然而，潘多拉魔盒已经打开，CSDN数据库的泄（xiè）露仅仅（jǐn）是个开始。“没想到后面的（de）事（shì）情越来越大（dà），已经到了不可（kě）收拾（shí）的程度。”蒋（jiǎng）涛说。

12月22日，知名IT博客“月光博客”披露，多玩网（wǎng）数据库泄露超过800万（wàn）条信息，有大量用户名、明（míng）文密码、邮箱及（jí）部（bù）分加密密码。“经过（guò）验证，使用该（gāi）数据库中的用户名和密码可（kě）以正常登录（lù）多玩网。”

同日，标注（zhù）为“人人网（wǎng）500万用（yòng）户资料”的文件开始在网上（shàng）流传，嘟嘟牛、7k7k、178游戏（xì）网、CSDN等多家（jiā）网（wǎng）站数据库（kù）文件的截图也出现（xiàn）在微（wēi）博上，涉及（jí）的用户（hù）信息总量超过5000万条。但人人网否认用（yòng）户数据遭到（dào）泄（xiè）露，他们在官方微博上（shàng）提（tí）醒称，“如果您的人人网账号密（mì）码和CSDN或其他（tā）网（wǎng）站（zhàn）一致，建议（yì）您马上修改（gǎi）密码，以（yǐ）免账号被盗（dào）。”人人网（wǎng）相关（guān）人员在接受采访时表示，提醒用户只是（shì）出于（yú）安（ān）全考虑。

12月25日，泄密规模进一步扩大，网（wǎng）络上开（kāi）始流传天涯论坛的用户数（shù）据库，信息总量超过4000万（wàn）条。随后，这一新闻被天涯社区官（guān）方致歉信证实：由于（yú）历史（shǐ）原因（yīn），天涯（yá）社区早（zǎo）期使用明文密码（mǎ），在（zài）2009年11月改（gǎi）成（chéng）加密密码，但是部（bù）分老的（de）明文密码库（kù）未被清理，黑客泄露的正是（shì）2009年11月升级（jí）密码保存（cún）方（fāng）式之前所（suǒ）注册的用（yòng）户。不过天涯社区并未在公告中（zhōng）对泄露的用户规模进行（háng）确认（rèn）。天涯社区公关经理初蒙在接受财（cái）新《新世纪》记者采访时（shí）表示，确认用户信息（xī）遭泄露（lù）后，已经（jīng）向海南省（shěng）公安厅、海口（kǒu）市公安局报案，案件（jiàn）目（mù）前正（zhèng）在侦查之中（zhōng）。

12月（yuè）26日（rì），网上（shàng）又（yòu）传出新浪微博的用户资（zī）料疑似被（bèi）泄露（lù），并公布（bù）了新浪微博数据下载地址（zhǐ）。这个（gè）疑似数据库一（yī）共有约476万条（tiáo）账户和密码信息。

此后，泄密事件（jiàn）继续发酵升级，传闻开始波及到电（diàn）子（zǐ）商务及银行系统。12月（yuè）27日，乌云漏洞报告（gào）平台披露（lù）京东（dōng）商城的漏洞，“在某些业务（wù）上存在用户权限控制不当的漏（lòu）洞，导致任意用户登录系统后，都可以正常（cháng）访问到所有用户的（de）信息，包括姓名、地址、电话、Email等。”这一漏洞报告（gào）得（dé）到了京（jīng）东商城方面的响应。

12月28日，“当当网1200万用户信息遭泄露”的说法（fǎ）亦被“小部分”证实（shí）。当当网的公告称：“经核实，网络公布的信息数据只（zhī）有极小部分属（shǔ）实，且均系2011年6月之前的老数据，该部分数（shù）据是由于（yú）之前遭到网络（luò）黑客（kè）攻击（jī）被盗取。”

乌云（yún）漏洞报告平（píng）台在12月28日也再次报告（gào）称，“支（zhī）付宝（bǎo）用户大量（liàng）泄露，被用于网络营销（xiāo），泄（xiè）露总量达1500万-2500万之多，泄露事（shì）件不（bú）明（míng），里面只有支付宝用户的账（zhàng）号，没有密码”。支付宝随后回（huí）应称，支付宝账号不是私密信息，在很多地方都（dōu）可（kě）以（yǐ）搜集（jí）到，只有账号（hào）没有密码，对用户资金安全没有任何威胁，“支付宝采取金（jīn）融级的信息安全标准去保护用户（hù）信息及资金安全，我（wǒ）们承诺没（méi）有任何人能（néng）从（cóng）支（zhī）付（fù）宝获得（dé）用户的密码等私密信息。过去没有，以后（hòu）也没有，请大家放心”。

但12月29日，更吓人的消息（xī）又在网上（shàng）疯传：交通银行、民生银行分别泄露用户资料7000万和3500万份（fèn），“卡号、姓（xìng）名、密码都有”，并配（pèi）有截图。当天下午，交通银行、民生（shēng）银行、工商银（yín）行等分别发布公告辟谣，称“用户资料外泄的传闻纯属谣言（yán）”。

当日（rì）晚间，又有网友披露称，广东省公安厅出入境政府服务网（wǎng）网上申请（qǐng）数据（jù）泄露，几乎所有提交网上申请用户的真（zhēn）实姓名、出生年（nián）月、电（diàn）话、护照号码、港澳通（tōng）行证号码等信（xìn）息均可查到（dào），泄（xiè）露的总信息量高达（dá）444万条（tiáo）。这一信息被（bèi）广东省公安厅证实：2011年6月24日至2011年12月（yuè）29日（rì）期间，在广东申请（qǐng）出入境的（de）用户信息遭到泄露。

仅仅一个星期，泄密已经从（cóng）CSDN一家网站（zhàn）的危机（jī）演化成（chéng）为了席卷整个（gè）互联网的大事件（jiàn）。一时间，各大网站人人（rén）自危，真假数据库屡（lǚ）屡出（chū）现（xiàn）。国家互联网应急中心（xīn）对所（suǒ）曝（pù）光（guāng）的数据进（jìn）行了抽（chōu）查核（hé）实，发现部分数（shù）据是有效的，经过（guò）与相关网站、论坛（tán）联系后（hòu），确认（rèn）CSDN社区、天涯社区（qū）两家网站发（fā）生了用户数据泄露事件，但（dàn）泄露原因还（hái）有待（dài）进一步分析；对于其他网（wǎng）站（zhàn）、论坛，虽然曝（pù）光数据中个（gè）别条（tiáo）目有效，但不（bú）能判定发生了网站（zhàn）、论坛用户数据泄露事件。

金山网络反病毒工程师李铁（tiě）军（jun1）12月30日（rì）接受财新（xīn）《新世纪》记（jì）者采访时则（zé）表示，根据（jù）他们从网上下载的数据库，剔除重复信（xìn）息之后，有超过1亿（yì）条的用户（hù）信息在此次事件中泄（xiè）露（lù）。

一位不愿具名的网络安全（quán）工程师也向财新《新世纪》记者（zhě）证实，经过（guò）重（chóng）合度分析、数（shù）据库（kù）格式判断等验证分析，基本可（kě）以断定“有（yǒu）十几家（jiā）网站的数据库比较靠谱，应该是真实（shí）的”。

大规模用户数（shù）据泄密后，各种“浑水摸鱼者”也随（suí）之而来。蒋涛告诉财新《新世纪》记者（zhě），一些人（rén）开始（shǐ）制造假的数据库来混淆（xiáo）视听；一些（xiē）网站通知所（suǒ）有用户修改密码，以乘机激活“沉（chén）睡”用户（hù）；甚至一些网站（zhàn）把曝（pù）光的数据库直（zhí）接导入自己的数据（jù）库，然后发通知给用户修改密码，不费吹灰之力即获得（dé）上（shàng）千万规（guī）模的（de）用户。当（dāng）然，对用户影响（xiǎng）最（zuì）直接的是各（gè）种垃圾邮件、钓（diào）鱼邮件（jiàn）多了起来。

真正令（lìng）人担心的是，或许还有（yǒu）更大规模的数据（jù）被地下黑客所掌握（wò），只是没有公布（bù）而已。著名网（wǎng）络安全（quán）专家龚（gōng）蔚（goodwell）公开表示，这（zhè）次曝光的1亿多（duō）条（tiáo）用户账号及（jí）密码等相关信（xìn）息，只（zhī）是黑客所掌握（wò）数据的“冰山一角”，预（yù）计（jì）有将近4亿-6亿的用户账号信（xìn）息在黑客地（dì）下领（lǐng）域（yù）流传。

翻过新年，此波网络账号信（xìn）息泄密的浪潮仍有余波（bō）。1月4日，一位网络（luò）ID为“网路（lù）游侠”的“白帽黑客”在（zài）自（zì）己的博客上发布了新浪的漏洞：新浪iask站点存在SQL注入（rù）漏洞，利用漏洞可以读取iask数（shù）据库内（nèi）容（róng），包括明文密码在（zài）内的7000多万新（xīn）浪用户信（xìn）息。由于新浪（làng）实行“全（quán）站（zhàn）一号登录”，黑客利用（yòng）这个（gè）漏洞还可以获（huò）得新（xīn）浪微（wēi）博的相关账号信息。“网路游（yóu）侠”以知名魔术师刘谦（qiān）的微（wēi）博为例，通过（guò）构造数据（jù）库查询语（yǔ）句（jù）就轻松获得了刘谦的账号及密码信息，并成功登（dēng）录。当天晚（wǎn）间，刘谦在微博上转发该博客，证实此事。不（bú）过，“网路游侠”称，这个漏洞（dòng）他是在1月1日发现，已及时通（tōng）知新浪官方，并在新浪修复了该漏洞后才在博（bó）客上公布（bù）文章，供参考学习之用。

截至（zhì）发稿，新浪方面对此事（shì）尚未做（zuò）出回应。事实上，早在2010年10月，乌云（yún）漏洞（dòng）平台就曾报（bào）告称新浪iask站点（diǎn）存在SQL注入漏洞的安全问题。

偶然中的必然

“这些数（shù）据库（kù）在黑客圈几年前就有了（le），这一次只不过是个比（bǐ）较集中的爆发”

是谁，在（zài）什么时候，拿走了这些涉（shè）及（jí）用户隐私的数据？原本隐（yǐn）秘在黑客圈的数据库缘何会曝光在公众面前？互联网是（shì）否还有（yǒu）安全可言？此轮（lún）网络大泄密，让这些（xiē）问题成了普通（tōng）互联（lián）网用户最自然的追问（wèn）。

“这些数（shù）据（jù）库在黑（hēi）客圈几年前就有了，这一（yī）次只不过是个比较集中的爆发（fā）。”安全宝CEO马杰对财新（xīn）《新（xīn）世（shì）纪》记者称，CSDN数据（jù）库的（de）曝（pù）光看似偶然，实则必然。“冰冻三尺非一日之寒，互联网（wǎng）行业安（ān）全问题的累积（jī）已（yǐ）经太多（duō）了，迟早会爆（bào）发。”马杰（jié）在安全（quán）行业超过十年，曾任瑞（ruì）星研发总经理，负责（zé）个人和企业的安全产品。

这也是网（wǎng）络安全行业人员近（jìn）乎（hū）一致（zhì）的观点。天融信公司高级安（ān）全（quán）顾问（wèn）吕延辉（huī）向（xiàng）财新《新世纪》记者证实，最早在2008年时，就曾（céng）听说有一些网站的数据库在（zài）黑（hēi）客圈流传。

本次（cì）密码信（xìn）息最先被公布的CSDN社区，后来曾组织安全专家进行讨论，得（dé）知公（gōng）司的（de）数据库事实上（shàng）早就在黑（hēi）客的手上了。“并（bìng）不是说这一刻先攻（gōng）破了CSDN，放（fàng）出数（shù）据库，然后下一刻攻破了天涯再放出数据库。而是这些（xiē）数（shù）据他（tā）们（men）手上一直都有，只不过抛出（chū）来的时间不一（yī）样。”蒋（jiǎng）涛说。

天融信成都分公司技（jì）术负（fù）责人邹晓波（bō）称，早（zǎo）期的很多网站（zhàn），都可以通过服务器渗（shèn）透，取得后台数据库的权限，直接取得数据。“黑客圈内（nèi）人都知（zhī）道谁被盗了，他们不一（yī）定公布，但是会炫耀，在（zài）小范围（wéi）内流（liú）传，大部（bù）分没有（yǒu）去（qù）获利。”

CSDN社区数据库的曝（pù）光，曾经被指（zhǐ）向一名ID为Hzqedison的金山（shān）公司员工，他分享（xiǎng）数据（jù）库下（xià）载地址的截图最早在网上（shàng）流（liú）传（chuán）。12月22日，CSDN数据库外泄一事被广泛关注的时候，Hzqedison在新（xīn）浪微博表示道（dào）歉。随后，金（jīn）山（shān）公司也发表（biǎo）声明（míng），金山员工并非网络（luò）上传言的黑客，并非最（zuì）早对外发布（bù）密码库的第（dì）一人。

Hzqedison解（jiě）释了事情的经过：“12月21日，我在一个（gè）聊（liáo）天群里看到CSDN数据库的迅雷下载地址，就离线下载了该（gāi）文件来（lái）检查自己账号是否被泄露。为（wéi）了（le）让同（tóng）事们也检查（chá），才做（zuò）了分享贴到同事群里（lǐ）。5分钟后，该地（dì）址（zhǐ）截图被发（fā）到（dào）了乌云漏（lòu）洞（dòng）报（bào）告平台（tái）上，得知后我（wǒ）立即删除了迅雷分享地址。因为删除很及时，该（gāi）地址只有几名同事（shì）下载过，而且从未将数（shù）据库文件外泄。”

李铁军告（gào）诉财新《新世纪（jì）》记（jì）者，据他（tā）了解，当时（shí）该金山员工上（shàng）传CSDN数据库时，是“秒（miǎo）传”的，说明（míng）这（zhè）个（gè）数据（jù）库文件在迅雷下（xià）载服务器中早（zǎo）已存（cún）在。

“是谁（shuí）最早上（shàng）传（chuán）了（le）这些数据库，现在已经（jīng）很难确定。”李铁军说，除了CSDN的数据库，还有其他网站的数（shù）据库一起在网上流（liú）传。因为CSDN的（de）影响（xiǎng）力比较大，所（suǒ）以（yǐ）就（jiù）传开了。

事（shì）实上，CSDN数据（jù）库（kù）曝光之前已有征（zhēng）兆。李铁军告诉财（cái）新（xīn）《新（xīn）世纪》记者，他在12月（yuè）14日前后，即（jí）泄（xiè）密事件发（fā）生的前一周，就已经（jīng）注意到有很多（duō）网友（yǒu）在新浪微博（bó）上反映账（zhàng）号被盗，“这是黑客（kè）在用（yòng）数据库去（qù）试（shì）探新浪的数据（jù）库，有些就撞到了”。

马杰（jié）分析，这次（cì）曝光的网站数据库应该是最近几年间连续不（bú）断被刷库的。“安（ān）全圈（quān）也知道，这几年（nián）地下黑客圈在刷库（kù），也知道一（yī）些数据库（kù）在黑客圈流传（chuán）。”

所谓刷库，是指黑客（kè）入侵网（wǎng）站（zhàn）服务器（qì）之后窃（qiè）取用户数据库的行（háng）为，互联（lián）网业内也称其为“拖库（kù）”，取（qǔ）其谐音（yīn），也形象称（chēng）之为（wéi）“脱裤”

看上去，金山员工“偶然”的发现和分（fèn）享，加（jiā）上地下黑客累积经年（nián）的刷库行（háng）为，以及数据库在（zài）圈子中（zhōng）的一轮轮扩散，最（zuì）终促成了这次网（wǎng）站数据库大规模的曝光。

但是，这里面依然隐藏着两个问题。第一，金山员工如何能“偶然”发现原本在（zài）地下黑（hēi）客圈（quān）流传的数据（jù）库（kù）？第二，仅（jǐn）是CSDN的数据库曝光（guāng），缘何能引发一连（lián）串的数据库浮出（chū）水面？

地下黑客圈传（chuán）输（shū）或交换文件，一般都是点对点的（de）传输（shū），有（yǒu）时甚至通过邮寄移动硬盘（pán）或（huò）光盘来实现。但随着被刷的数据（jù）库越（yuè）来越多，转手的次数越来越多，参与（yǔ）的人数也越来越多，出错和（hé）曝光（guāng）的概率（lǜ）就（jiù）越来（lái）越大。

乌云漏洞（dòng）报告平台的创建人剑心分析（xī）说，由于不同黑客掌握的数据库各有不（bú）同，刷出来的数据（jù）库会（huì）在黑客圈（quān）中交换，这样（yàng）就会一轮一轮的扩（kuò）散。很（hěn）有可（kě）能是某个（gè）人在（zài）转手（shǒu）传（chuán）播的过程中，由于文件太大，无法实现网络上（shàng）点对点的传输，不（bú）得（dé）不利用迅雷、网盘一类的工具（jù）进行上传和下（xià）载。在这过程（chéng）中，工（gōng）具（jù）会把（bǎ）这些文件泄露出（chū）来，甚至会（huì）在搜索（suǒ）“数据”等（děng）关（guān）键词（cí）时（shí）出现（xiàn）推（tuī）荐。这样扩散的范围就（jiù）更大（dà），进入与黑（hēi）客圈有交（jiāo）流的安全圈也就（jiù）不足为（wéi）奇了。

至于网站（zhàn）用户密码连（lián）续被报丢失（shī）的现象（xiàng），吕延辉解（jiě）释（shì）说（shuō），一（yī）些数据库（kù）曝光之后，黑客手中那些与（yǔ）之雷同的数据库就（jiù）没有（yǒu）价值（zhí）了。并且（qiě），引发公众关注后，基（jī）本所有（yǒu）网站都会通知用户修改密码，政府相（xiàng）关部门（mén）可能还会介入（rù），那（nà）么其他的一些非（fēi）核心数据库的价值也就更低了（le）。

吕延辉表示，可以看出来，这（zhè）次曝（pù）光（guāng）的（de）数据（jù）库（kù）都是在地（dì）下（xià）黑客圈转手很多（duō）次的（de），本身价值也（yě）不（bú）大，再加上CSDN数据库的曝光（guāng），其他数（shù）据（jù）库（kù）的（de）含（hán）金量（liàng）进一（yī）步（bù）降低，那些手上有库的人抛出来也不奇怪，这才形成了一连串的规（guī）模效应（yīng）。

脆弱的（de）网（wǎng）站（zhàn）安（ān）全

泄密事件，将众（zhòng）多（duō）网站在安全方面的脆弱（ruò）暴露无遗。知（zhī）名网络安全专（zhuān）家、安天实验室首席技术架构师江海客直言，这是（shì）一个（gè）安（ān）全崩（bēng）盘的时代。

安全圈内（nèi）资深人士的共识是，被黑客（kè）攻击和刷库，各（gè）大网站几乎是无一（yī）幸免，只是程度和范（fàn）围的（de）不同（tóng）。在做安全行业的人看来，目前（qián）大部（bù）分（fèn）网站的安全性都不足。“这（zhè）一次表（biǎo）面上看是明文（wén）密（mì）码库的问题，但实（shí）际上多（duō）数网站从根本上都没有重视（shì）自身的信息安全。”天融信公司副总（zǒng）裁刘（liú）辉对（duì）财新《新世（shì）纪》记者表示，网站把（bǎ）绝大部分资金投（tóu）入到日（rì）常运营中（zhōng），只有被攻击或（huò）吃过教训后（hòu），才（cái）想起（qǐ）来安全的重要性。

“一些网站（zhàn）之所以容易（yì）被‘脱裤（kù）’，很大（dà）一部分原因就是因为本身就穿得太少（shǎo）了（le）。”刘辉说（shuō），很多经营（yíng）性（xìng）网站甚至都（dōu）没有专门的网络安全工程（chéng）师（shī）。

CSDN社区数据库在此（cǐ）次（cì）事（shì）件中最先曝（pù）光（guāng）。蒋涛也坦言，“原来（lái）对安（ān）全（quán）的认识还停留在相（xiàng）对低（dī）的水平上（shàng），觉得自己的数据不是什么关键（jiàn）数（shù）据，别（bié）人拿去也没什么用。”

但这（zhè）次一（yī）连串的数（shù）据库泄密事件证明（míng），互联网（wǎng）存在很（hěn）大的关联性，特别（bié）是（shì）拥有（yǒu）大量用户的网站，更（gèng）不是一（yī）个孤立的存在，很（hěn）多用户的邮箱、账（zhàng）号都与（yǔ）别（bié）的系统（tǒng）相关联，一旦有事，就会造成跨（kuà）网站的连（lián）锁反应。另外，由于安全（quán）问题出在了服务器（qì）端，普通用户基本没有（yǒu）办（bàn）法防（fáng）范，数据库被刷后曝光出来，用户只能被动（dòng）的修改（gǎi）密码。

马杰则指出，现在互（hù）联网从原来提供内容为主，到现（xiàn）在有很多（duō）的（de）网上购物与（yǔ）社交，网站的重要性进入（rù）了另（lìng）外一（yī）个层面，但安全现状停步不前。“现在网站数据（jù）中所包含信息的价值在上升（shēng），但安全防护的措施（shī）并没有加强。”他说。

另一方面，专业（yè）做网站功能、应用和服务（wù）的人，与专业做安全的人，在技术思维上也存在巨大差异。“一个（gè）B2C网站的程序员（yuán），做（zuò）了一个（gè）系（xì）统，花了几个月的功（gōng）夫，自己觉得（dé）没什么（me）问题，然（rán）后（hòu）请专业做安全的人去找漏洞，结（jié）果做不（bú）到十分钟就破解了。”李铁军举例说，二（èr）者（zhě）没有高下之分，只（zhī）是职业的特征决定（dìng）了思路上的（de）差异（yì）。

思路上的差异，加（jiā）上安全意（yì）识的不到位，导致（zhì）了网站安全（quán）的（de）脆弱。CSDN、天（tiān）涯（yá）社区至今仍未披露（lù）数据库外泄的（de）具体原因（yīn）。马杰告诉财新（xīn）《新世纪》记者，从（cóng）技术上讲，有很（hěn）多种（zhǒng）方法可以刷库（kù），“就像（xiàng）一个很大的房子，可以爬窗户、撬门（mén），或（huò）者从烟囱进来，甚（shèn）至挖个地道（dào）进来，就看（kàn）黑客想花多大的（de）功夫和精力”。

通常来说，黑客都是通过发现网（wǎng）站或应（yīng）用软件的漏洞进入（rù）服（fú）务器，然后想（xiǎng）办法提升权限，就可以把数据库（kù）下载下来。对一些防护比较弱的网站，甚至都（dōu）不用进入（rù）网站就能刷库。安全行业资深（shēn）人士TK说：“只要分两（liǎng）步，第一步（bù）找到一个SQL注（zhù）入点，执行一条备份命令，备份到（dào）一个目录去；第二步（bù），从目录把（bǎ）数据下（xià）载回来（lái）。根（gēn）本不（bú）需要（yào）获得网（wǎng）站的权（quán）限（xiàn），只要有SQL注入的漏洞，就可以爆库了。”

剑（jiàn）心告诉财新《新世纪》记者，决定（dìng）在12月30日临时（shí）关闭乌（wū）云平台的其（qí）中（zhōng）一条原因，就（jiù）是担心后（hòu）续几（jǐ）天爆（bào）出（chū）的网站漏洞（dòng）会越来越多，引起互（hù）联网用户的恐慌。乌（wū）云漏（lòu）洞报告平台是由一群互联网安全研（yán）究人员自发组（zǔ）织的信息安全沟通（tōng）平台，研究人员在上面（miàn）提交厂商的安全问题（tí），也披露一些通用的安全咨询和安（ān）全使用。有（yǒu）超过500个“白帽子（zǐ）”安全研究（jiū）人员和120多个厂商参与（yǔ）平台，反馈（kuì）和处理了接近4000个安全（quán）问题。在泄密事件引发大范围（wéi）关（guān）注后，乌云平台因（yīn）曾多次发布（bù）相（xiàng）关安全漏洞（dòng）预警（jǐng）而被关（guān）注。

剑心也（yě）证实说，目前国内除极少数（shù）大型网站外，可能都被黑客刷过库（kù），包括网易、搜狐在内的门户，一些（xiē）漏洞都是在乌云（yún）平（píng）台上被证实的。此外，近年来快速膨胀的电子商务网（wǎng）站，在剑心看来，安全（quán）性更是糟糕，乌云平台已经多次证（zhèng）实并报告了他们的漏洞。这（zhè）其中就包括11月（yuè）10日所报告的当当（dāng）网漏洞，可以抓取超过4000万条用户信息。

相对而言，金融系（xì）统的（de）安全性（xìng）较（jiào）强。银行通常会采用硬加密（mì）的技术，既不（bú）仅依靠登录密码和交易密码，还需有一（yī）个外在（zài）于密码系（xì）统的物（wù）理密钥，比如发送到（dào）手机的动态（tài）口令（lìng）或U盾密钥，其安全性要（yào）高于单靠密码的“软加密（mì）”方式。但是，随（suí）着第三（sān）方支付、代收（shōu）费（fèi）、代（dài）缴费等（děng）业务的展开，银行系统需要开放的接口也越来越（yuè）多（duō），对银行系统的（de）安全提出了更高的要求。

除网站的安全性差外（wài），本次泄（xiè）密（mì）事（shì）件（jiàn）中备受诟病的还有明文密码库。所谓明文密码库，即（jí）在对用户密码信息存储时未（wèi）进行加密处（chù）理，黑客获得数据库后，所（suǒ）有（yǒu）的用户名、密码一目（mù）了然（rán），更加（jiā）容易利（lì）用。

蒋涛解（jiě）释称，各家网站（zhàn）的明（míng）文密码库都有（yǒu）复杂（zá）的历（lì）史原因，CSDN是在2010年9月之后才采用了密文存储。“这不是一（yī）家的问题（tí），而是行业性（xìng）的问（wèn）题。”

但是，加密存储也并不一定意味着安全。多位受（shòu）访的网络（luò）安全专家告诉（sù）财新（xīn）《新世纪》记者，现（xiàn）在相对简单的MD5加密方法已（yǐ）经不安全，黑客圈建（jiàn）立了庞大的MD5值的“字典（diǎn）库（kù）”，通过（guò）“查（chá）字典”的方式很快就（jiù）能破解还原。

马杰建议，在进（jìn）行（háng）密文存储时，还需要对加密算法（fǎ）做一些改（gǎi）变，或（huò）多次加密（mì），安（ān）全性（xìng）能才（cái）会有所提升。尽（jìn）管（guǎn）通过“彩虹表”碰撞（zhuàng）等方法不（bú）存在破解不了的情况，但至少会（huì）大（dà）大增加破解的成本（běn）和时（shí）间，降低数据库对（duì）黑客的吸（xī）引力。

乌云平台撰文称，最好的安（ān）全应该是自始至终就有人为（wéi）安（ān）全负责，将（jiāng）安全落实到（dào）公司的流（liú）程（chéng）制度（dù）规范以及基础技术架构里去（qù），形成完善（shàn）的安全体系，并且持续更新迭代（dài），“如（rú）果以前没（méi）有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公（gōng）司或者（zhě）外部顾（gù）问（wèn）。但（dàn）是记住，不要幻想（xiǎng）一次性的投入就可以抵抗利益（yì）驱动长久进（jìn）化的黑色产业（yè）链”。

黑色产业链

有人负责发（fā）掘漏洞，有人（rén）负（fù）责根据（jù）漏洞（dòng）开（kāi）发利用（yòng）工具，有人负责漏洞利用工具的销售，有人（rén）负责刷库，有人负责洗库，有人负责（zé）销售，还（hái）有人利用数据库钓鱼（yú）、诈（zhà）骗、发送（sòng）垃圾邮件

大规模的泄密事件，也（yě）使得互联（lián）网江湖中最为（wéi）隐秘的黑色产（chǎn）业链再度（dù）引（yǐn）人关（guān）注。“熊猫烧（shāo）香”病（bìng）毒让（ràng）公众知道了病毒黑色产业链，而此（cǐ）次的泄密事件则指向了数据交易（yì）的黑色产（chǎn）业链。

马杰告诉财新《新（xīn）世纪》记者，最近几年，“黑帽子”黑客圈内（nèi）的盈利模式（shì）发生了一（yī）些变化。最（zuì）早是“挂马（mǎ）”比较挣（zhèng）钱（qián），通过发现漏洞（dòng）SQL注入，然后（hòu）想办法获得网站权限，在网页上挂上（shàng）木马程序，中了木马程序的机器（qì）就（jiù）成为“肉鸡”，通过木马控制“肉鸡”来赚钱。比如说盗（dào）号、弹窗、导流量等。

“早几年木马猖獗（jué）的时候，一个（gè）服务（wù）器能控制几万台的‘肉鸡’。即使只是IE自动跳转到某一页面，每年也（yě）能带来可观的流量和收入。”李铁（tiě）军说，还有黑客利用（yòng）系（xì）统漏洞（dòng）和（hé）木（mù）马进行“钓鱼（yú）诈骗（piàn）”，从个人客户一端入侵网银（yín）系统，进行非法转（zhuǎn）账（zhàng）等。

后（hòu）来，“挂马”和“钓（diào）鱼”被各大安全公司打击（jī）得非常厉害（hài），特别（bié）是免费杀毒软件在（zài）个人终端的普及。而（ér）这个时候，地下黑（hēi）客（kè）发（fā）现，刷库是个更快、更直（zhí）接的赚钱方法。

最（zuì）近几（jǐ）年，围绕数据交易的黑色产业链正在逐步形成（chéng）。在地下黑客圈内，一些大型（xíng）网站的数据库被明码（mǎ）标价，一个数据库整个端下来，价值数百万元到上千（qiān）万元不等。

拖（tuō）库成功后，到手的数据库可以有很多用途，比（bǐ）如直接卖（mài）给被刷库网站的竞争对（duì）手。黑客还可以利（lì）用部（bù）分互联网用户（hù）“多家（jiā）网站一个（gè）用户名一（yī）个密码”的习惯，去试探（tàn）别的网站数据库。这叫“撞库”，技（jì）术上也很容易实现，只（zhī）需要编写（xiě）一（yī）个脚本，自动不断用已盗取数（shù）据库里的信息去请求登录。由（yóu）于都是（shì）正常请求，被撞的网站也很难防范，所以也会有网站“躺着中枪（qiāng）”。

安全业内人（rén）士称，刷库之（zhī）后，黑客拿着数据库去“撞”有（yǒu）虚拟币（bì）系统的游戏网站、腾讯，以（yǐ）及网上银行、支付宝及电子商务网（wǎng）站（zhàn），都是必然（rán）会发生的事情。如果撞（zhuàng）到（dào）了重合用户，将其账（zhàng）号内虚拟（nǐ）资（zī）产、网银洗劫一空都是再自然不过了。

经过多次（cì）倒卖和“洗库”之后，数（shù）据库还（hái）能被卖给价值（zhí）链的末梢买家——利用账号信息来发送广告、垃圾邮件、垃圾短（duǎn）信的推（tuī）销公司。通常情况下，数（shù）据库的价格（gé）越（yuè）卖越便宜，流传（chuán）的范围也就越广，距离曝（pù）光也就越（yuè）近。

而在（zài）整条黑色产业链中，分工也（yě）比较明确。最核心和最难的是发掘漏洞，这对技术（shù）的要求最高，能发掘漏洞（dòng）的黑客也比较（jiào）少（shǎo）。吕延（yán）辉介绍，在（zài）地下黑客（kè）中，有人专门负责发掘漏洞（dòng），有人（rén）专（zhuān）门（mén）负责根据漏洞开发利用工具，有人负责漏洞利（lì）用工具的销售，有人负责刷（shuā）库，有人（rén）负责洗（xǐ）库，有（yǒu）人（rén）负责数据（jù）库（kù）的销售，最后端（duān），还有人利用数据库钓（diào）鱼（yú）、诈（zhà）骗、发送垃圾邮件。

有网络安全人士估算，目前互联网的地下黑色产（chǎn）业链（liàn）规模已经达到上千亿元，而安全行业的规模目前还只（zhī）有几百亿元，“就像毒品（pǐn）的市场规（guī）模反而大（dà）于麻（má）醉（zuì）药的市场规模”。

失能的法律（lǜ）防火墙（qiáng）

周汉华表示，“当网站的（de）资料和个（gè）人信息紧密相连，安全却没（méi）有保障，这种情况下，实名制（zhì）是相当危险的（de）”

刘辉判断（duàn），这（zhè）次泄（xiè）密事件将注定会是互联（lián）网发展历（lì）史上一件大事。一方面（miàn）是对互联网业（yè）务发展模式的影响；另一方面，则（zé）是互（hù）联网行业安全（quán）规范机制的建立已势在必（bì）行。

“短期内，互联网行业的发展（zhǎn）会受到一（yī）定的（de）影响。”刘辉说，例（lì）如近两年（nián）兴起的云计算服务，现在提供云服务的互联网公司（sī）必须要（yào）重新建立用（yòng）户的信息，并说服用户上传至（zhì）云端（duān）的资料是安全的。要说服用户，就需要相应的安（ān）全承诺及（jí）安全认证机制。

蒋（jiǎng）涛（tāo）也表（biǎo）示，这次（cì）泄密事件相当于（yú）给整个互联网（wǎng）业（yè）上了一课（kè）。“CSDN也是专业的（de）IT社区平台（tái），我们（men）会（huì）利用这个平台来加强安（ān）全（quán）的教育和普及，提升互联网（wǎng）行业的安全意识。”他（tā）说，除了加（jiā）强自（zì）身的（de）安全性，这是（shì）CSDN在2012年要去做（zuò）的（de）重（chóng）要事情，“互联（lián）网上（shàng）各大网站的关联度越来越（yuè）高，安全已（yǐ）经不（bú）是（shì）一家两家的问题，而（ér）是全（quán）行业（yè）的问题”。

在全世（shì）界，身份的盗（dào）用和密码的泄露每天都会（huì）出（chū）现，但（dàn）与发达国家（jiā）不同的是（shì），这次密码泄露（lù）事件（jiàn）发生后，各方（fāng）几（jǐ）乎束手无策。“大家（jiā）都不知道怎么去保护自己的权（quán）利，大家就只能看着发生，等着下（xià）一次（cì）什么时候发（fā）生。”中国社会科学院研（yán）究员周汉华（huá）对财新《新世纪（jì）》记者说，“我们的（de）问（wèn）题是（shì）没有有（yǒu）效（xiào）的管理手段，没有可以（yǐ）适用的法律。”

在亚太网络法律（lǜ）研究（jiū）中心主任刘德良教授看来，个人信（xìn）息在网络时代越来越具有商（shāng）业价值，这（zhè）也是目（mù）前非法收集、加工（gōng）、买卖和商业（yè）性滥用个人信息行为日益泛滥的内在驱动力。针对如（rú）此严重的网络的个（gè）人信息安全威胁，法律的（de）“防（fáng）火（huǒ）墙（qiáng）”为何失（shī）能以及如何（hé）重构，成为一个急需解决（jué）的问题（tí）。

上海一位经侦人员对财新《新世（shì）纪》记（jì）者介绍，他们（men）曾经侦办过一个利用个人信息实施（shī）犯（fàn）罪的案子。有人发现几百万元银行存款莫名消失（shī），于是报案。此案涉及几百万（wàn）条的（de）车（chē）主（zhǔ）信息数据（jù）库，这些信息有黑客攻（gōng）击（jī）得到的，也有银行、保险业（yè）的内（nèi）部（bù）人泄露（lù）出来的。犯罪（zuì）分子的作案（àn）手法是，通过内部泄露（lù）或者黑客攻击得到（dào）包（bāo）括车（chē）主姓（xìng）名和身份证号码的用户信息库（kù），找银行的人（rén）查（chá）开户信息，这个行话叫“包行”，几百块就能做。得到卡号后，然后（hòu）猜密码，利用黑客软件和银行卡进行（háng）比对。

从（cóng）刑（xíng）事法律来看（kàn），2009年《刑法（fǎ）》修正案增加了“非法（fǎ）侵入（rù）计算机（jī）信息（xī）系统（tǒng）罪（zuì）”的条款，“违反（fǎn）国家规定，侵入计算机信息系统或者采用（yòng）其（qí）他技术手段，获取该计算机信息系统中存储（chǔ）、处理或者（zhě）传输（shū）的数据，或者对该（gāi）计算机信息系统（tǒng）实施非法（fǎ）控制（zhì），情节严（yán）重的，处三年以下有期徒刑或者（zhě）拘役，并处（chù）或者单处罚（fá）金；情（qíng）节特（tè）别严重的，处三年以（yǐ）上七年以（yǐ）下有期徒刑，并处罚金”。

同年，全国人大常委（wěi）会还出台《侵（qīn）权责任法》，规定网络服务提（tí）供（gòng）者和网络用户利（lì）用网络侵害他人民事权益（yì）的，应当承担（dān）侵权责任（rèn）；网络（luò）服务提（tí）供者（zhě）知道网络（luò）用户利用其网（wǎng）络服务侵害他人民事（shì）权益，未采取必要措施（shī）的，与该网络（luò）用户（hù）承担连（lián）带责任。2000年，全国人大常委（wěi）会又专门制定了《关于维护互联网安全的（de）决定》，重（chóng）申各种互联网违法（fǎ）的刑事责任和民事（shì）责任。

在行（háng）政监管层面，除了（le）国务院（yuàn）在1994年制定的《计算机信息系统安全保护条例》，作为全（quán）国计算机系（xì）统安全（quán）保护（hù）工作主管（guǎn）部门的公安部（bù），也制定了《信息安全等级保护管理办法》以及（jí）《计算机信息（xī）系统安全保护（hù）等（děng）级划分（fèn）准则》《信息系统安全（quán）等级保护基本（běn）要求》《信息系统安全等级保（bǎo）护测评要（yào）求》等30多个标准。

多重（chóng）的（de）法（fǎ）律规定，为何（hé）实（shí）施效果不佳？周汉华（huá）认为，《刑法》的适用（yòng）门槛比较高（gāo），需要（yào）“违反国家（jiā）规定”和“情节严重”的条（tiáo）件，何况（kuàng）这两个条件目前（qián）都缺乏相应的（de）标准。而《侵（qīn）权责任法》的适用，在网络环境下，当（dāng）事（shì）人举证非常困难，而且存在成本投入和收益不对称的情况。

周汉华认（rèn）为，《刑法》和《侵权责任法》都属于事后救济，在网（wǎng）络时代，由于损害的发生是系统性的、不可复原的，所以对网络（luò）安全以及个人信息进行全流程（chéng）的监管才更为有效。目前对于这种全流（liú）程的监管（guǎn），中（zhōng）国既缺乏专门的（de）法律，也（yě）没有专门的执（zhí）法机关，搜集个人资（zī）料的企业所应承担的相应的安全责任以（yǐ）及相应的信息流管理行（háng）为规范都缺（quē）失。“这就（jiù）是（shì）为什么要（yào）制定《个人信息保护（hù）法》的（de）原因。”周汉华称。

据财新《新世纪》记（jì）者（zhě）了（le）解（jiě），早在2003年之时，周汉华曾经受当时的（de）国务院（yuàn）信息化办公室委托，主持《个（gè）人信息保护（hù）法》的（de）立法研究，并且在2005年（nián）形成了（le）一份专家意见稿。但时隔多年，这（zhè）部（bù）法律的立法工作迟迟未（wèi）被（bèi）启（qǐ）动（dòng）。

刘德良教授认为，在当前（qián）中（zhōng）国的法律框（kuàng）架下，把个人信息都纳入人格权的范（fàn）畴，而不承认个人信息的商（shāng）业价值也是个人的财产；人格权受到（dào）侵害（hài）后（hòu），原则上也不（bú）能要（yào）求财产损害赔偿。因此他提出，对于个人信息的（de）法（fǎ）律保护，应该包括隐私上的人格（gé）利益和（hé）个人信息的商业价值这双方面，将个（gè）人信息（xī）的商业（yè）价值视为个人的财产，未经允许擅（shàn）自收集和（hé）商（shāng）业性利（lì）用个人隐私，既是一种侵犯人格权的行为（wéi），也是一（yī）种（zhǒng）侵害财产（chǎn）权的行为（wéi）。