiǎng）办法获得网站权限，在（zài）网页（yè）上挂上木马程序，中了木马程序的机（jī）器就成为“肉鸡（jī）”，通过木马（mǎ）控制（zhì）“肉鸡”来赚钱。比如说盗号、弹窗、导流量等。

“早几年（nián）木马猖獗的时候，一个服务器（qì）能控制几（jǐ）万台（tái）的（de）‘肉鸡（jī）’。即使只是IE自（zì）动跳转到某（mǒu）一页（yè）面（miàn），每（měi）年（nián）也（yě）能带来可观的流（liú）量和收入（rù）。”李（lǐ）铁军（jun1）说，还有（yǒu）黑客利用系统漏洞和木（mù）马（mǎ）进行“钓鱼诈（zhà）骗”，从个（gè）人客户一（yī）端（duān）入（rù）侵网银系统，进（jìn）行非法转（zhuǎn）账等。

后（hòu）来，“挂马”和“钓鱼（yú）”被各大安全（quán）公司打击得（dé）非常厉（lì）害，特别（bié）是免费杀毒软件在个人终端的（de）普及。而这（zhè）个时候，地下黑（hēi）客发现，刷库是（shì）个更快、更（gèng）直接（jiē）的（de）赚（zuàn）钱方法。

最近几年，围绕数据交易的黑色（sè）产（chǎn）业链正在（zài）逐步形成。在地下（xià）黑（hēi）客圈内（nèi），一些大型网站的数（shù）据库被明码标价，一个数据（jù）库整个端下来，价值数百万元到上千万元不（bú）等。

拖库成功后，到手的数据（jù）库可以有很多用途（tú），比如直接卖给（gěi）被刷（shuā）库（kù）网站的竞争（zhēng）对手（shǒu）。黑（hēi）客还可以利用部分互（hù）联网用户“多家（jiā）网站一个用户名一个密码”的习惯（guàn），去试探（tàn）别的网站（zhàn）数据库。这（zhè）叫“撞库”，技术（shù）上也很容易实现，只需要编写一个脚本（běn），自动不断用已盗取数据库里的信息（xī）去（qù）请求登录。由于都（dōu）是正常请求，被撞的网站也很难防范，所以也会有网站（zhàn）“躺着中枪”。

安全（quán）业内（nèi）人（rén）士称，刷（shuā）库（kù）之后（hòu），黑客拿着（zhe）数据库去“撞”有虚拟币系（xì）统的游戏网站（zhàn）、腾讯，以（yǐ）及网上银行、支付宝及（jí）电子商务网（wǎng）站，都是必（bì）然会发生的（de）事情。如果撞到了重（chóng）合用户，将其账号内虚拟资产、网（wǎng）银洗劫一空都是再自然不过了（le）。

经过（guò）多次倒卖（mài）和“洗（xǐ）库”之后，数据（jù）库还能被（bèi）卖给价值链的（de）末梢买家（jiā）——利用账号信息来发送广告、垃圾邮件、垃圾短信的推销公司。通常情况下（xià），数据（jù）库的价格越卖（mài）越便宜，流传的范围也就越（yuè）广，距离曝（pù）光（guāng）也就越近。

而在整条（tiáo）黑色产业链中，分工（gōng）也比较明确。最核心和（hé）最（zuì）难的是发掘漏洞，这（zhè）对技术的要求最（zuì）高，能发掘漏洞的黑客也比较少。吕延（yán）辉介绍，在地下黑客中，有人专门负责发掘漏（lòu）洞，有人（rén）专门负责根（gēn）据漏洞（dòng）开发利用工具，有人（rén）负责漏洞利用工具的销售，有人负责刷库，有人（rén）负责洗库，有人负（fù）责数据库（kù）的销售，最后端，还（hái）有人利用（yòng）数据库钓鱼、诈骗、发送垃圾邮件。

有网络安全人士估算，目前互联网的地（dì）下（xià）黑色产业（yè）链规模已经达（dá）到上（shàng）千（qiān）亿（yì）元，而安全行业的规模（mó）目前还只（zhī）有几（jǐ）百亿元，“就像毒品的（de）市场（chǎng）规模反而大（dà）于麻醉药的市场规模”。

失能的法律防火墙

周汉华表示，“当网站的资料和个人信息紧密相连，安（ān）全却没有（yǒu）保障，这（zhè）种情况下，实名制是相当危险的”

刘辉判（pàn）断，这次泄（xiè）密事件将注定会（huì）是互联（lián）网发展历史（shǐ）上一件大事。一方（fāng）面是（shì）对互联网业务发（fā）展模（mó）式的影响（xiǎng）；另一方（fāng）面，则（zé）是互联网行业安全（quán）规范机制的建立已势在必行。

“短（duǎn）期（qī）内，互（hù）联网行业（yè）的发（fā）展会受到一（yī）定的影响。”刘辉说，例如近（jìn）两年（nián）兴起的云计算服务，现在提供云服务的互联网（wǎng）公司必须要重新建立用户的信息（xī），并说服用户上传至云端的资料是安全的。要说（shuō）服用户，就需要相应（yīng）的（de）安全承诺及安全认证机制。

蒋涛也表（biǎo）示，这（zhè）次泄密事件相当于给整个互联网业上了一课。“CSDN也（yě）是专业（yè）的IT社区平台，我们会利用这个（gè）平台（tái）来加强（qiáng）安全（quán）的教育和普及，提升互联网行（háng）业的（de）安全意识。”他说，除了加（jiā）强自身（shēn）的（de）安全（quán）性，这（zhè）是CSDN在2012年要去做的（de）重要事情（qíng），“互联网（wǎng）上（shàng）各大网站（zhàn）的关联度越来越高，安全已经不是（shì）一家（jiā）两家的问（wèn）题，而是全行业的（de）问（wèn）题”。

在全世（shì）界（jiè），身（shēn）份的盗用（yòng）和密码（mǎ）的（de）泄（xiè）露每天都会出现，但与发达国家不同的是（shì），这次密码泄露事件发生后，各（gè）方（fāng）几（jǐ）乎束手无策。“大家都不知（zhī）道怎么去保护自己的（de）权利，大（dà）家（jiā）就只能看着发生，等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新（xīn）《新（xīn）世纪》记者说，“我（wǒ）们的问题是没有有（yǒu）效的（de）管（guǎn）理（lǐ）手段，没有（yǒu）可以适用的法律。”

在亚太网络法（fǎ）律研究中（zhōng）心主任刘德良教授看来，个人信息在网络（luò）时代越来（lái）越具（jù）有（yǒu）商（shāng）业价值，这也是目前非法收集、加工（gōng）、买卖和商业（yè）性（xìng）滥用个人（rén）信息行（háng）为日益泛滥的内在驱动力（lì）。针（zhēn）对如此严重（chóng）的网络（luò）的个人信息安全威胁（xié），法律的“防火墙”为何（hé）失能（néng）以及如何（hé）重构，成为一个急（jí）需（xū）解决的问题。

上海一位经侦（zhēn）人员（yuán）对财新《新世纪》记者（zhě）介绍，他们曾经侦办过一个利用（yòng）个人信息实施（shī）犯罪的案子。有（yǒu）人发现（xiàn）几百万元（yuán）银行存款莫名消失，于是（shì）报案（àn）。此案涉及几百万条的车主信息数据库，这些信息有黑客攻击得到的，也有银行、保险（xiǎn）业的内（nèi）部人泄露出来（lái）的。犯（fàn）罪分子的作案手（shǒu）法是，通过内部泄露或者黑客（kè）攻击（jī）得到（dào）包括车主姓名和身份证号码的用（yòng）户信息库，找银行（háng）的人（rén）查开户信息，这个行话叫（jiào）“包（bāo）行”，几百块（kuài）就（jiù）能做。得到卡号（hào）后，然后猜密码，利（lì）用黑客软件和银（yín）行卡（kǎ）进（jìn）行比对。

从刑（xíng）事法律来（lái）看，2009年《刑法》修正（zhèng）案增加了“非法侵入计算机信息（xī）系统罪”的条款，“违反国家规定，侵（qīn）入计算机信（xìn）息系统或者（zhě）采用（yòng）其他技术手（shǒu）段，获取该计算机信息系统中（zhōng）存储、处理或（huò）者（zhě）传输的数据（jù），或（huò）者对该计算机信息系统实施非法控制，情节严（yán）重的，处（chù）三（sān）年（nián）以下有（yǒu）期（qī）徒（tú）刑或者拘役，并处或者单处罚金；情节特别严（yán）重的，处三年以上（shàng）七年以（yǐ）下有期徒（tú）刑，并处（chù）罚金”。

同年（nián），全国人大常委（wěi）会还出台《侵权（quán）责（zé）任法》，规定网（wǎng）络（luò）服务提供者和网络用户利用网络侵害他人民事权益的，应（yīng）当承担（dān）侵权责（zé）任；网络服务提（tí）供者知道网络用户利（lì）用（yòng）其网络服务侵害他人民事权益，未采取（qǔ）必要（yào）措施的，与（yǔ）该网（wǎng）络用户承担（dān）连带（dài）责任。2000年，全国人大常委会又专（zhuān）门制定（dìng）了《关于维护互联（lián）网安（ān）全的决定》，重申各种互联网违法（fǎ）的刑（xíng）事责任和民事责（zé）任。

在（zài）行政监管层面，除了国务院在1994年制定的《计算机信息系统安全保护条例》，作为全国计算机（jī）系统安全保护工（gōng）作主管（guǎn）部门的公安部，也制定了《信息安全等级保护管理办法》以及《计（jì）算（suàn）机信息（xī）系统（tǒng）安全保护等（děng）级划（huá）分准则》《信息系统安全等级（jí）保护基本要（yào）求》《信息系（xì）统安（ān）全等级保护测评要求》等30多个标准（zhǔn）。

多重的法律规定，为何实施效（xiào）果不佳？周汉华认为，《刑（xíng）法》的适用门槛比（bǐ）较高，需要“违反国家规定（dìng）”和“情节严重”的条件，何况（kuàng）这两个条件目前都缺乏相（xiàng）应的标准。而《侵权责任法》的适用，在网络（luò）环境下，当事人举证（zhèng）非常困难，而且存在成本投入和收益不对（duì）称的情况。

周汉（hàn）华认为（wéi），《刑法》和《侵权责（zé）任法（fǎ）》都属（shǔ）于事后救济（jì），在网络时代，由于损害的发（fā）生是系统性的、不（bú）可复原的（de），所以对网络安全（quán）以及个人信息进（jìn）行全流程（chéng）的监管才更为有（yǒu）效。目前对于这种全流程的（de）监管，中国既缺乏专门的法律，也没（méi）有专门的执法机关（guān），搜集个人资料的企（qǐ）业（yè）所应承担的相应的安全责（zé）任以及（jí）相应的（de）信息流（liú）管理行为规范都缺失。“这就是为什么要制定《个人信息（xī）保护（hù）法》的原因。”周汉华称。

据财新《新世纪》记者了解（jiě），早在2003年之时，周汉（hàn）华曾经受当（dāng）时（shí）的国务（wù）院信息化办公室（shì）委托，主持《个人信息保护（hù）法》的立法研（yán）究（jiū），并且在2005年形成了一份（fèn）专家意见（jiàn）稿。但时（shí）隔（gé）多年，这（zhè）部法律的立法工作迟迟未被启动。

刘（liú）德良教授（shòu）认为，在当（dāng）前中国的法律框架下，把个人信息（xī）都纳入人格权的范畴，而不承认个（gè）人信息的商业价值也是（shì）个人的（de）财产（chǎn）；人格权受到侵（qīn）害后，原则上也不能要求财产损害赔偿。因此他提出，对于个人信息的法律保护，应该包括隐私上的人格利益（yì）和个人信（xìn）息（xī）的（de）商业价值这双（shuāng）方面，将个人信息（xī）的商业价值视为个人的财（cái）产，未经允许擅自收集和商（shāng）业性利（lì）用个人隐私（sī），既是一种侵犯人格权（quán）的行为（wéi），也是一种侵害财产权的（de）行为。