然而，潘多拉（lā）魔盒已经打开，CSDN数据库的（de）泄（xiè）露仅（jǐn）仅是（shì）个开始。“没想到后面的事情（qíng）越来越大，已经到了不可（kě）收拾的程度。”蒋涛（tāo）说。

12月22日（rì），知名IT博（bó）客“月光博客（kè）”披露，多玩网（wǎng）数据库泄露超过（guò）800万条信息，有（yǒu）大量（liàng）用户（hù）名、明文密码（mǎ）、邮箱及（jí）部分加密密码。“经过验证（zhèng），使（shǐ）用该数据库中（zhōng）的用户名和（hé）密码可以正（zhèng）常登录多玩网。”

同日，标注为“人人网500万用户资料”的文件（jiàn）开始在网上流传，嘟嘟牛、7k7k、178游（yóu）戏网（wǎng）、CSDN等多（duō）家网（wǎng）站（zhàn）数据库文件的截图也出现（xiàn）在微博上，涉及的用户（hù）信息总（zǒng）量超（chāo）过5000万条。但人（rén）人网否认（rèn）用（yòng）户数据遭到泄露（lù），他们在（zài）官方微博（bó）上（shàng）提醒称，“如果（guǒ）您的人人（rén）网（wǎng）账号密（mì）码和（hé）CSDN或其他网站一致，建议您（nín）马上修改密码，以免账号被盗。”人人网相（xiàng）关人（rén）员在接受采访时表示，提醒用户只是出于安全（quán）考虑。

12月（yuè）25日，泄密规模进一步（bù）扩大（dà），网络上开始（shǐ）流（liú）传天涯论坛的用户数（shù）据（jù）库，信息（xī）总量（liàng）超过4000万条。随后，这一新闻（wén）被天涯社区官方致歉信证实：由于历史原因，天涯社区早期使用明文（wén）密码，在2009年（nián）11月（yuè）改成加密密码，但是部分老的（de）明文密码库未被清理，黑客泄露的正是2009年（nián）11月升级密码保存方式之前所注（zhù）册的用户。不过天涯社（shè）区并未在公（gōng）告（gào）中对泄露的用户规模进行确认。天涯社区公关（guān）经理初蒙（méng）在接受财新《新世纪》记者采（cǎi）访时表示，确认用（yòng）户（hù）信息遭（zāo）泄露后，已（yǐ）经向海南（nán）省公（gōng）安（ān）厅、海口市公安局报案，案件目前正在侦查之中。

12月26日（rì），网上又（yòu）传出新浪微（wēi）博的用户资（zī）料疑似被（bèi）泄（xiè）露（lù），并（bìng）公布（bù）了新（xīn）浪微博数据（jù）下载地址。这个疑似数据库一（yī）共有约476万条账户和密码（mǎ）信息。

此后，泄密事（shì）件继续发酵升级，传闻开（kāi）始波及到电子商务及银行系统。12月27日，乌云漏（lòu）洞报告平台披露京东商城的（de）漏洞，“在某些业（yè）务上存在用户权限（xiàn）控制不当的漏洞（dòng），导致任（rèn）意用户登录系统后，都可以正常访问到所有用户的信息，包括（kuò）姓名、地址、电话、Email等。”这一（yī）漏洞报告（gào）得到了京东商城方面的（de）响应。

12月28日（rì），“当当网1200万用户（hù）信息遭（zāo）泄露”的说法亦被（bèi）“小（xiǎo）部分”证实。当当网（wǎng）的公告称：“经核实，网络公（gōng）布的信息数据只（zhī）有（yǒu）极小部分属实，且均（jun1）系（xì）2011年6月之前的老数据，该部分数据是由于之前遭到网络黑（hēi）客攻击被盗取。”

乌云漏洞报告（gào）平台（tái）在12月（yuè）28日（rì）也（yě）再次报（bào）告（gào）称，“支（zhī）付（fù）宝用户（hù）大（dà）量（liàng）泄露，被用于网（wǎng）络（luò）营销（xiāo），泄露总量达1500万（wàn）-2500万之多，泄露事件（jiàn）不明（míng），里（lǐ）面只有支付宝用户的（de）账号，没有密码”。支付宝随后回（huí）应称（chēng），支（zhī）付宝账（zhàng）号不是私密信（xìn）息，在很多（duō）地方都可以搜集到，只（zhī）有账号没有密码，对用户资金安全没有（yǒu）任（rèn）何（hé）威胁（xié），“支付宝采取金融级的信息安全（quán）标准（zhǔn）去（qù）保（bǎo）护用户信息及资金安全，我（wǒ）们承诺没有任何（hé）人能（néng）从支付宝获得用户（hù）的密码等私密信息（xī）。过去没有，以后也（yě）没有，请大家放心”。

但12月（yuè）29日，更（gèng）吓人的消息又在（zài）网上疯传：交通银行、民生银行分别泄露用户资料（liào）7000万和3500万份，“卡号（hào）、姓名、密码都有（yǒu）”，并配有截图。当天（tiān）下午，交通银行、民（mín）生银行、工商（shāng）银行等分（fèn）别（bié）发（fā）布公（gōng）告（gào）辟谣（yáo），称（chēng）“用户资料外泄的（de）传闻纯属谣言”。

当日晚间，又有网友披露称，广东省公（gōng）安（ān）厅出入境政府服务（wù）网网上申请数据泄露，几乎所有提交（jiāo）网上申（shēn）请（qǐng）用户的真实姓名（míng）、出生年月、电话、护照号码、港澳通行证（zhèng）号码等信息均可查（chá）到，泄露的总信息量高达444万条。这一信息被广东省（shěng）公安厅证实（shí）：2011年6月24日至2011年12月29日期间，在广东申请出入境的用户信息遭到泄露。

仅仅一个星期（qī），泄（xiè）密已经从CSDN一家网（wǎng）站的危（wēi）机演（yǎn）化成为了席卷整个互联网的大事件。一时（shí）间，各大网站人人自（zì）危，真假数据库屡屡出现。国家互联网应（yīng）急中心对所曝光的数据进行了抽查核（hé）实，发现部分数据是有效的，经过（guò）与（yǔ）相（xiàng）关网站、论坛联系后，确认（rèn）CSDN社区、天涯社区两家（jiā）网站发生了用户数据泄（xiè）露事件，但泄露原因还有待（dài）进一步（bù）分析；对于（yú）其他（tā）网站、论坛（tán），虽然曝（pù）光数据中个（gè）别（bié）条（tiáo）目有（yǒu）效，但不能判定发（fā）生了网站、论坛用户数据泄露（lù）事件。

金山网络反病毒工程师（shī）李铁军12月30日接受（shòu）财新《新世纪》记（jì）者（zhě）采访时则表示，根据他（tā）们从网上下载的（de）数据（jù）库，剔（tī）除重复信息之后，有超过1亿条的用户信息在此次事件（jiàn）中（zhōng）泄（xiè）露。

一位不愿具名的网络安（ān）全工程（chéng）师（shī）也向财新《新世纪（jì）》记者证实，经过重（chóng）合（hé）度（dù）分析、数据（jù）库格式（shì）判（pàn）断等验（yàn）证分析，基本可以断定（dìng）“有十几家（jiā）网站的数据库（kù）比较靠谱，应该（gāi）是真实的”。

大规模用户（hù）数据泄密后，各种“浑水摸鱼者”也随之而（ér）来。蒋涛告诉（sù）财新（xīn）《新世（shì）纪》记者，一些人开始制造假（jiǎ）的（de）数据库来混淆视听；一些（xiē）网站通知所有用户修改密码，以乘机激活“沉睡”用户；甚至一些网站把曝光的数据库（kù）直接导入自己的（de）数据库，然后发通知给用户修改密码，不费（fèi）吹灰之力即（jí）获（huò）得上（shàng）千万规模的用户。当然，对用（yòng）户影响最直接的是各种（zhǒng）垃圾邮件、钓鱼邮件多了起来。

真（zhēn）正令人担心的是，或许还有（yǒu）更大规模的数据被地下（xià）黑客所掌握，只是没有公布而（ér）已。著（zhe）名网络安全专家龚蔚（goodwell）公（gōng）开表示，这次曝（pù）光（guāng）的1亿多（duō）条（tiáo）用户账（zhàng）号（hào）及（jí）密码等相关信息（xī），只是黑客所掌握数据的“冰（bīng）山一角”，预计（jì）有将近4亿-6亿的用户账号信息（xī）在黑客地下（xià）领域（yù）流传。

翻过（guò）新年（nián），此波网络账号信息泄密（mì）的浪潮仍有（yǒu）余波。1月（yuè）4日，一位（wèi）网络ID为“网路（lù）游侠”的“白帽黑（hēi）客（kè）”在自（zì）己的博客上发布了新浪的漏（lòu）洞：新浪iask站点存（cún）在SQL注（zhù）入（rù）漏洞，利用漏（lòu）洞可以读取iask数（shù）据库内（nèi）容（róng），包括（kuò）明文密码在内的（de）7000多万新浪（làng）用户（hù）信息。由（yóu）于新浪实行“全站一号登（dēng）录”，黑客利用（yòng）这个（gè）漏洞还可以获得（dé）新浪微（wēi）博的相关账（zhàng）号（hào）信息。“网路游侠（xiá）”以知名魔术师刘（liú）谦的微博为例，通过（guò）构造数据库（kù）查询语（yǔ）句就轻松获得了刘谦的账号及密码信息，并成功登录（lù）。当（dāng）天（tiān）晚间，刘谦在微（wēi）博上转发该博（bó）客，证实（shí）此（cǐ）事。不过（guò），“网路游侠（xiá）”称，这个漏洞他是在1月1日发现，已及时通知新浪（làng）官方，并在新浪修复了（le）该漏洞后才在（zài）博客上公（gōng）布文章，供参考学习之用。

截至发稿，新浪方面对此事尚（shàng）未做出回应。事实上（shàng），早在2010年10月，乌云漏洞平台就（jiù）曾报告称新浪iask站（zhàn）点存（cún）在SQL注入漏洞的安全问题。

偶然中的必然

“这些数（shù）据库在黑客圈几年前就有了，这（zhè）一次只不过是（shì）个比较集中的爆发（fā）”

是谁（shuí），在（zài）什（shí）么时候，拿走了这些（xiē）涉（shè）及用户隐私的数据？原（yuán）本隐（yǐn）秘在黑客圈的数（shù）据库缘（yuán）何会（huì）曝光在公众面前？互联（lián）网是否还有安（ān）全可言？此轮网络大泄密，让这些问题（tí）成了普通互联网（wǎng）用户最自然的追问。

“这些数据库在黑客圈几年前就有了，这一次只不过是个（gè）比较集中的（de）爆发。”安全宝CEO马（mǎ）杰（jié）对财新《新世（shì）纪》记者称（chēng），CSDN数（shù）据库的曝光看似偶然，实则必（bì）然。“冰（bīng）冻三尺（chǐ）非一日之寒（hán），互联网行业安全问题的累积已经太多了（le），迟早会爆发。”马杰在安全行（háng）业（yè）超过十年，曾任（rèn）瑞星研发总经理，负责（zé）个人和企业的安（ān）全产品。

这也是网络安全行（háng）业（yè）人员近（jìn）乎一致的观点。天（tiān）融信公司（sī）高级安全顾（gù）问（wèn）吕（lǚ）延辉向财新《新世纪》记者证实（shí），最早（zǎo）在2008年时，就曾听说有一（yī）些网站的数据库在黑客圈流传（chuán）。

本次（cì）密码（mǎ）信息最先被（bèi）公布的CSDN社区（qū），后来曾组织安全专家进行讨论，得知公司的数据库事实上早就在黑客的（de）手上了。“并不是说这一刻先攻破了CSDN，放出数据库，然后下一刻攻（gōng）破了天（tiān）涯再放出数据库。而是这些数（shù）据他们（men）手上一直都有，只不过（guò）抛出来的时间不一样。”蒋涛说（shuō）。

天融信成（chéng）都分公司技术（shù）负责人（rén）邹（zōu）晓波称，早期（qī）的（de）很多（duō）网站，都可以通过（guò）服务器渗（shèn）透，取得（dé）后台数据库的权限，直接（jiē）取（qǔ）得数据。“黑客圈内人（rén）都知道谁（shuí）被（bèi）盗了，他们不一定公布，但是（shì）会炫耀，在小范围内流传，大部分（fèn）没有去（qù）获利。”

CSDN社（shè）区数（shù）据库的曝（pù）光（guāng），曾经（jīng）被指向一名ID为Hzqedison的金山公司员工，他分享数据库下载（zǎi）地址的（de）截图（tú）最早在（zài）网上流（liú）传。12月22日，CSDN数据（jù）库（kù）外泄一事被（bèi）广泛关注（zhù）的时候，Hzqedison在新浪微博表示道歉。随后，金山公司也发表声明，金山员工并非网络（luò）上（shàng）传言的黑客（kè），并非最早对外发布密码库的第一人。

Hzqedison解（jiě）释（shì）了（le）事情的经过：“12月21日（rì），我在一个聊（liáo）天群里看（kàn）到（dào）CSDN数据库的迅（xùn）雷（léi）下载地址，就（jiù）离线下载了该文件（jiàn）来检查自己账号是（shì）否被泄露。为了让（ràng）同事们（men）也检查，才做（zuò）了分享贴到同事（shì）群里（lǐ）。5分钟后，该地址截（jié）图被（bèi）发到了乌云漏洞报告平台上，得知后（hòu）我立即删除了迅（xùn）雷分享地址（zhǐ）。因（yīn）为删除很及时，该地址只有几名同事下载过，而且从未将数据库（kù）文件外泄。”

李（lǐ）铁军告（gào）诉财新《新世纪》记者，据他了（le）解，当时该金山员工上传（chuán）CSDN数据库时，是“秒传”的，说明这个（gè）数据库（kù）文件（jiàn）在迅雷（léi）下载（zǎi）服务（wù）器中早已存在（zài）。

“是谁最早上传了（le）这（zhè）些数（shù）据库，现在已经很（hěn）难（nán）确定。”李铁军（jun1）说，除（chú）了CSDN的数据库（kù），还（hái）有其他网（wǎng）站的数据库（kù）一起（qǐ）在网上流传。因为CSDN的影响力（lì）比较大（dà），所以就传开了（le）。

事实上，CSDN数据库曝光（guāng）之前已有征（zhēng）兆。李铁军告诉财新《新世纪》记者，他（tā）在（zài）12月14日前后，即（jí）泄密（mì）事件发生的（de）前一周，就已（yǐ）经（jīng）注（zhù）意到有（yǒu）很多网友在新（xīn）浪微博上反映账（zhàng）号被盗，“这是黑客在（zài）用数据库去试探新浪的数据（jù）库，有些就撞到了（le）”。

马（mǎ）杰分析，这次曝（pù）光的网站数据库应该是最近（jìn）几年间连续（xù）不断被刷库（kù）的。“安全圈也（yě）知道，这几（jǐ）年（nián）地下（xià）黑（hēi）客圈在刷库，也知道一些数据库在黑（hēi）客圈流传。”

所谓刷库，是（shì）指黑（hēi）客（kè）入侵网站服务器之后窃取用户数据库的（de）行为，互联网业内也称其（qí）为“拖库（kù）”，取其谐音，也形象称之为“脱（tuō）裤”

看上（shàng）去，金（jīn）山员工“偶然”的（de）发现和（hé）分（fèn）享（xiǎng），加上地下（xià）黑客累积经年（nián）的刷库行为，以及数（shù）据库在圈子中的一轮轮（lún）扩散，最终促成了这（zhè）次网站数据库大规模的曝光。

但是（shì），这里面（miàn）依然（rán）隐藏着两个问题。第（dì）一，金山（shān）员工如何能“偶然”发（fā）现原本在（zài）地下黑客圈流（liú）传的数（shù）据库？第二，仅是CSDN的数据库曝光，缘何能引（yǐn）发一连串（chuàn）的数据库浮出水面？

地下黑客（kè）圈传（chuán）输或交换文件，一般都是（shì）点对点的传输，有时（shí）甚至通过邮寄移动硬盘或光盘来实（shí）现。但随着被刷的数据（jù）库越（yuè）来越多，转手的次数（shù）越来（lái）越（yuè）多，参与的人数也越来越多，出（chū）错和曝光的概率就越来越大。

乌云漏洞报（bào）告（gào）平台（tái）的创建人剑心分析说（shuō），由（yóu）于不同黑客掌握的数据库各有（yǒu）不同，刷出来的（de）数据库会在黑客圈中交换（huàn），这样就会一（yī）轮一（yī）轮的（de）扩（kuò）散。很有（yǒu）可能是某（mǒu）个人在转手传播的过程中，由于文件太大，无法实（shí）现网络上点对点的传输，不得不利用（yòng）迅雷、网盘一类的工具进行上（shàng）传和下载。在这过程中，工具会把这些文件泄露出（chū）来，甚至会在搜索“数据”等关键词时出现推荐。这样扩散的范围就更大，进（jìn）入与黑客圈有（yǒu）交（jiāo）流的安全（quán）圈也就不足为奇（qí）了。

至于网站用（yòng）户密码连续（xù）被报丢失的现（xiàn）象（xiàng），吕延辉解（jiě）释（shì）说，一些数（shù）据库曝光之后，黑客（kè）手（shǒu）中那些与之雷同的数据库（kù）就没有价（jià）值了（le）。并且，引发公众关注后，基本所有网站都会通知用户修（xiū）改密码，政府（fǔ）相（xiàng）关部门可能还（hái）会介入，那么（me）其他的（de）一些非核心数据库的（de）价值（zhí）也就更低了。

吕延辉表示，可以看出（chū）来（lái），这（zhè）次曝光的数据（jù）库都是在（zài）地（dì）下黑（hēi）客圈转手（shǒu）很多次的，本身价值也不大，再（zài）加上CSDN数据库的曝（pù）光，其他数据库的含金（jīn）量进一步降低，那些手上有（yǒu）库的人抛出（chū）来也不奇怪，这才形成（chéng）了（le）一连串（chuàn）的规（guī）模效应。

脆（cuì）弱的网（wǎng）站安全

泄密事件，将众（zhòng）多网站（zhàn）在安全方面的脆弱（ruò）暴露无（wú）遗。知名（míng）网络安（ān）全专家、安天实验室（shì）首席技术架（jià）构师（shī）江海（hǎi）客直言，这是一（yī）个安全崩（bēng）盘的时代。

安全圈内资深（shēn）人士的共（gòng）识（shí）是，被黑客攻（gōng）击和刷库（kù），各大网站几乎是无一（yī）幸免，只是（shì）程度和范（fàn）围的不同。在做安全行业的人看来，目前大部分网站的（de）安全（quán）性都（dōu）不足。“这一次表（biǎo）面上看是明（míng）文密码（mǎ）库的问题，但实际上多数网站从根本上都（dōu）没（méi）有重视（shì）自身的信息安全。”天融信公司副总裁（cái）刘辉对财新《新世（shì）纪》记者（zhě）表示，网（wǎng）站把绝大部分资（zī）金投入到日常运营中，只有被攻击或吃过教训后，才想起来安全的重（chóng）要性。

“一些网站之（zhī）所以（yǐ）容易被（bèi）‘脱裤’，很大一部分原（yuán）因就（jiù）是因为本身就穿得太少了。”刘辉说（shuō），很多经营性网站（zhàn）甚至都没有专门的网络安全（quán）工程（chéng）师。

CSDN社区数据库在此次事（shì）件中最先曝光（guāng）。蒋涛也坦（tǎn）言（yán），“原（yuán）来对安（ān）全的认识还停留在相对（duì）低的水平上（shàng），觉得自己的数据不是什么关（guān）键（jiàn）数据（jù），别人（rén）拿去（qù）也没什（shí）么用。”

但这次一连（lián）串的数据库泄密事件（jiàn）证（zhèng）明，互联网存（cún）在很大的关联性（xìng），特别是拥有大量用户的网（wǎng）站，更不是一个孤（gū）立（lì）的存在，很（hěn）多用户的邮箱、账号都与别的系统相关联，一旦有事，就会造成跨网站的连（lián）锁反应。另外，由于安全问题出在了服（fú）务器端，普通用户基本没（méi）有办法（fǎ）防范（fàn），数据库被刷后（hòu）曝（pù）光出来，用户只（zhī）能被动（dòng）的修改密码。

马杰（jié）则指出，现在互联网从原来提供内容为主，到现在有很（hěn）多的网上购物（wù）与社交，网站的重要性（xìng）进入了另外一个层面，但安全现状停步（bù）不（bú）前。“现（xiàn）在网（wǎng）站数据（jù）中所包含信息的（de）价值在（zài）上升，但安（ān）全防护的措施（shī）并（bìng）没有加强。”他（tā）说。

另（lìng）一（yī）方面，专（zhuān）业做网站功（gōng）能、应用（yòng）和服务的人（rén），与专业做安全的（de）人，在（zài）技术思（sī）维（wéi）上也存在巨大（dà）差异（yì）。“一个B2C网站（zhàn）的程序员，做了一个系统（tǒng），花了几个月（yuè）的功夫，自己（jǐ）觉得没什么问题，然后请专业做安全（quán）的人去（qù）找漏洞，结果做不到十分钟就破解（jiě）了。”李铁军举例说，二者没（méi）有高下之分，只是职业的特（tè）征决定了思路（lù）上（shàng）的（de）差（chà）异。

思（sī）路上的差异，加（jiā）上安（ān）全意识（shí）的不到（dào）位，导致了网（wǎng）站安全的脆（cuì）弱。CSDN、天（tiān）涯社区至今仍未披（pī）露数据库（kù）外泄的具体原因。马杰告诉财新《新世（shì）纪》记者，从（cóng）技术上讲，有很多种方法可（kě）以刷库，“就像一个（gè）很大的房子，可（kě）以爬窗户、撬门，或者从烟囱进来，甚至（zhì）挖（wā）个地道进（jìn）来，就看（kàn）黑客想花多大的功夫和（hé）精力”。

通常来（lái）说（shuō），黑客都是通过（guò）发现网站或应用软件的漏（lòu）洞进入服务器，然（rán）后想办法提升（shēng）权限，就可以把数据库下载下来。对一（yī）些（xiē）防护比较弱的网站，甚至都不用进入（rù）网站就能刷库。安（ān）全行业资深人士TK说（shuō）：“只要分（fèn）两（liǎng）步，第一步（bù）找到一个SQL注（zhù）入点，执行一条备份（fèn）命令，备份到一（yī）个目录（lù）去；第二步，从（cóng）目（mù）录把数据下载（zǎi）回（huí）来。根本不需要获得网站的权（quán）限（xiàn），只要有SQL注入（rù）的漏洞，就可以爆库了。”

剑心告诉（sù）财新《新世纪》记者，决定在12月30日临时关闭乌云（yún）平台的其中一（yī）条原因，就（jiù）是担心后续几天爆（bào）出的网站漏洞会越来越多，引起（qǐ）互（hù）联网用（yòng）户的恐慌。乌（wū）云漏（lòu）洞报告平台是由一群互（hù）联网（wǎng）安全研（yán）究人员自发组（zǔ）织的信息（xī）安全沟通平台，研究人员在上面提交厂商的安全问题（tí），也披露一些通（tōng）用（yòng）的安全咨询和安全使（shǐ）用。有超过500个“白帽（mào）子”安全研究人（rén）员和（hé）120多个厂商参（cān）与平台（tái），反馈和处（chù）理了接近4000个安全问题（tí）。在泄（xiè）密事（shì）件引发大范（fàn）围关注后，乌云平台因曾多次发布相关安全漏洞预警而被关注（zhù）。

剑心（xīn）也证实说，目前国内除极少数（shù）大型网站外，可能都被黑客刷（shuā）过库，包括网易（yì）、搜狐在内（nèi）的门（mén）户，一些漏洞都是在（zài）乌云平台上被证实的（de）。此外（wài），近年来（lái）快速膨胀的电子商务（wù）网站，在剑（jiàn）心看来，安全性更是糟糕，乌云平台已经多次证实并报告了他们（men）的漏洞。这其中就包括11月10日所报告的当当网漏洞，可以抓取超过（guò）4000万条（tiáo）用户信息。

相对而（ér）言，金融系（xì）统的安全性较强。银（yín）行通（tōng）常会（huì）采用硬加密（mì）的技术，既不仅依（yī）靠登录密码和交（jiāo）易密码，还需（xū）有一个外在于密（mì）码系统的物理密（mì）钥（yào），比如（rú）发送（sòng）到手机（jī）的动态口令或U盾（dùn）密钥，其安全性要高于（yú）单靠密码的“软（ruǎn）加密”方式。但是，随着第三（sān）方支付、代收费、代缴费等业务的展开，银行系（xì）统需要开放（fàng）的接口也越来越（yuè）多，对（duì）银（yín）行（háng）系统的安全提出了更高的要求。

除网（wǎng）站的（de）安全性差外（wài），本（běn）次泄密事件（jiàn）中备受诟病（bìng）的还有明文（wén）密码库。所谓明文密码（mǎ）库（kù），即在对用户密码信息存储时未进行加密处理，黑客获（huò）得（dé）数据库后，所有（yǒu）的用户名、密码一目了然，更加（jiā）容易利（lì）用。

蒋涛解释称，各家网站的明文（wén）密码库都有复杂（zá）的历史原因，CSDN是（shì）在2010年9月之后（hòu）才采（cǎi）用了密文（wén）存储。“这不（bú）是一家（jiā）的问题，而是行业性的问题。”

但是，加密存储也并不一定意味着安全。多位（wèi）受（shòu）访（fǎng）的网（wǎng）络安全（quán）专家告诉财新《新（xīn）世纪》记者（zhě），现（xiàn）在相（xiàng）对简（jiǎn）单的MD5加密（mì）方法（fǎ）已经不安全，黑客圈建立了庞（páng）大的MD5值的“字（zì）典库”，通过“查字（zì）典”的方式很快就能破（pò）解还（hái）原。

马杰（jié）建议，在进行密（mì）文存（cún）储时，还需要（yào）对加密算法做一些改变，或（huò）多（duō）次加（jiā）密，安全性能才会有所提升。尽管通过“彩虹表”碰撞等（děng）方（fāng）法不（bú）存在破（pò）解不（bú）了的情况，但（dàn）至少会大大（dà）增加（jiā）破解的成（chéng）本和（hé）时间（jiān），降低（dī）数据库对（duì）黑客的吸引力。

乌云（yún）平台撰文称，最好（hǎo）的安全（quán）应该是自始至（zhì）终（zhōng）就有人为（wéi）安全负责，将安全落实到公司的（de）流程制度规范以及（jí）基础技术架构里去，形成（chéng）完善的安全体（tǐ）系，并且持（chí）续更（gèng）新迭代（dài），“如果以前没有这方面制度，就（jiù）从现（xiàn）在开（kāi）始（shǐ）建（jiàn）设；如果没有团队，就可以先找一些公司或者外部顾问。但（dàn）是记住，不要（yào）幻想（xiǎng）一次性的（de）投入（rù）就可（kě）以抵抗利益（yì）驱动长久进化的黑色（sè）产（chǎn）业链”。

黑色产业链

有（yǒu）人负责发掘漏（lòu）洞，有人负责（zé）根据漏洞开发（fā）利用工具，有人负责漏洞利用工具（jù）的销售，有人负（fù）责刷库（kù），有人负（fù）责洗库，有人（rén）负责销售（shòu），还有（yǒu）人利用数据库钓鱼、诈（zhà）骗（piàn）、发送（sòng）垃圾邮件（jiàn）

大规模的泄密事件，也使得互联（lián）网江湖中（zhōng）最为隐秘的（de）黑色产业链（liàn）再度引人关注。“熊猫烧香（xiāng）”病毒让公（gōng）众知道了病毒黑色产业链，而此次的泄密事件则指向了数（shù）据交（jiāo）易（yì）的黑色产业（yè）链（liàn）。

马杰告诉财（cái）新《新（xīn）世纪》记者，最近几（jǐ）年，“黑帽子（zǐ）”黑（hēi）客圈内（nèi）的盈利模式（shì）发生了（le）一些变化。最早（zǎo）是“挂马”比较挣钱，通过发（fā）现漏洞SQL注入，然后想办（bàn）法获得网站（zhàn）权限（xiàn），在网页上挂上木（mù）马（mǎ）程序（xù），中了（le）木马程（chéng）序的机器就成为“肉鸡”，通过木马控制“肉鸡”来赚钱（qián）。比如说盗号、弹窗、导流量等。

“早几年木马猖獗的（de）时（shí）候，一个（gè）服务（wù）器能控（kòng）制（zhì）几万台（tái）的‘肉鸡（jī）’。即使只是IE自（zì）动跳转到某一页面，每年也（yě）能带来可观的流（liú）量和（hé）收入。”李铁军说，还有黑客利用系统漏（lòu）洞（dòng）和（hé）木（mù）马进行“钓鱼诈骗”，从个人客（kè）户一端入侵（qīn）网（wǎng）银系统，进行非法转账等。

后来，“挂马（mǎ）”和“钓鱼”被各大安全公司打击（jī）得非常厉害，特别是免费杀毒（dú）软件（jiàn）在个人终端的普及。而这个时候，地下黑客发现，刷库是个更快、更（gèng）直接的赚钱方法。

最近（jìn）几年，围绕数据交易的黑色产业链正在逐（zhú）步形（xíng）成。在地下黑（hēi）客（kè）圈内，一些大型网站的数据（jù）库被明码标价（jià），一个（gè）数据（jù）库整（zhěng）个端下来，价值数百万元到上千万元（yuán）不等。

拖库成功后，到（dào）手的数据库可以有很多用途，比如直接卖给被（bèi）刷库网站的竞争对手。黑客还可（kě）以利用部分互（hù）联网用户“多家（jiā）网（wǎng）站一（yī）个用户名一个密（mì）码”的习惯，去试探别的网站数据（jù）库。这叫“撞库（kù）”，技术上（shàng）也（yě）很容（róng）易（yì）实现，只需要编（biān）写一个脚（jiǎo）本，自动不断（duàn）用已盗取数（shù）据（jù）库里的信（xìn）息去请（qǐng）求登录。由（yóu）于都是正（zhèng）常请求，被撞的网站也很（hěn）难防（fáng）范，所以也会（huì）有（yǒu）网站“躺着中枪”。

安全业内人士称，刷库之（zhī）后，黑客拿着数据库（kù）去“撞（zhuàng）”有虚（xū）拟币系统的游戏网站、腾讯，以（yǐ）及网上银（yín）行、支付宝及（jí）电子商务网（wǎng）站，都是必然会发（fā）生（shēng）的事情。如果（guǒ）撞到了（le）重（chóng）合用（yòng）户，将其账号内虚拟资产、网银洗劫一（yī）空都是再自然不过了。

经（jīng）过多次倒卖和“洗库”之后，数据库还能（néng）被（bèi）卖给价值（zhí）链的末（mò）梢买家——利（lì）用账号信息来发送广告（gào）、垃圾邮（yóu）件、垃圾短信的推销（xiāo）公司。通常情况下，数据库的（de）价格越卖（mài）越便宜，流传（chuán）的范围也就越广，距离曝光（guāng）也就越近（jìn）。

而（ér）在整条黑（hēi）色产业链中，分（fèn）工也比较（jiào）明确。最核（hé）心和最难的是发掘（jué）漏洞，这对技术的要（yào）求（qiú）最高（gāo），能发掘漏洞的黑客也比较（jiào）少（shǎo）。吕延辉介绍，在地下（xià）黑客中（zhōng），有人专（zhuān）门（mén）负（fù）责（zé）发掘漏洞，有人专（zhuān）门负责根据漏洞开发利（lì）用工具，有人负责漏洞利用工具的销售，有人（rén）负（fù）责刷库，有（yǒu）人负（fù）责洗库，有人（rén）负责数据库的（de）销售，最后端，还有人（rén）利（lì）用数据库钓鱼、诈（zhà）骗、发送垃（lā）圾（jī）邮件（jiàn）。

有网络（luò）安全人士估（gū）算，目前互联（lián）网的地下黑色产业链（liàn）规模已经达（dá）到上千亿元，而（ér）安全行（háng）业的规模目前还（hái）只有几百（bǎi）亿元，“就像毒品的市场规模反（fǎn）而（ér）大于麻醉药的市场（chǎng）规模（mó）”。

失能的法律防火墙

周（zhōu）汉华表示，“当网站（zhàn）的资料（liào）和（hé）个（gè）人信息紧密（mì）相连，安全却（què）没有保（bǎo）障，这种情况下，实（shí）名制是相（xiàng）当危险的（de）”

刘辉判断，这次泄密事件将注定会（huì）是互联网（wǎng）发展历史上一件大事。一方面是对互（hù）联网业（yè）务（wù）发展模式（shì）的影响；另一（yī）方面，则是互联网行业安全（quán）规范机制的建立已势在（zài）必行。

“短期内，互联网行业的（de）发展会（huì）受到一定的影响（xiǎng）。”刘辉说（shuō），例如近两年兴起的云计算服务（wù），现在提供云服务的互联网（wǎng）公司必须要重新建立用户（hù）的信（xìn）息，并说服（fú）用（yòng）户上（shàng）传（chuán）至云端的（de）资（zī）料（liào）是安全的。要说（shuō）服用户，就需要相应的安全承诺及安全认证机制。

蒋涛也表（biǎo）示，这次泄密事件相当于给整个（gè）互联网（wǎng）业上了一课。“CSDN也是专业（yè）的（de）IT社区（qū）平台，我们会利用这个平台来（lái）加强安全的（de）教育和普及，提（tí）升互（hù）联网行业的安全意识（shí）。”他说，除了加强自身的安全性，这是（shì）CSDN在2012年要（yào）去做的重要事情，“互联网（wǎng）上各大网（wǎng）站的关联度越（yuè）来越高，安全已经（jīng）不（bú）是一家两家（jiā）的问题，而是全行业的问题”。

在全世界，身份（fèn）的盗用和密码的泄露每天（tiān）都会出（chū）现（xiàn），但与（yǔ）发达国家不同的是，这次（cì）密码泄露事件发生后，各（gè）方几（jǐ）乎（hū）束手无策。“大家都不知道怎么去保（bǎo）护自己的权利，大家就只（zhī）能看（kàn）着（zhe）发（fā）生，等着下一次什么时候（hòu）发生。”中（zhōng）国社会科学院研究员周汉（hàn）华对财新《新世纪》记（jì）者说，“我们的问题是（shì）没有有（yǒu）效的（de）管理手（shǒu）段，没有可以（yǐ）适用的法律。”

在亚太网络法律研究中（zhōng）心主任刘（liú）德良教授（shòu）看来，个人信息在网络时代越来越（yuè）具有商业价值，这也（yě）是目前非法收集（jí）、加（jiā）工、买卖（mài）和商业性滥用个人信息（xī）行为（wéi）日益泛滥（làn）的内在驱（qū）动力。针（zhēn）对（duì）如此严重的网络的个人信息安全威（wēi）胁（xié），法律的“防火（huǒ）墙（qiáng）”为（wéi）何（hé）失能以（yǐ）及如（rú）何重构，成为一个急需解决的问题。

上海一位经侦人员对财新《新世纪》记者介绍，他们曾（céng）经侦办过一（yī）个利用个人（rén）信息实施犯罪的案子。有（yǒu）人发现几百万元银行存（cún）款莫名（míng）消（xiāo）失，于是报案。此案（àn）涉（shè）及几百万条的（de）车主（zhǔ）信息数据库，这些信息（xī）有黑客攻击得到的，也有（yǒu）银行、保险业（yè）的内（nèi）部人（rén）泄露出来的。犯罪分子的作案手法是，通过内部（bù）泄（xiè）露或者黑客（kè）攻击得到包括车主姓名和身份证号码的用户信息库，找银行（háng）的（de）人查开户信息，这个行（háng）话叫“包行”，几（jǐ）百块（kuài）就能做（zuò）。得到卡号后（hòu），然后猜（cāi）密码，利用黑客（kè）软件和银（yín）行卡进行（háng）比对。

从刑事法律（lǜ）来（lái）看，2009年《刑法》修（xiū）正案增加了“非法侵入计算机（jī）信息（xī）系统罪”的条款，“违（wéi）反国（guó）家规定，侵入计算机信息系统或者采用其他技术（shù）手段（duàn），获取（qǔ）该计算（suàn）机信（xìn）息系（xì）统（tǒng）中存储、处理或者传输的数（shù）据（jù），或者对该计算机信息系统实施非（fēi）法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情（qíng）节特别严（yán）重的（de），处三年以上七年以下有期（qī）徒刑，并处罚（fá）金”。

同（tóng）年（nián），全国人大常委会（huì）还（hái）出台《侵权责任法》，规定网（wǎng）络（luò）服务提（tí）供者和网（wǎng）络用户利（lì）用网（wǎng）络（luò）侵（qīn）害他人民事权益（yì）的，应（yīng）当承担侵权责任（rèn）；网络（luò）服务提供者知道（dào）网络（luò）用户利用其网络服务侵害（hài）他人（rén）民事权益，未采取必要措施的，与该网络用户承担连（lián）带（dài）责任。2000年，全国人大（dà）常（cháng）委会又专（zhuān）门制定（dìng）了《关于维护互（hù）联网安全的决定》，重申各种互联网违（wéi）法的刑事责任（rèn）和（hé）民事责任。

在（zài）行政监管层面，除了国务院在1994年制定的《计算机信息系统安全保（bǎo）护条例》，作为全国计算（suàn）机系统安全（quán）保护工（gōng）作主（zhǔ）管部门的公安部，也制定（dìng）了《信息安全（quán）等级保护管理办（bàn）法（fǎ）》以及《计算机信息系统安全（quán）保（bǎo）护（hù）等级划分准（zhǔn）则》《信息系统（tǒng）安全等级保护基本要（yào）求（qiú）》《信（xìn）息系统安全等（děng）级保护测评要求》等30多（duō）个标准（zhǔn）。

多重的法律规（guī）定，为何（hé）实（shí）施效果不佳？周汉华认为，《刑法》的适（shì）用门槛比较高（gāo），需（xū）要“违反国家规定（dìng）”和（hé）“情（qíng）节严重”的条（tiáo）件（jiàn），何况这两个条（tiáo）件目（mù）前都缺乏（fá）相应的标准。而《侵权责任法》的适用，在（zài）网络环境下，当事人举证非常（cháng）困难（nán），而且存在成（chéng）本投入和收益（yì）不（bú）对称的（de）情况。

周汉（hàn）华认为，《刑法》和《侵权责任法》都属于事后救济，在网（wǎng）络时代，由（yóu）于损（sǔn）害的发生是（shì）系统性的、不（bú）可（kě）复原的，所以对（duì）网（wǎng）络（luò）安全（quán）以及个人（rén）信息（xī）进行全流程的监管才更为有（yǒu）效。目前对于这种（zhǒng）全流（liú）程（chéng）的监（jiān）管，中（zhōng）国（guó）既缺乏专（zhuān）门的（de）法律，也没（méi）有专门（mén）的（de）执（zhí）法机关，搜集个人资料的企业所应（yīng）承担的相应的安（ān）全责任以及相应的信息流管理行为规范都缺失。“这就是（shì）为什么要制定《个人（rén）信息（xī）保护法》的原（yuán）因。”周汉华称。

据（jù）财新（xīn）《新世纪（jì）》记者了解，早在2003年（nián）之时，周汉华曾（céng）经受（shòu）当时（shí）的国务院信息化办公（gōng）室（shì）委（wěi）托，主持《个（gè）人信息保护法》的（de）立法研究，并且（qiě）在2005年形成了（le）一份专家意见稿。但时隔（gé）多年，这（zhè）部法律的立法（fǎ）工作迟迟未（wèi）被启（qǐ）动。

刘（liú）德良教授认为，在当前（qián）中国（guó）的法律（lǜ）框架下，把（bǎ）个人（rén）信息（xī）都（dōu）纳（nà）入人（rén）格（gé）权的范畴，而不承认个人信息的商业价值也是个人的财产（chǎn）；人格（gé）权受到侵害后，原则上也不能要求财产损害赔偿。因此他提出（chū），对于个人信息的法（fǎ）律保护，应该包括（kuò）隐私上的（de）人格利益和（hé）个人（rén）信息的商业价（jià）值这双方面，将个人信息的（de）商（shāng）业价值视为个（gè）人的财（cái）产，未经允许擅自（zì）收集和商业性利用（yòng）个人隐私，既是（shì）一种（zhǒng）侵犯人格权的行为（wéi），也是一种侵害财产权的行为。