然而，潘多拉（lā）魔盒已经打开，CSDN数（shù）据库的（de）泄露仅仅是个开始。“没（méi）想到（dào）后面的事情越来越大，已（yǐ）经到（dào）了不可收拾（shí）的程度（dù）。”蒋涛说。

12月22日，知名IT博客“月光博客”披露（lù），多玩网数据库泄露超过800万（wàn）条信息，有大量用户（hù）名、明文密码、邮箱及（jí）部分加密密码。“经（jīng）过验证，使用（yòng）该数据库（kù）中的用户名和密码可以正常登录多玩网。”

同（tóng）日，标注为“人人网500万（wàn）用户资（zī）料”的文（wén）件（jiàn）开始在网上（shàng）流（liú）传（chuán），嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的（de）截（jié）图也出现在微博上，涉及（jí）的用户信息总量超过5000万条。但人人网否认用户（hù）数据遭到泄露，他们在官方（fāng）微博上提醒称，“如果您的人人网账号密码（mǎ）和CSDN或其他网（wǎng）站一致，建议（yì）您（nín）马上修改密码，以（yǐ）免账（zhàng）号被盗。”人人网相关人员（yuán）在接受（shòu）采访时表（biǎo）示，提醒用户（hù）只是出于安全考虑。

12月（yuè）25日（rì），泄密规模（mó）进一步扩大，网络上开始流（liú）传天涯论（lùn）坛的用户（hù）数据库，信息（xī）总量超过4000万条。随（suí）后，这一新闻被天（tiān）涯社区官方致（zhì）歉信证实：由于（yú）历史原因，天涯社区（qū）早期使用明文密码，在2009年11月（yuè）改成加密密码，但（dàn）是部分老的（de）明（míng）文密码库未被（bèi）清理，黑客泄露的（de）正是2009年11月升级密码保存方（fāng）式之前所注册（cè）的（de）用（yòng）户（hù）。不过天涯（yá）社区并未在公（gōng）告中对泄露的用户规模进行确（què）认。天涯社区（qū）公关经理初蒙在接受财新《新世纪》记者采访（fǎng）时表示，确认用户（hù）信息遭泄露（lù）后，已经向海南省公安厅、海口市公安（ān）局报案，案件目前正在侦查之中（zhōng）。

12月26日，网上（shàng）又传出新浪微博的用户资料疑似被泄露，并公布了新浪微博数据下载地址。这个疑似数据（jù）库一共有约476万条账户和密码（mǎ）信息。

此后（hòu），泄密事（shì）件继续发酵升（shēng）级，传闻开始波及（jí）到（dào）电子商（shāng）务及银行（háng）系统。12月（yuè）27日（rì），乌（wū）云漏洞报告平台披（pī）露京东商城的漏（lòu）洞，“在（zài）某（mǒu）些业务上存在用户（hù）权限控制不当的漏（lòu）洞，导致任意用户登录（lù）系统后，都可（kě）以正常访问到所有用户的信息，包（bāo）括姓名、地（dì）址、电（diàn）话、Email等。”这一漏洞报告（gào）得到了京东商城方面的响应。

12月28日，“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实。当当网的公告称：“经核实（shí），网络（luò）公布（bù）的信息数据只有极小部分属实，且均系2011年6月之前的老数据，该部分数据是由于之（zhī）前遭到网（wǎng）络黑（hēi）客攻（gōng）击（jī）被盗取（qǔ）。”

乌云漏洞报告平（píng）台在12月28日也再次报告（gào）称，“支付（fù）宝（bǎo）用户大量泄露，被（bèi）用于（yú）网络营销，泄露总量达1500万-2500万之多，泄露事件不（bú）明，里面只有支付宝用户（hù）的（de）账（zhàng）号，没有密（mì）码”。支付宝随后回（huí）应称，支付（fù）宝（bǎo）账号不是私密信息，在很多地方都可以搜集到，只有账（zhàng）号没有密码，对用户资金安（ān）全（quán）没有（yǒu）任何威胁，“支付宝采取金（jīn）融级的信息安全标准去保护用户（hù）信息及资金安全，我们承诺没有任何人能从支付宝获得用户的密码等（děng）私密信息。过去没有，以后也（yě）没有（yǒu），请大家放心”。

但12月29日，更（gèng）吓人（rén）的消息又在（zài）网上疯传：交通银行、民生银行分别泄露用户资料7000万（wàn）和（hé）3500万（wàn）份，“卡号、姓名、密码都有”，并配（pèi）有截图。当天下午，交通（tōng）银（yín）行、民（mín）生（shēng）银行、工商银行（háng）等分（fèn）别发布（bù）公告辟（pì）谣，称“用户资（zī）料外泄（xiè）的传闻纯（chún）属谣（yáo）言”。

当日晚间（jiān），又有（yǒu）网友披露称，广东省公安厅出入境政府服务网（wǎng）网上（shàng）申请数（shù）据泄露，几乎（hū）所（suǒ）有提交网上申（shēn）请用户的真实姓名、出生年（nián）月、电话（huà）、护（hù）照号码、港澳通行证号码等信息均（jun1）可查到，泄露的总信息量高达444万条。这一信（xìn）息（xī）被（bèi）广东省公安厅证实：2011年6月24日至2011年12月29日期间，在（zài）广东申（shēn）请（qǐng）出入境的用户信息遭（zāo）到泄露。

仅仅（jǐn）一个星期，泄（xiè）密已经从（cóng）CSDN一家网站（zhàn）的危机演化成为了席卷整个（gè）互联网的（de）大事（shì）件。一时间，各大网（wǎng）站（zhàn）人人自（zì）危，真假数据库屡屡出（chū）现（xiàn）。国家（jiā）互（hù）联网（wǎng）应急（jí）中心对所（suǒ）曝光的数据进（jìn）行了抽（chōu）查核实（shí），发现部分（fèn）数据是有效的，经过（guò）与（yǔ）相关网站、论（lùn）坛联系（xì）后，确认（rèn）CSDN社区、天涯社区两家网站发（fā）生（shēng）了用户数据泄露事件，但泄（xiè）露原因还有待进一步分析；对于其他网站、论（lùn）坛，虽（suī）然曝光数据中个（gè）别（bié）条目有效，但（dàn）不能（néng）判（pàn）定发生了网站、论坛用户数（shù）据泄露事件。

金（jīn）山网络反病（bìng）毒工（gōng）程师李铁（tiě）军（jun1）12月30日接受财新《新（xīn）世纪》记者采（cǎi）访时则（zé）表（biǎo）示，根据他们（men）从网上下载的数据库，剔除重复信息之后（hòu），有超过（guò）1亿条的用户信息（xī）在此次事件（jiàn）中泄露。

一位（wèi）不愿具名（míng）的网络安（ān）全工程师也向财（cái）新（xīn）《新世纪》记者证实，经过重合度分析、数据库格式判断（duàn）等验证（zhèng）分析，基本可以断定“有十几家网站的数据库比较（jiào）靠谱，应该是真实的”。

大规模用户数据泄密后，各种“浑（hún）水摸（mō）鱼者”也随之而来。蒋（jiǎng）涛（tāo）告诉财新《新（xīn）世（shì）纪》记者，一些人开始制造假的数据库来混淆（xiáo）视听；一些网站通知（zhī）所有（yǒu）用户修改密码，以乘机激活“沉睡”用户；甚（shèn）至一些网站把曝光（guāng）的数据库直接导入自（zì）己的数据库，然后发通知给用户修改密码，不费吹（chuī）灰之力即获得上千万规模的用（yòng）户（hù）。当然，对（duì）用（yòng）户影响最直接的是各种垃圾邮件、钓（diào）鱼邮件多了起来（lái）。

真正令人担心的是（shì），或许还有更（gèng）大规模（mó）的数（shù）据被（bèi）地下黑客所掌（zhǎng）握，只是没有公布而（ér）已。著（zhe）名网（wǎng）络安全专家龚（gōng）蔚（goodwell）公开表示，这次曝光的1亿多条用户账（zhàng）号及密码等相关信（xìn）息，只是黑客所（suǒ）掌握数据的“冰山（shān）一角”，预计有将近4亿-6亿的用户账号信息在黑客地（dì）下领域流传。

翻过（guò）新年，此波网络账（zhàng）号信（xìn）息（xī）泄（xiè）密的浪潮仍有余波。1月4日，一位网络ID为“网（wǎng）路游（yóu）侠”的“白帽黑客”在自己的博客上（shàng）发布（bù）了新浪的漏洞：新（xīn）浪iask站点存在SQL注入漏洞（dòng），利用漏洞可以读取iask数据（jù）库内容，包括（kuò）明（míng）文（wén）密码（mǎ）在内的7000多万（wàn）新浪用户信息。由于新浪实行“全站一号（hào）登录”，黑（hēi）客（kè）利用这个漏洞还可以获得（dé）新浪微（wēi）博的相关（guān）账号信息。“网路（lù）游侠”以知名魔术师刘（liú）谦的微博为（wéi）例（lì），通过（guò）构（gòu）造（zào）数（shù）据（jù）库查询语句就轻松获（huò）得了刘谦的账号及密码信息，并成（chéng）功登录（lù）。当天晚间，刘谦（qiān）在微博上转发该博客（kè），证实此（cǐ）事。不过，“网路（lù）游侠”称，这个漏洞他是（shì）在1月（yuè）1日发（fā）现，已及（jí）时通知新浪官方，并在新（xīn）浪修复了该漏洞后（hòu）才在博客上公布文章，供参考学（xué）习之用。

截至发（fā）稿（gǎo），新浪方面对此（cǐ）事（shì）尚未做出回应。事实上，早在2010年（nián）10月，乌云漏洞平台就（jiù）曾报（bào）告称新浪iask站点存在SQL注入漏（lòu）洞（dòng）的安全问（wèn）题。

偶然中（zhōng）的必然

“这些数据库在（zài）黑客圈几年前就有了，这一次（cì）只不过是个（gè）比较集中的爆发”

是谁（shuí），在什么时候（hòu），拿走了这些涉（shè）及用户隐私的（de）数据？原（yuán）本隐秘在黑客圈的（de）数据（jù）库缘何会曝光在公众面前？互联网是否还有（yǒu）安（ān）全可言（yán）？此轮网络（luò）大泄密，让这些问题成了（le）普通互联网用户最自然的追问。

“这（zhè）些数据库在黑客圈几年前就有了，这一次（cì）只不过是个比（bǐ）较集（jí）中（zhōng）的爆（bào）发。”安全宝CEO马杰对财新《新世纪》记（jì）者称，CSDN数（shù）据库的曝光看似偶然，实（shí）则必然。“冰冻三（sān）尺（chǐ）非一日之寒，互联网行业（yè）安（ān）全问题的累积已（yǐ）经太多了（le），迟早会爆发。”马（mǎ）杰在（zài）安全行业（yè）超（chāo）过（guò）十年，曾（céng）任（rèn）瑞星研（yán）发总（zǒng）经理，负责（zé）个人（rén）和（hé）企业的安全产（chǎn）品。

这也是网络安全行业人员近乎一（yī）致的观点。天融信公司（sī）高级安全顾（gù）问吕延（yán）辉向财新《新（xīn）世（shì）纪》记者证实，最（zuì）早（zǎo）在2008年时，就曾听说（shuō）有一些网（wǎng）站（zhàn）的数（shù）据库在黑（hēi）客圈流传。

本次（cì）密码信（xìn）息最（zuì）先被公布的CSDN社区，后来（lái）曾组织安全专家进行讨论，得知公司的数（shù）据库事实上早就在黑客的手上了。“并不是说这（zhè）一（yī）刻先（xiān）攻破（pò）了CSDN，放出数（shù）据库，然后（hòu）下一（yī）刻攻破了天涯再放出数据库。而（ér）是这些数据他（tā）们手上一直都有，只（zhī）不过抛（pāo）出（chū）来的时（shí）间不一样。”蒋涛说。

天融信成都分公司技术负责人邹晓波称，早期的很多网（wǎng）站，都可以（yǐ）通过（guò）服务器渗透，取得后台数据库（kù）的（de）权限，直接取得数据（jù）。“黑客圈（quān）内人都知道（dào）谁被盗了，他们不一定（dìng）公布，但是（shì）会炫（xuàn）耀，在小范围（wéi）内流传，大（dà）部分没有去获利。”

CSDN社区数据库的曝光，曾（céng）经被（bèi）指（zhǐ）向一名ID为Hzqedison的金山公司员（yuán）工（gōng），他（tā）分享（xiǎng）数据库下载地（dì）址的截图最早在网上流传。12月22日，CSDN数据库外泄（xiè）一事被广泛关注的时候，Hzqedison在新浪（làng）微博表示道歉。随（suí）后（hòu），金山（shān）公司也（yě）发（fā）表声明，金山（shān）员工（gōng）并非（fēi）网络上传言的黑客，并非最（zuì）早对外（wài）发布密码库的（de）第一人。

Hzqedison解释了事情的经过：“12月21日，我在一个聊天群里（lǐ）看到CSDN数据库的迅雷下载地址，就（jiù）离线下载了该文（wén）件来检查自己账（zhàng）号是否被泄露（lù）。为了（le）让同事们也（yě）检（jiǎn）查，才做了分（fèn）享贴到同事群里。5分钟后，该地址截图被发到了乌云漏（lòu）洞报（bào）告平台（tái）上，得知后我立即删除了（le）迅雷分享地（dì）址。因为删除很及时，该（gāi）地址只有几名同事下（xià）载（zǎi）过，而且从未（wèi）将（jiāng）数据（jù）库文件外泄。”

李铁（tiě）军告诉（sù）财（cái）新《新世纪》记（jì）者，据他了解，当时该金山员工上（shàng）传CSDN数据库时（shí），是“秒传”的，说明（míng）这（zhè）个数据（jù）库文（wén）件在迅雷下载服务器（qì）中早已存在（zài）。

“是谁最早上传（chuán）了这些数据库，现在已经（jīng）很难确定。”李铁军说（shuō），除了CSDN的数（shù）据库，还有（yǒu）其他网站的数据库一起在网上流传。因为CSDN的影响力比（bǐ）较大，所以就传（chuán）开了。

事实（shí）上，CSDN数据（jù）库曝光之前已有征兆。李铁军告（gào）诉（sù）财新（xīn）《新世纪》记者，他在12月（yuè）14日前后，即（jí）泄（xiè）密事件发生的前（qián）一周，就（jiù）已经注意到有很多网友在新浪微博上反映账号被盗，“这是（shì）黑客在（zài）用数据库去试探新浪的数据库，有（yǒu）些就撞到了”。

马杰分析，这次曝光的网站数据库应该是最近（jìn）几年（nián）间连续不断被刷库的（de）。“安全圈也（yě）知（zhī）道，这几年地下黑（hēi）客圈在（zài）刷库，也知（zhī）道一些数据库（kù）在黑客圈流传。”

所谓刷库，是指（zhǐ）黑客入侵网站服务器之后窃取用户数据库的（de）行为，互联网业内也称其为“拖库”，取其谐音，也形象称之为“脱裤”

看上去（qù），金山员（yuán）工“偶然”的（de）发（fā）现和分享，加上地下黑（hēi）客累积经（jīng）年的刷（shuā）库行为，以及数据库在（zài）圈（quān）子（zǐ）中的（de）一（yī）轮轮扩散（sàn），最终（zhōng）促（cù）成了（le）这次网（wǎng）站（zhàn）数据（jù）库大规模的曝光。

但是，这（zhè）里面依然隐（yǐn）藏着两个问题（tí）。第一，金山员工如何能“偶然”发现原本（běn）在地下（xià）黑客圈流传的数（shù）据（jù）库？第二，仅（jǐn）是CSDN的数（shù）据（jù）库曝光（guāng），缘（yuán）何能引发一连串的数据库浮出水面？

地（dì）下黑客圈传输或交换文件，一般都是（shì）点对点的传输，有时甚（shèn）至通过（guò）邮寄移动硬盘或光盘来实现。但随着被刷的数据（jù）库越来（lái）越多，转（zhuǎn）手的次数越来越多，参与的人数也（yě）越来（lái）越多，出错（cuò）和曝（pù）光的概率就越来越大。

乌云漏洞（dòng）报告平台的创建人剑（jiàn）心分（fèn）析说，由于不同（tóng）黑客掌握的数据库各有（yǒu）不同，刷出来的数（shù）据库会在黑客圈中交换，这样就会一轮（lún）一轮的扩散。很（hěn）有可能是（shì）某个人在转手（shǒu）传（chuán）播的过程中，由于文件太大，无法实现网络上点对（duì）点的传输，不得不利用迅雷、网盘一类的工具（jù）进（jìn）行上传和下载。在这过程（chéng）中，工具会把这些文件泄露出来，甚至（zhì）会在搜索“数据”等（děng）关键词时（shí）出现推荐。这样（yàng）扩散（sàn）的范围就更大，进入与黑客圈有（yǒu）交流的（de）安全圈（quān）也就不足（zú）为奇了（le）。

至于（yú）网站用户密码连续被报丢失的现象，吕延辉解释（shì）说，一些数（shù）据库曝（pù）光之后，黑客（kè）手中那些与之雷同的（de）数据库就没（méi）有价值（zhí）了。并且，引发公众关注后，基本所有网站都会通（tōng）知（zhī）用户修（xiū）改密码（mǎ），政府相（xiàng）关（guān）部门可能还会介入（rù），那么其（qí）他的一（yī）些非核心数据库（kù）的价值也（yě）就（jiù）更低了。

吕延辉表（biǎo）示，可以看出来，这次曝光的数据库都（dōu）是（shì）在地（dì）下黑客（kè）圈转手很多次的，本身价值（zhí）也不大，再加上CSDN数（shù）据库的曝光，其他数据库的含金（jīn）量进一（yī）步降低（dī），那些手上有（yǒu）库的人抛出来也（yě）不奇（qí）怪，这才形成了一连串的规模效应（yīng）。

脆弱的网站安全

泄密事件，将（jiāng）众（zhòng）多（duō）网站在安全方面的脆弱暴（bào）露（lù）无遗（yí）。知名网络安（ān）全（quán）专家、安天实验室首席技术架构（gòu）师江（jiāng）海客直言，这是一个（gè）安（ān）全崩盘的时代。

安全圈内（nèi）资深人（rén）士（shì）的共识是，被黑客攻击（jī）和刷库，各大网站几乎（hū）是无一幸免，只是程度（dù）和（hé）范围的不同（tóng）。在做安全（quán）行业的人看来，目（mù）前大部分网站的安全性都（dōu）不足。“这一次表面（miàn）上看是（shì）明文密码库的问（wèn）题，但实际上多数网站从根本上都没有重（chóng）视自身的信息安（ān）全。”天融信公司（sī）副总裁（cái）刘（liú）辉对财新（xīn）《新世纪》记（jì）者（zhě）表示，网站把绝大部分资金投（tóu）入到日常运营中，只有被攻击（jī）或吃过教训后，才想起来安（ān）全的重要性（xìng）。

“一些网站之所以容易被‘脱裤’，很（hěn）大一部分原因就（jiù）是因为（wéi）本身（shēn）就（jiù）穿得太少了。”刘辉说，很多（duō）经营性网站（zhàn）甚至都没有专门的网络（luò）安全工程师（shī）。

CSDN社区数据库在此次事（shì）件中最先曝光。蒋涛（tāo）也坦言，“原（yuán）来对安全的认（rèn）识还（hái）停留（liú）在（zài）相对低（dī）的水平上，觉得（dé）自（zì）己的数据不是什么关键数据，别人拿去也没什么用。”

但这次一连串的数据库泄密（mì）事件证明，互联网存在很大的关联（lián）性，特别是拥（yōng）有大量用户的网站，更不是一个孤（gū）立的存在，很（hěn）多用户的邮箱、账号都与（yǔ）别的系统相关（guān）联，一旦有（yǒu）事，就会造成跨网站（zhàn）的连锁反应。另外，由于安全问题出在了服务器端（duān），普通用户基本没有办法（fǎ）防范，数据库被刷后（hòu）曝光出来，用户只能被动的修改密码。

马（mǎ）杰则指出，现在互（hù）联（lián）网从原来提（tí）供内容为主，到现在有（yǒu）很多的网上购物与社交，网（wǎng）站的重要性进入了另外一个（gè）层（céng）面，但安全现状停（tíng）步不前（qián）。“现在（zài）网站数据中所（suǒ）包含信息的价值在上升，但安（ān）全防（fáng）护（hù）的（de）措（cuò）施并没（méi）有加强（qiáng）。”他说（shuō）。

另一方面，专业做网站功能、应用和（hé）服务的人，与（yǔ）专业做（zuò）安（ān）全的人，在（zài）技术思维上（shàng）也（yě）存在巨大差异。“一（yī）个B2C网（wǎng）站的程序员，做了（le）一个（gè）系统，花了（le）几个月的功（gōng）夫（fū），自己觉得没什么问题，然后（hòu）请专业做安全的人去找漏洞，结果做不到十分钟就破解了。”李铁（tiě）军举例说，二（èr）者没有（yǒu）高下之分，只是职（zhí）业的（de）特（tè）征决（jué）定（dìng）了思路上的（de）差异。

思路上的差异，加（jiā）上安全意识的不到位（wèi），导致了（le）网站安全的脆弱。CSDN、天涯社区至（zhì）今仍未披露数（shù）据库外泄的具体原因。马杰告（gào）诉财（cái）新《新世纪》记者，从（cóng）技术上（shàng）讲，有很多种方法可以刷库，“就像一个很（hěn）大的房子，可以爬窗户、撬门（mén），或者从（cóng）烟囱进来，甚至挖个（gè）地道进来，就看黑客想（xiǎng）花多大（dà）的功夫和（hé）精力”。

通（tōng）常来说，黑（hēi）客都是通过（guò）发现网站或（huò）应用软件的（de）漏洞进入（rù）服务器，然后想办法（fǎ）提升权限，就可以（yǐ）把数（shù）据（jù）库下（xià）载下来（lái）。对一（yī）些防护比较弱的网站（zhàn），甚至都不用进入网站就能刷库。安全行业资深人士TK说：“只要（yào）分两步（bù），第一步找（zhǎo）到（dào）一个SQL注入点，执行（háng）一条备份命令，备份到一（yī）个目录去；第二步，从目录把数（shù）据下（xià）载回来。根本（běn）不需要获得网站的权限，只要有SQL注入的漏（lòu）洞，就可（kě）以爆库了。”

剑心告诉财新《新世纪》记者，决定在（zài）12月30日临时关闭乌云（yún）平台的其中一条原因，就是担心（xīn）后续几天爆出的网（wǎng）站漏洞会越来（lái）越多，引起互联网用户（hù）的恐慌（huāng）。乌（wū）云漏洞报（bào）告平台是由一（yī）群（qún）互联网安全研（yán）究（jiū）人员自发组织的（de）信息安（ān）全沟通平台，研究（jiū）人员在上面提交厂商的（de）安（ān）全问题，也披露一些通用的安全（quán）咨询和安全使用。有超过500个“白帽子”安全研究（jiū）人（rén）员和120多个厂商参与平台，反馈和处（chù）理了接近4000个安全问题。在泄密事件（jiàn）引发大范围关注后，乌（wū）云（yún）平（píng）台因曾多次发布相关安全漏（lòu）洞预警（jǐng）而被关注。

剑心（xīn）也证实说，目前国（guó）内除极少数大型（xíng）网站外（wài），可能（néng）都被（bèi）黑客刷（shuā）过库，包括网易、搜狐在（zài）内的门（mén）户，一些漏洞都是在乌云平台上被（bèi）证（zhèng）实的（de）。此外，近年来快速膨胀的电子商务网站，在剑心看来，安全（quán）性更是糟（zāo）糕，乌（wū）云平（píng）台（tái）已经（jīng）多次证实（shí）并报告了他们的（de）漏洞（dòng）。这其中就包括11月10日所报告的当（dāng）当网漏洞，可以（yǐ）抓取超过（guò）4000万条（tiáo）用户（hù）信息。

相对（duì）而（ér）言，金融系统的安全性（xìng）较（jiào）强。银行通常会（huì）采用硬加密的技（jì）术，既不仅依靠登录密码和交易（yì）密码，还需有一个外（wài）在于密码（mǎ）系统的物理密钥，比（bǐ）如发送到手机（jī）的（de）动态口令（lìng）或U盾密钥，其（qí）安全性要高于单靠密（mì）码的（de）“软加密”方式。但是，随着第（dì）三方支付（fù）、代收费、代缴费等业（yè）务的展开，银行系（xì）统（tǒng）需要开放的接口也越来越多（duō），对（duì）银行（háng）系（xì）统的安全提出了更（gèng）高的要求。

除网（wǎng）站的安（ān）全性差外，本次泄密事件（jiàn）中备受诟病（bìng）的还有明文密码库（kù）。所谓明文密码库，即在对（duì）用户密码信息存储时未进行加密（mì）处理，黑客获得数据库后，所有的用（yòng）户（hù）名、密码一目了然，更加（jiā）容易利用。

蒋涛解释（shì）称，各家网站的明文密（mì）码库都有复（fù）杂的历（lì）史原因，CSDN是在（zài）2010年9月之后才采用了密文存储。“这不是一家的问题，而是行（háng）业性的问题。”

但（dàn）是，加密存储也（yě）并不一（yī）定意味着安（ān）全。多位受访的网络安（ān）全专家告（gào）诉财新《新世纪》记者，现在相对简单的MD5加密方法已经不安全，黑客圈建立了庞大的MD5值的“字典库”，通过“查字（zì）典”的方式很快就能破解还原。

马杰建议，在（zài）进行密文存储时（shí），还需要对（duì）加（jiā）密算法做一些改变，或多（duō）次加密（mì），安全性能才会有所提（tí）升。尽管（guǎn）通过“彩（cǎi）虹表”碰撞等方（fāng）法不存（cún）在破（pò）解不了（le）的情况（kuàng），但至少会大大增加破解的（de）成本和时间，降低数据（jù）库对黑客的吸引力（lì）。

乌云平台撰（zhuàn）文称，最好的安全（quán）应该是（shì）自始（shǐ）至（zhì）终就有人为（wéi）安全负责，将安全落实到公司（sī）的流程制度规范以及基（jī）础技（jì）术架（jià）构（gòu）里去，形成完（wán）善的（de）安全体（tǐ）系，并（bìng）且持续更新迭代，“如果（guǒ）以前没（méi）有这方面制度，就从现（xiàn）在开始建设；如果（guǒ）没有团（tuán）队，就可以先找一些公司或者外部顾（gù）问。但是记住，不要幻想（xiǎng）一（yī）次性的投入就可以抵抗（kàng）利益驱动长久进化的（de）黑色产（chǎn）业链”。

黑色产业（yè）链

有人负（fù）责发掘漏洞，有人负责（zé）根据漏洞开发（fā）利用工具，有人负责漏（lòu）洞利用工具的（de）销售，有人（rén）负（fù）责刷库（kù），有（yǒu）人负责洗（xǐ）库，有人负责销售，还（hái）有人利用数据库钓鱼、诈骗、发送垃圾邮（yóu）件

大规（guī）模的泄密事件，也使得互联网江湖中最为（wéi）隐（yǐn）秘（mì）的黑色（sè）产业链再度引人关（guān）注。“熊猫烧香”病毒（dú）让公（gōng）众知道了（le）病毒黑色产业链，而此次的（de）泄密事件则指（zhǐ）向（xiàng）了数据交易的黑色产业链。

马（mǎ）杰告诉财新《新世纪》记者（zhě），最（zuì）近几（jǐ）年，“黑帽子”黑客圈内的盈（yíng）利模式发（fā）生了（le）一些变化。最早是“挂马”比较挣钱，通过发现漏（lòu）洞SQL注入，然后想办法获（huò）得网站权限，在网（wǎng）页（yè）上挂上（shàng）木马程序，中了木（mù）马程序的机器就成（chéng）为（wéi）“肉鸡”，通（tōng）过木马控制（zhì）“肉鸡”来赚钱。比如说盗号、弹窗、导流（liú）量（liàng）等。

“早几（jǐ）年木马猖（chāng）獗的时候（hòu），一个服务器能（néng）控制几万台的‘肉鸡’。即使只是IE自动跳（tiào）转到某一页（yè）面，每年也能带来可（kě）观的流量和收入。”李铁军说，还（hái）有（yǒu）黑（hēi）客利用系统漏洞和木马进（jìn）行“钓鱼诈骗”，从个人客户（hù）一（yī）端入侵网银系统，进行非法转账等。

后来，“挂马（mǎ）”和“钓鱼”被（bèi）各大安全公司打击得非常厉害，特别是免费杀毒软件（jiàn）在（zài）个人（rén）终端的普及。而这（zhè）个时（shí）候，地下黑客发现，刷库是个（gè）更快、更直接的赚（zuàn）钱方法。

最（zuì）近几年，围绕数据交（jiāo）易的（de）黑色产业链正在（zài）逐步形成。在（zài）地下黑客（kè）圈内，一（yī）些大（dà）型网站的数据（jù）库被明码标价，一个数据（jù）库整个端下来，价（jià）值数百（bǎi）万元到上千万元不等。

拖库成功后，到手的数（shù）据库可以有很多用途，比如直接卖给（gěi）被刷库（kù）网（wǎng）站的竞争对（duì）手。黑客（kè）还可以利（lì）用部分互联网用户“多家网站一个（gè）用户名一个密（mì）码”的习惯，去试探别的网（wǎng）站数据库。这（zhè）叫“撞库”，技术上也（yě）很容易实现（xiàn），只需（xū）要编写一个脚（jiǎo）本，自动不断用（yòng）已盗取数据（jù）库里（lǐ）的信息去请求登录。由于都是正常请求，被撞的网（wǎng）站也很难防范，所以也会有网站“躺着中（zhōng）枪”。

安（ān）全业内人士称（chēng），刷库之后（hòu），黑客拿着（zhe）数据库去“撞”有虚拟币系统的游戏（xì）网（wǎng）站（zhàn）、腾讯（xùn），以及网（wǎng）上（shàng）银行、支付（fù）宝及电子（zǐ）商务（wù）网站，都是必（bì）然会发生的事情。如果（guǒ）撞到了重合（hé）用户，将其（qí）账（zhàng）号内虚拟资产、网银洗劫一空都（dōu）是再自然不过了。

经过多次倒（dǎo）卖和“洗库”之后，数据库还能被卖给价值链（liàn）的末（mò）梢买家——利用（yòng）账号信息来发送广（guǎng）告、垃圾邮（yóu）件、垃圾短信的推销公司。通常情况下，数据库的价格越卖越便（biàn）宜，流传（chuán）的范围（wéi）也就越广，距离（lí）曝光（guāng）也就（jiù）越近。

而在（zài）整条黑色产（chǎn）业链中，分工也比较明（míng）确。最核心（xīn）和最难的是发掘（jué）漏洞（dòng），这对技术的要（yào）求（qiú）最高，能发掘漏洞的黑客也比较少。吕（lǚ）延辉介（jiè）绍，在地下黑客中，有人专门负（fù）责发掘漏洞，有人专门负（fù）责（zé）根（gēn）据漏洞（dòng）开发利用（yòng）工具，有人负责（zé）漏洞（dòng）利用工（gōng）具的销售（shòu），有人负（fù）责刷库（kù），有人负责洗（xǐ）库（kù），有人负责数据库的（de）销售，最后端，还有人（rén）利用数（shù）据库钓鱼、诈骗、发送垃圾邮件。

有网络安全人（rén）士估算，目（mù）前互联网的（de）地下黑色产业链（liàn）规模已经达到上千亿元，而（ér）安全行（háng）业的规（guī）模目前还只有几百亿（yì）元（yuán），“就像（xiàng）毒品的市场规（guī）模反而（ér）大（dà）于麻醉药的市场规模”。

失能的法律防（fáng）火墙（qiáng）

周汉华表示，“当网站的（de）资（zī）料和个人信息紧密相连（lián），安全却没（méi）有保障，这（zhè）种（zhǒng）情（qíng）况（kuàng）下，实名制是（shì）相当危险的（de）”

刘辉判（pàn）断，这次泄密事（shì）件将注定会是（shì）互（hù）联（lián）网发展历史上一件大事。一方面（miàn）是对互联网业务发展模式的影（yǐng）响；另一方面，则（zé）是互（hù）联（lián）网行业安（ān）全规范（fàn）机制的建立已势在必（bì）行。

“短期内（nèi），互联网行业（yè）的发展会受到一定的（de）影响。”刘辉说，例如近两年（nián）兴起的云计算服务（wù），现在提供云服务的（de）互联网公司必须要重新建立用户的信息，并说服用户上传至云（yún）端的资料是安全（quán）的。要说服用户，就需要相应的安（ān）全（quán）承诺及（jí）安全认证机制。

蒋涛也表示，这次泄密事件相（xiàng）当于给整（zhěng）个互联网业上了一课。“CSDN也是专业的IT社区平台，我们会利（lì）用这（zhè）个（gè）平台来加强安全的教育（yù）和普及，提升互联网行（háng）业的安全（quán）意识（shí）。”他（tā）说，除了加强自身的安全性，这是CSDN在2012年要（yào）去做的重要事情，“互联网上各大网站的关联度越来越高，安全已经不是（shì）一家（jiā）两家的问题，而是全行业的问（wèn）题”。

在全世界，身份的盗（dào）用和（hé）密码的泄露（lù）每天都（dōu）会出现，但（dàn）与发达国家不同（tóng）的是，这（zhè）次密码泄（xiè）露事件发（fā）生后，各（gè）方几乎束手无（wú）策。“大家都不知道怎么去保护（hù）自己的权利，大家就（jiù）只能看着（zhe）发生（shēng），等着下（xià）一（yī）次什么时候发生。”中国社会科学（xué）院研究员周汉华（huá）对财新《新（xīn）世纪》记者说，“我们（men）的问题是（shì）没有有（yǒu）效的管理手段，没有可以适用的（de）法律。”

在亚太（tài）网络法律研（yán）究中心主任刘德良教（jiāo）授看来（lái），个人信息在网（wǎng）络时（shí）代越来越具有商业价值（zhí），这也是目前非法收集、加工、买卖和（hé）商（shāng）业（yè）性滥（làn）用个人信息行为（wéi）日益泛滥的内在驱动力（lì）。针对如此（cǐ）严重的（de）网络的个人（rén）信息安全威（wēi）胁，法律的“防火（huǒ）墙”为（wéi）何失能以（yǐ）及如何重构，成（chéng）为一个（gè）急需（xū）解（jiě）决的问题。

上海一位经侦人员对财（cái）新《新（xīn）世纪》记者（zhě）介绍，他们曾经侦办过一（yī）个利（lì）用个人信息实施犯罪的案子（zǐ）。有人（rén）发现几百万元银行存款莫名消失，于是报案。此案涉及几百万条的车主信息数据库（kù），这些信（xìn）息有黑客攻击得到的，也有银行、保险（xiǎn）业的内部人（rén）泄露出来的。犯罪分（fèn）子的作案手法是（shì），通过（guò）内部（bù）泄露（lù）或者黑客攻击（jī）得到包括车主姓名和身份（fèn）证号码的用户（hù）信息库，找（zhǎo）银行的（de）人（rén）查开户（hù）信息（xī），这个行话（huà）叫“包行（háng）”，几百块就能做。得到卡（kǎ）号后，然后猜密码，利用黑（hēi）客（kè）软件和（hé）银行卡进行（háng）比对。

从刑事（shì）法律来看，2009年《刑法》修正（zhèng）案增加（jiā）了（le）“非（fēi）法侵入计算机信息（xī）系统罪（zuì）”的条款，“违反国家规定，侵入计算机信（xìn）息系统或（huò）者采（cǎi）用其他技术手段，获取该计算机信息系统（tǒng）中存储、处理或者（zhě）传输的数据，或者对该计算机（jī）信息系统实施（shī）非法控制，情节（jiē）严重的（de），处（chù）三年以下有（yǒu）期（qī）徒刑或者拘（jū）役，并处或者单处罚金；情（qíng）节特别严重的，处三年以上（shàng）七年以下有（yǒu）期徒刑，并处罚金”。

同年，全国（guó）人大常委会还（hái）出台《侵权（quán）责任法》，规定网络服务提供者和网络用户利用网络侵（qīn）害他（tā）人民事权益的，应当承担侵权责任；网络服（fú）务提供者知道网络用户利（lì）用（yòng）其网络服务侵害他人民事权益，未采（cǎi）取必要措施的，与该网络用户承担连带责（zé）任。2000年，全国人大常委会又专门制定（dìng）了《关于（yú）维护互联网安全的决定》，重申各种互联网违（wéi）法的（de）刑事责任和民事责任。

在行（háng）政监管层面，除（chú）了国务院（yuàn）在1994年（nián）制（zhì）定的《计算机信息系统安全保护条（tiáo）例》，作为（wéi）全国计算机系统安全保护工作主管部门（mén）的公（gōng）安部，也（yě）制定了（le）《信息安全等级保护管理办（bàn）法》以及《计（jì）算机信息系（xì）统安全保护等级（jí）划（huá）分准（zhǔn）则》《信息（xī）系统安全等级保护基（jī）本要求（qiú）》《信息系统安（ān）全等级保护（hù）测评要求》等30多个标准。

多重（chóng）的法（fǎ）律规定，为何实施（shī）效果不佳？周汉华认为，《刑法（fǎ）》的适（shì）用门槛比较高，需要“违反（fǎn）国家（jiā）规定”和“情（qíng）节（jiē）严重（chóng）”的条件（jiàn），何况（kuàng）这两个（gè）条件目前都（dōu）缺乏相（xiàng）应的标准。而（ér）《侵权责任法》的适用，在网络环境下（xià），当事人举证非（fēi）常困（kùn）难（nán），而且存在成（chéng）本投入和收益不对（duì）称的情况。

周汉华认为，《刑法》和《侵权责任法》都属于事后救济，在网络时代，由（yóu）于损害的发生是系统性的、不可复原的，所以（yǐ）对网络（luò）安全（quán）以及个人信息进行全流程（chéng）的监管才更为有（yǒu）效。目前对于这（zhè）种全（quán）流程（chéng）的监管（guǎn），中国既缺乏专门（mén）的法（fǎ）律，也没有专门的执法机关，搜集个人资料的（de）企（qǐ）业所应承（chéng）担的相应（yīng）的（de）安全责任以（yǐ）及（jí）相应的信息流管理行为规范都缺失。“这就是为什么要（yào）制定《个（gè）人信息保护法》的原因。”周汉华称。

据财新《新（xīn）世纪》记者了解，早（zǎo）在2003年之时，周汉（hàn）华曾经受当时的（de）国务院信息化办公室委（wěi）托，主持《个人（rén）信息保护（hù）法》的（de）立法（fǎ）研（yán）究，并且在2005年形（xíng）成了一份专家意见稿。但时隔多年，这部法律的立法工作迟迟未被启动（dòng）。

刘德良教授（shòu）认为，在当前中国的法（fǎ）律（lǜ）框架下，把（bǎ）个人信息都（dōu）纳入（rù）人格权的范畴，而不承认个人（rén）信息的商业价值也是个人的财（cái）产；人格权受到（dào）侵害后，原则上也不能（néng）要（yào）求财产损（sǔn）害赔偿。因此他提出（chū），对于（yú）个人（rén）信息的法律（lǜ）保护（hù），应该包括隐私上的人格利益和个人信息的商业价值这双（shuāng）方面，将（jiāng）个人信息的商业价值视为个人的（de）财产（chǎn），未经允（yǔn）许擅自收集和（hé）商业性利用（yòng）个（gè）人隐私，既是（shì）一种侵（qīn）犯人格权的行为，也（yě）是一种侵害财产权的行为（wéi）。