然而，潘多拉魔盒已经（jīng）打开，CSDN数（shù）据库（kù）的（de）泄露仅仅是（shì）个开始。“没想到（dào）后面（miàn）的事情越来越大（dà），已经到了（le）不可收拾的程度。”蒋（jiǎng）涛说（shuō）。

12月（yuè）22日，知名IT博客“月光博客”披露，多玩网数据库（kù）泄露超过800万条（tiáo）信（xìn）息，有（yǒu）大量用户名（míng）、明文密码、邮箱及部分加密（mì）密码。“经（jīng）过验证，使（shǐ）用该数据（jù）库中的用（yòng）户名（míng）和密码（mǎ）可以（yǐ）正（zhèng）常登录多玩网。”

同日，标注为（wéi）“人人网500万用户资（zī）料”的文件（jiàn）开始在（zài）网上流（liú）传，嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库（kù）文件的截图也出现在微（wēi）博上，涉及（jí）的用户信息总量超过（guò）5000万条。但人人网（wǎng）否认用（yòng）户数据遭到泄露，他（tā）们在官方微博上提醒称，“如果您的人人（rén）网账号（hào）密（mì）码和CSDN或（huò）其他网站一（yī）致，建（jiàn）议（yì）您马上修改密码，以（yǐ）免（miǎn）账（zhàng）号被盗（dào）。”人（rén）人网相关（guān）人（rén）员（yuán）在接受采访时（shí）表示，提醒用（yòng）户只是出（chū）于安全考虑。

12月25日（rì），泄密规模进一步扩大，网络上开始（shǐ）流（liú）传天涯论坛的用户数（shù）据库，信息总量超过4000万（wàn）条。随后，这一新闻被天涯社区官方致歉（qiàn）信证实（shí）：由于历史原因，天涯社（shè）区（qū）早期使用明文密码，在（zài）2009年11月改成加密密（mì）码，但（dàn）是部分老的（de）明文密（mì）码库未被清（qīng）理（lǐ），黑客泄露的正是（shì）2009年11月（yuè）升级密码保（bǎo）存（cún）方式之前所注册的用户。不过天涯社区并未（wèi）在公告中对（duì）泄露的用户规模进（jìn）行确认。天涯社区公关经理初蒙在接受财新（xīn）《新（xīn）世（shì）纪》记者采访（fǎng）时（shí）表示，确认用户信息遭泄露后，已经向海南省公安厅、海口市公安局报案，案件目前正在侦查之中。

12月26日，网（wǎng）上又传出（chū）新浪微博的用户资料疑似被（bèi）泄露，并公布了新浪（làng）微（wēi）博数据下载地址。这个疑似数据库一（yī）共有约476万条账（zhàng）户（hù）和密（mì）码信（xìn）息（xī）。

此后，泄密（mì）事件继续发酵（jiào）升级（jí），传闻开（kāi）始波及（jí）到电子商（shāng）务及银（yín）行系统。12月（yuè）27日，乌云漏洞报告平台披露京（jīng）东商城的漏洞，“在某些（xiē）业（yè）务（wù）上存在用户权限控（kòng）制不（bú）当的漏洞，导（dǎo）致任意用户登（dēng）录（lù）系统后，都可以正常（cháng）访问到所有用户的信息，包括（kuò）姓名、地址、电话、Email等。”这一漏洞（dòng）报告得到了京东商城方面的（de）响应。

12月28日，“当（dāng）当网1200万用户信息遭泄露”的说法亦（yì）被“小部分”证（zhèng）实。当当网（wǎng）的（de）公告称：“经（jīng）核实，网络公（gōng）布的信息数（shù）据只（zhī）有（yǒu）极小部分属实，且均系2011年6月（yuè）之前的老数据，该部分数据（jù）是由于之前遭到（dào）网络黑客（kè）攻击被（bèi）盗取。”

乌云漏洞报（bào）告（gào）平台在12月（yuè）28日也再次报（bào）告（gào）称，“支付宝（bǎo）用户大（dà）量泄露，被用（yòng）于网（wǎng）络营销，泄露总量（liàng）达1500万-2500万之多，泄露事件不（bú）明，里面只有支付（fù）宝用户的（de）账号（hào），没有密码”。支（zhī）付宝随后回应称（chēng），支付宝账号不是（shì）私密（mì）信息，在很（hěn）多地方（fāng）都可以搜集到，只有账（zhàng）号没有密码，对用（yòng）户资金安全（quán）没有任（rèn）何威胁，“支付宝采取金融级的（de）信息安全标准去（qù）保护用户（hù）信息及资金（jīn）安全（quán），我们承诺（nuò）没有任何人能从支付（fù）宝获得用户的密（mì）码等私密信息。过去没有（yǒu），以（yǐ）后也（yě）没（méi）有，请（qǐng）大（dà）家放心”。

但12月29日，更吓人的消息又在网上疯传：交通银（yín）行、民生银行分别（bié）泄露用户资料（liào）7000万和3500万份，“卡号、姓名、密码（mǎ）都有”，并配有截（jié）图。当天（tiān）下午，交（jiāo）通（tōng）银（yín）行、民生银行、工（gōng）商银行等分别发（fā）布公（gōng）告（gào）辟谣，称“用户资料外泄的传闻纯属谣言”。

当（dāng）日晚间，又有网友披露称，广东省公安厅（tīng）出入境（jìng）政（zhèng）府服务网网上申请数据泄露，几乎所有提交网上申请用户的真实姓名、出（chū）生年（nián）月、电话、护照号（hào）码（mǎ）、港澳通行证号码等信（xìn）息均可查（chá）到，泄露的总信息量高达444万（wàn）条。这一信息被广东省公安（ān）厅证实：2011年6月24日至2011年12月（yuè）29日期间，在广（guǎng）东申请出入境的用户信息（xī）遭到泄露。

仅仅一个星（xīng）期，泄（xiè）密（mì）已经从CSDN一家网站的危机演化成（chéng）为了席卷整个互联网的大事（shì）件。一时间，各大网（wǎng）站人人自（zì）危，真假数据库屡屡出现。国家互联网应急中（zhōng）心对所曝光的数（shù）据进行了抽查核实，发现部分数据是有（yǒu）效的（de），经（jīng）过与相（xiàng）关网站（zhàn）、论坛（tán）联系后，确认CSDN社区、天涯（yá）社区（qū）两家网站发生（shēng）了用户数据泄露事件，但泄露原（yuán）因还（hái）有待进一步分析；对（duì）于（yú）其他网站（zhàn）、论坛，虽然曝（pù）光（guāng）数据中个别条目有效（xiào），但不能（néng）判（pàn）定（dìng）发（fā）生了（le）网站、论坛用户数（shù）据泄露事件。

金山网络反（fǎn）病毒工程师李铁军（jun1）12月30日接受财新《新世纪》记者采访时则表示，根据他（tā）们（men）从网上下载（zǎi）的（de）数据库（kù），剔除重复信息之后，有超过（guò）1亿条（tiáo）的（de）用（yòng）户信息在此（cǐ）次事件中泄露。

一位（wèi）不愿（yuàn）具（jù）名（míng）的网（wǎng）络安全工程师也（yě）向财新《新世纪》记者证实，经（jīng）过重合度分析（xī）、数据库（kù）格式判断等验证分析（xī），基本可以断定“有十几家网站的数据库比较靠谱，应该是真（zhēn）实（shí）的”。

大规模用户数据泄密后，各种“浑水摸鱼者”也随之而来。蒋涛（tāo）告诉财新《新世纪》记者，一些人开始制造假的数（shù）据（jù）库（kù）来混淆视听；一些（xiē）网站通知所有用户修改密码，以乘（chéng）机激（jī）活“沉睡”用户；甚至一些网站（zhàn）把曝光的数据库直（zhí）接导入（rù）自己的数据库（kù），然后发通知给（gěi）用户修改密码（mǎ），不费吹灰之（zhī）力即获得（dé）上千万规（guī）模的用（yòng）户（hù）。当然，对用户（hù）影响最直（zhí）接的（de）是各种垃圾邮件、钓（diào）鱼邮（yóu）件（jiàn）多了起来。

真正令人担心的是（shì），或许还有更大（dà）规模的数据被地下黑（hēi）客所掌（zhǎng）握，只是没有公布而已。著名网（wǎng）络（luò）安全专家（jiā）龚蔚（wèi）（goodwell）公开表示，这次（cì）曝（pù）光的1亿多条用户账号及密码等相关（guān）信（xìn）息，只是黑客（kè）所掌握数据的“冰山（shān）一角”，预计有将（jiāng）近4亿-6亿的用户账号信息（xī）在黑客地下领域流传。

翻过新年，此波网络账号信息泄密的浪（làng）潮仍有余波。1月4日，一位网络（luò）ID为“网路游（yóu）侠”的“白帽黑客”在自己的博（bó）客上发布了（le）新浪的漏洞：新浪（làng）iask站点存在SQL注入漏洞，利用漏洞可以（yǐ）读取iask数据库内容，包括明（míng）文（wén）密码（mǎ）在内的7000多（duō）万新浪用户信息。由于新（xīn）浪实行“全站一号登（dēng）录”，黑客利用（yòng）这（zhè）个漏洞还可以获得新浪微（wēi）博的相关账（zhàng）号信（xìn）息（xī）。“网路游侠”以知（zhī）名魔（mó）术（shù）师刘（liú）谦的微博为例，通过构造（zào）数据（jù）库查询（xún）语句（jù）就轻（qīng）松获（huò）得了刘谦的账号（hào）及密码信息，并成（chéng）功登录。当（dāng）天晚间，刘谦（qiān）在微博上转发该（gāi）博客，证实（shí）此事。不过，“网路（lù）游侠”称，这个（gè）漏洞（dòng）他是在（zài）1月1日发现，已及（jí）时通知新（xīn）浪官方，并在新浪修复了（le）该漏洞后才在博（bó）客（kè）上公布（bù）文（wén）章，供参考学（xué）习（xí）之用。

截至发（fā）稿（gǎo），新浪方面对此事尚未做出回应。事实上，早在2010年（nián）10月，乌云漏洞平（píng）台就（jiù）曾报告（gào）称新浪iask站点（diǎn）存在SQL注入漏洞的安（ān）全问（wèn）题（tí）。

偶然中（zhōng）的必（bì）然

“这（zhè）些数（shù）据库在黑客圈几年前就有了，这一次只不过是（shì）个（gè）比较集中的爆（bào）发”

是谁，在什么时候，拿走了这（zhè）些涉（shè）及用户隐私的数据？原本隐秘在（zài）黑客圈的数据库缘何会曝光（guāng）在（zài）公众面（miàn）前？互（hù）联网（wǎng）是否还有安全可（kě）言？此轮网络大（dà）泄密，让这些问题成了普通互联网用（yòng）户最自然的追问。

“这些数据库在黑（hēi）客圈（quān）几年前就有了，这一次（cì）只不（bú）过（guò）是个比较集中（zhōng）的爆（bào）发。”安全宝CEO马杰（jié）对财新《新世纪（jì）》记者称，CSDN数据库的曝光看似偶然，实则必然。“冰（bīng）冻三尺非一日之寒，互联网行业安全问题的累积已（yǐ）经（jīng）太多了（le），迟早会爆发。”马杰（jié）在安全行（háng）业超过（guò）十年（nián），曾任瑞星（xīng）研发总经理，负责个人和企业的安全产品。

这也是网络安全（quán）行业（yè）人员近乎一致（zhì）的观点。天（tiān）融信公司高级安全（quán）顾问（wèn）吕延辉向财新《新世纪》记（jì）者证实，最早在（zài）2008年（nián）时（shí），就曾听说（shuō）有一些网站的数（shù）据（jù）库（kù）在黑客（kè）圈（quān）流传。

本次密码信息最先被公（gōng）布的CSDN社区，后来曾组织安全（quán）专家进（jìn）行讨论，得知公司的数（shù）据库事实上早就在黑客的手（shǒu）上了。“并不是说这一（yī）刻先攻（gōng）破了CSDN，放出（chū）数据库，然（rán）后下一（yī）刻攻破了天涯再（zài）放出数（shù）据（jù）库。而是这些（xiē）数据他们手上一直（zhí）都有，只不过抛出（chū）来的时（shí）间不（bú）一样。”蒋涛说。

天融信成都（dōu）分公司技术（shù）负责人邹晓波称，早期的很多网站，都可以通过（guò）服务器渗（shèn）透，取得后台数据（jù）库的权限，直接取得数据。“黑客（kè）圈内人都知（zhī）道谁被（bèi）盗了，他们（men）不一定公布，但是会炫耀，在小范围内流（liú）传，大部分没有去获利。”

CSDN社区数据库的曝光（guāng），曾经被指向一名ID为Hzqedison的金山公司员工，他分享数据库下载地址的截图（tú）最早（zǎo）在网上流传。12月22日（rì），CSDN数据库外泄一事被（bèi）广泛关注（zhù）的时候，Hzqedison在新浪微博表示道（dào）歉（qiàn）。随后，金山公司也发表（biǎo）声明（míng），金山（shān）员工并非网络上传言的黑客（kè），并非最早对外发布密码库的第一（yī）人。

Hzqedison解释了事情（qíng）的经过：“12月（yuè）21日，我在一个聊天群里看（kàn）到（dào）CSDN数据库的迅雷下（xià）载地址，就离线下载了该文（wén）件（jiàn）来检查自己账号是否被泄（xiè）露。为了（le）让同事们也检查，才做了（le）分（fèn）享贴到（dào）同事群（qún）里。5分钟后，该（gāi）地址截（jié）图被发到了乌云漏洞（dòng）报（bào）告平台上，得知后我（wǒ）立即删除了迅（xùn）雷分享地址。因为删除很及时，该地址只有几名同事下载过，而（ér）且从未将数据（jù）库文件外泄（xiè）。”

李铁军（jun1）告诉财新《新（xīn）世纪》记者，据他了（le）解，当时该金（jīn）山员（yuán）工（gōng）上传CSDN数据（jù）库时，是“秒传”的，说明这个数据库文件在迅雷下载服务器中早已（yǐ）存在（zài）。

“是（shì）谁（shuí）最早（zǎo）上传了这些（xiē）数据库，现在已（yǐ）经很（hěn）难确定。”李（lǐ）铁军说（shuō），除（chú）了CSDN的（de）数（shù）据库，还有其（qí）他网站（zhàn）的数据库（kù）一起（qǐ）在网上（shàng）流传。因为CSDN的影响力比较大，所以就传开了。

事实（shí）上，CSDN数据（jù）库曝（pù）光之前（qián）已有征兆。李铁（tiě）军告诉财新《新世纪》记者，他在（zài）12月（yuè）14日前后，即泄（xiè）密事件发生的前一（yī）周，就已（yǐ）经（jīng）注（zhù）意到有很多网友在新浪微博上反映（yìng）账号（hào）被（bèi）盗，“这是黑客在（zài）用数据（jù）库去试（shì）探新浪的（de）数据库，有些就撞到了”。

马（mǎ）杰分析，这次曝光的网站数据（jù）库应该是最（zuì）近几年间连续不（bú）断被刷库的（de）。“安全圈（quān）也知道，这（zhè）几年地下黑客（kè）圈（quān）在刷库，也知道一些数据库在黑客圈流传。”

所谓刷库（kù），是指黑客入侵网站服（fú）务器之（zhī）后窃取用户数据（jù）库的行为，互（hù）联网业内也称其为“拖库”，取其谐音，也形象（xiàng）称之为（wéi）“脱裤”

看上去，金山员（yuán）工“偶（ǒu）然”的发现和分享，加上地下黑客累（lèi）积经年的刷（shuā）库（kù）行为，以及数据库在圈子（zǐ）中的一轮轮扩散，最终促成了这次网（wǎng）站（zhàn）数据库大规（guī）模的曝光。

但是，这里面依然（rán）隐藏着两个问题。第一，金山员工如何能“偶然”发现原本（běn）在地下黑客（kè）圈流（liú）传的数据库？第二，仅是CSDN的（de）数据（jù）库（kù）曝光，缘何能（néng）引（yǐn）发一连串的数（shù）据库浮出水面？

地下（xià）黑客圈传输或交换文件，一般都是点对点的传输，有时甚至（zhì）通（tōng）过邮（yóu）寄移动硬（yìng）盘或光盘来实现。但随着被（bèi）刷的（de）数据库（kù）越（yuè）来越多，转手的（de）次数越来越多，参与的人数也越来（lái）越多（duō），出错和曝光的（de）概率就越来越大。

乌云漏洞（dòng）报告平（píng）台的创（chuàng）建人剑（jiàn）心分析说（shuō），由（yóu）于不（bú）同黑客掌握的数据库（kù）各（gè）有（yǒu）不同，刷（shuā）出来的数（shù）据库会在黑客（kè）圈中交换，这样就会一（yī）轮一轮的（de）扩散。很有可能是（shì）某个人在转（zhuǎn）手（shǒu）传播的过程中，由于文（wén）件太大，无法实现网络上点对点的传输（shū），不得不利用迅雷、网盘一（yī）类的工具进行上传和下载。在这（zhè）过程中，工（gōng）具会（huì）把这（zhè）些文件泄露出来，甚至会（huì）在搜索（suǒ）“数（shù）据”等关键词时出现推荐。这样扩散的（de）范围就（jiù）更大，进入与黑客圈有交流的安全圈也就不足为奇了。

至于网站用（yòng）户密码连续被报丢失的现象，吕延（yán）辉解释说，一（yī）些数据库曝（pù）光之后，黑客手（shǒu）中那些与之雷同的数据库就（jiù）没（méi）有价值了。并且，引发公众关注后，基本所有网站（zhàn）都（dōu）会（huì）通知用户修（xiū）改密（mì）码，政府（fǔ）相关部门可能还（hái）会（huì）介入（rù），那么（me）其他的一些非核心数据库的价值（zhí）也就更（gèng）低了。

吕延辉表示，可以看出来，这次曝光的数（shù）据库都是在地下黑客圈转手很多（duō）次（cì）的，本身价值也不大，再加上（shàng）CSDN数据库的曝光，其（qí）他数据库的含金（jīn）量进（jìn）一步（bù）降低，那些手上有库的人抛出来也不奇怪，这才（cái）形成了一连串的规模（mó）效应。

脆弱（ruò）的网站安全（quán）

泄密事（shì）件，将众多网（wǎng）站在（zài）安全方面的脆弱暴露无遗。知（zhī）名（míng）网络安全（quán）专家、安天（tiān）实验室首席技术架构（gòu）师江海客直言，这是一个（gè）安全崩盘的（de）时代。

安全圈（quān）内资深人士的共识是，被黑客攻击和刷库，各大网站几（jǐ）乎是无（wú）一幸免，只（zhī）是（shì）程度和范围的不同。在（zài）做安全行业的人看来（lái），目（mù）前大部分网站（zhàn）的安全性（xìng）都不足。“这一次表面上看是明文密码（mǎ）库的问题，但实际上多数网站从根本上都没有重视自身的信息安全。”天融信公司副总（zǒng）裁刘辉对财新（xīn）《新世纪》记（jì）者（zhě）表示，网站把绝大部分资金投（tóu）入到日常运营中（zhōng），只有被攻击或吃过教训后，才想起来安全的重要性。

“一（yī）些网站之（zhī）所以容易被‘脱裤（kù）’，很大一部分原因（yīn）就是因（yīn）为（wéi）本身就穿得（dé）太（tài）少了（le）。”刘（liú）辉说，很多经营性网站甚（shèn）至都（dōu）没有专门的网（wǎng）络安全（quán）工程师。

CSDN社区数据（jù）库在此次事（shì）件中（zhōng）最先（xiān）曝光。蒋涛（tāo）也（yě）坦言，“原来对安（ān）全的认识还停留在（zài）相（xiàng）对低的（de）水平上，觉得自己（jǐ）的数据不是什么关键数据，别人（rén）拿去也没什么用。”

但这次（cì）一连串的数（shù）据库（kù）泄密事（shì）件证明，互联网存在很（hěn）大的关联（lián）性，特别是拥有大（dà）量用户的网站（zhàn），更不是（shì）一个（gè）孤立（lì）的存在，很多用户的邮箱、账（zhàng）号都与别的（de）系（xì）统（tǒng）相关（guān）联，一旦有事，就会造成跨网站（zhàn）的连锁（suǒ）反应。另（lìng）外，由（yóu）于（yú）安全问题（tí）出在了服（fú）务器端，普通用户（hù）基本没有办法（fǎ）防（fáng）范，数（shù）据库被刷后曝光出来，用户只能（néng）被动的修改密（mì）码。

马杰则指出，现在互联网（wǎng）从原（yuán）来提（tí）供（gòng）内容（róng）为主，到现在有很多的网上购物与社交，网站的（de）重要性进入（rù）了另（lìng）外一（yī）个层面，但安全现状停步不前。“现在网站数据中（zhōng）所（suǒ）包（bāo）含信息的价值在上升（shēng），但安全防护的措施并没有（yǒu）加强。”他说（shuō）。

另一方面，专业（yè）做网站功能、应用和服务（wù）的人，与专业做安全的人，在技术思（sī）维（wéi）上也存在巨大差异。“一个B2C网站的程序员，做了一个系统，花了几个月的功夫（fū），自（zì）己觉得没什（shí）么问题，然后（hòu）请专业做（zuò）安全的人去找漏洞，结果做不到十分（fèn）钟就破解了。”李铁（tiě）军举例说，二者没（méi）有高（gāo）下之分，只是职业的特征决定了思路上的差异。

思路上（shàng）的差异，加上安（ān）全意识的不到位（wèi），导致了网站安全的（de）脆（cuì）弱。CSDN、天（tiān）涯社区至今仍未披露数据库外泄的（de）具体原因。马杰告诉财新《新世纪》记（jì）者，从技术上讲，有（yǒu）很多种方法可以刷库，“就像一个很大的房子（zǐ），可（kě）以爬窗户、撬门，或者从烟（yān）囱（cōng）进来，甚至挖个地道进来（lái），就看黑客想花多大的（de）功夫和精力”。

通常（cháng）来说，黑客都是通过发现网站或应用软件的漏洞（dòng）进入服（fú）务（wù）器，然（rán）后（hòu）想办法提升权（quán）限，就可以（yǐ）把数据库下（xià）载下来。对一些防护比较弱的网站，甚至都不（bú）用（yòng）进入网站就能刷库（kù）。安全行业资深人（rén）士TK说：“只要分两步（bù），第（dì）一（yī）步找到一个SQL注入点，执行一（yī）条备份命令，备（bèi）份到一个目录去（qù）；第二步，从目录把（bǎ）数（shù）据下载回来。根本不需要获（huò）得网站的权限（xiàn），只要有SQL注入的漏洞，就可以（yǐ）爆库了。”

剑心告诉财新《新世纪》记者（zhě），决定在12月30日临时关闭乌云平台的其（qí）中一条原（yuán）因，就是担心（xīn）后续几天爆出的网站漏（lòu）洞会越（yuè）来越多，引起（qǐ）互联网用户（hù）的（de）恐慌（huāng）。乌（wū）云漏洞报（bào）告平台是由一（yī）群互联（lián）网（wǎng）安全研究人员自发组织的信息安全沟（gōu）通平台，研究人员在上（shàng）面提交厂商的（de）安（ān）全问题，也披露一些通用（yòng）的安全咨询和安全使用。有超过500个“白帽（mào）子”安全研究人员和120多个厂商参与平（píng）台，反馈和处理（lǐ）了接近4000个（gè）安全问题。在泄密（mì）事件引发（fā）大（dà）范（fàn）围关注后，乌云平台因曾多（duō）次发布相关安全漏（lòu）洞预警而被（bèi）关注。

剑心也证（zhèng）实说，目（mù）前国内除（chú）极少数大型网站外，可能（néng）都被黑客（kè）刷过库，包括网易、搜狐（hú）在内（nèi）的（de）门（mén）户，一些漏洞都是在乌云平台上被证（zhèng）实的。此外，近（jìn）年来快（kuài）速膨胀的（de）电子（zǐ）商务网（wǎng）站，在剑心看来，安全性更是糟糕，乌云平台（tái）已经多次证实并报告了他（tā）们的（de）漏洞。这其（qí）中就包（bāo）括（kuò）11月10日所报告的当当网漏洞，可以抓取超过（guò）4000万条（tiáo）用户信息。

相对而言，金（jīn）融系统的安全性较强。银行通常会采用（yòng）硬加密的技术，既不仅依靠登录密码（mǎ）和交易密码，还需（xū）有一个（gè）外在（zài）于（yú）密码系统的（de）物理密钥，比（bǐ）如发送（sòng）到（dào）手（shǒu）机的动态口令或U盾密钥，其安全性要高于（yú）单靠（kào）密码的（de）“软加（jiā）密”方式（shì）。但是，随着（zhe）第三方支（zhī）付、代收费、代（dài）缴费等业务（wù）的展开，银行系统需要开放的接口（kǒu）也越来越多，对银行（háng）系统的（de）安全提出了更高的要求。

除网（wǎng）站的安全性差外（wài），本次泄密（mì）事件中（zhōng）备受诟病的（de）还有（yǒu）明文（wén）密码库。所谓（wèi）明文（wén）密码（mǎ）库，即在对用户密码信息存储时未进行加密处理，黑（hēi）客获得数据库后，所有（yǒu）的用（yòng）户名、密码（mǎ）一目了然（rán），更加容易利用（yòng）。

蒋涛解释称（chēng），各家网站的明文密码库都（dōu）有复杂的历史原因，CSDN是在（zài）2010年9月之后才（cái）采用了密文（wén）存储。“这（zhè）不是一家的问（wèn）题，而（ér）是行业性的问题（tí）。”

但是，加密存储也并不一定意（yì）味着（zhe）安全。多位受访的网络安全专家告诉（sù）财新《新世纪》记者（zhě），现在相对简单的MD5加（jiā）密方（fāng）法已经（jīng）不（bú）安全，黑客圈建立（lì）了庞大的（de）MD5值的（de）“字典库（kù）”，通过“查字典”的方（fāng）式很快就能（néng）破（pò）解还原。

马（mǎ）杰建议，在进行密文存（cún）储时，还需要对加（jiā）密算法做一些改变，或多（duō）次（cì）加密，安全性能才会有所提（tí）升。尽管通过“彩虹表（biǎo）”碰撞（zhuàng）等（děng）方法不存在破解（jiě）不了的情况，但至少会（huì）大大增加破解（jiě）的成本和（hé）时（shí）间，降低数据库对黑客的吸引力。

乌云平台撰（zhuàn）文称，最好的安全应该是自始至终就有人（rén）为安全负责（zé），将安全落实到公司的流程（chéng）制度规范以及基础技术（shù）架构里去（qù），形成完善的安全体系，并且持（chí）续更新迭代，“如（rú）果以前没有这方面制度，就从现在开始（shǐ）建设；如果没有（yǒu）团队，就可以先（xiān）找一些公司（sī）或者（zhě）外（wài）部顾（gù）问。但是记住（zhù），不要幻想一次性（xìng）的投入就可以抵抗利益（yì）驱（qū）动（dòng）长久进化的黑（hēi）色产业链”。

黑色产业链

有人负责发掘漏洞（dòng），有人负责根据（jù）漏洞（dòng）开发利用（yòng）工具，有（yǒu）人负（fù）责漏（lòu）洞利用工（gōng）具的销售（shòu），有人负责刷库，有人负责洗库，有人负责销售（shòu），还有（yǒu）人利（lì）用数据（jù）库钓鱼、诈（zhà）骗、发送垃圾（jī）邮（yóu）件（jiàn）

大规模的泄（xiè）密（mì）事件，也使得（dé）互联网江湖中最为隐秘的黑色产业链再度引人关注。“熊猫（māo）烧（shāo）香”病毒让公众知（zhī）道了（le）病毒黑色产业链，而此次的泄密事件则指向了数据（jù）交易的黑色产业（yè）链。

马杰告诉财新《新世（shì）纪》记者，最近几年，“黑帽子”黑客圈内的盈（yíng）利模式发生了一（yī）些变化。最早是“挂马”比较挣（zhèng）钱，通过发现漏洞SQL注入，然后想办法获得网（wǎng）站权限，在网页上挂（guà）上木马程（chéng）序，中（zhōng）了木马（mǎ）程序的机器就（jiù）成为“肉鸡”，通（tōng）过木马控制（zhì）“肉（ròu）鸡（jī）”来（lái）赚钱。比如说盗号、弹窗、导（dǎo）流量等。

“早几年木（mù）马猖獗的时候，一个服务器能（néng）控制几万台的‘肉鸡’。即（jí）使（shǐ）只是IE自（zì）动跳转到（dào）某一页面，每年也能带（dài）来可观的流量和收入。”李铁军说（shuō），还有黑客利用系统漏（lòu）洞（dòng）和木马进行“钓鱼诈骗（piàn）”，从个人客户一端入（rù）侵网银系统，进行非法（fǎ）转账等。

后来，“挂（guà）马（mǎ）”和“钓鱼”被各（gè）大安全公（gōng）司打击得非常厉（lì）害，特别是免费杀毒软件在个人终端的普及。而这个时候，地下黑客发现，刷库是（shì）个更快、更直接的（de）赚钱方法。

最近几（jǐ）年（nián），围绕数据交易（yì）的（de）黑色产（chǎn）业（yè）链正在逐步形成。在地下（xià）黑客圈（quān）内，一（yī）些大型网站的数据库被（bèi）明码标价，一个数据库整个端下来，价值数百万元到上（shàng）千万元不等。

拖库（kù）成功后，到（dào）手的数据库可以有很多用（yòng）途，比如直（zhí）接卖给被刷库（kù）网站（zhàn）的竞争对手。黑客还（hái）可以利用部分互联网用户“多家网站一个用（yòng）户（hù）名一个密码（mǎ）”的习惯，去试探别（bié）的网站数据库。这叫“撞库”，技术（shù）上也很容易实现，只需要编写一个脚本，自动不断用已盗取数据库里的信（xìn）息去（qù）请（qǐng）求登录。由于都是正常请求，被撞的网站也很（hěn）难防范，所以（yǐ）也会有（yǒu）网站（zhàn）“躺着中枪”。

安全业内（nèi）人士称，刷库之后，黑客拿着数（shù）据（jù）库去“撞”有虚拟币系（xì）统的游戏网（wǎng）站、腾（téng）讯，以（yǐ）及网上银行、支付宝及电子商务（wù）网站，都是必（bì）然会发生的事情。如果撞到了（le）重（chóng）合用户，将其账（zhàng）号内虚拟（nǐ）资（zī）产、网银洗劫一空都是再自然（rán）不过（guò）了。

经（jīng）过多次倒卖（mài）和“洗库”之后，数据库还能被卖（mài）给价（jià）值链（liàn）的（de）末梢买（mǎi）家——利用（yòng）账（zhàng）号信息来发送广告、垃圾邮件、垃圾短信的推销公（gōng）司。通常情（qíng）况下，数据（jù）库的价格越卖（mài）越便宜，流传（chuán）的（de）范围也就越广，距离曝光也就越近。

而在整条黑色产（chǎn）业链中，分工也比较明确。最核心和最（zuì）难的（de）是发掘漏洞，这对技术的要求最高，能发掘漏洞的黑客也比较（jiào）少（shǎo）。吕延辉介绍，在地下黑客中，有人专门负责发（fā）掘漏洞（dòng），有人专门（mén）负责根据漏（lòu）洞（dòng）开发利用工具，有人负责漏洞（dòng）利（lì）用工具的销售，有人负责刷库，有人负责洗（xǐ）库，有人负责（zé）数据库的（de）销售（shòu），最后端（duān），还有（yǒu）人利用数据（jù）库（kù）钓（diào）鱼、诈骗（piàn）、发送垃圾（jī）邮件。

有（yǒu）网络安（ān）全人（rén）士估算，目前互（hù）联网的（de）地下黑色产业链规模已（yǐ）经（jīng）达到上千亿元，而安全行业的规（guī）模目前还只有几百亿元（yuán），“就像（xiàng）毒（dú）品的市场规模反而大（dà）于麻醉药的市场规模（mó）”。

失能的法律防火墙（qiáng）

周汉华表示，“当网站（zhàn）的资料和个人信息（xī）紧密相（xiàng）连，安全却没有保障，这种情况下（xià），实名制（zhì）是相当（dāng）危险（xiǎn）的”

刘（liú）辉判断，这次（cì）泄密事件将（jiāng）注定会是互联网（wǎng）发展历史上一（yī）件大事。一方面是（shì）对互（hù）联网业务发展模（mó）式的影响；另一方面（miàn），则是互（hù）联网（wǎng）行业（yè）安全规范机制的建立（lì）已势在必行。

“短期内，互联网行业的发展会受到一定的影响。”刘辉说（shuō），例如近两年兴起的云计（jì）算服务，现在（zài）提供云服务的互联网公（gōng）司必须（xū）要重新建（jiàn）立用户的信（xìn）息，并说服用户上传至云端的资料是安全的（de）。要说（shuō）服（fú）用户，就需（xū）要相应的安全（quán）承诺及安全（quán）认证机制。

蒋涛也表示，这次泄密事件相当（dāng）于（yú）给（gěi）整个互联（lián）网业上（shàng）了一课。“CSDN也是专业的IT社区平台，我们会利用这（zhè）个（gè）平台（tái）来加强安全的教育和普及，提升互（hù）联网行业（yè）的安全意识（shí）。”他说，除了加（jiā）强自身的安全性（xìng），这（zhè）是CSDN在2012年要去（qù）做的重要（yào）事情，“互（hù）联网上各大网（wǎng）站的（de）关联度越来（lái）越高，安全已经不是一家两家的问（wèn）题，而是全行业的问题”。

在全（quán）世界，身份（fèn）的盗用和密码的泄露每天都会出现，但（dàn）与发达国家不同的（de）是，这次密（mì）码（mǎ）泄露事件发生（shēng）后，各（gè）方几乎束（shù）手无（wú）策。“大家都不知道（dào）怎么去保护自己的权利，大家（jiā）就只能看着发生，等着下一次什么时（shí）候发（fā）生。”中国社会科学院（yuàn）研（yán）究员（yuán）周汉华对财新《新世纪》记（jì）者说，“我们的问（wèn）题（tí）是没有有（yǒu）效的管理手段，没（méi）有可以适用的法律。”

在亚太网（wǎng）络法律（lǜ）研究中心主任刘德良教授看来，个人（rén）信息在网（wǎng）络时代越来越具（jù）有（yǒu）商业价值，这也是目（mù）前非法收集、加工、买卖和商业性滥用个（gè）人信（xìn）息行（háng）为日益泛（fàn）滥的内在驱动力。针对如此严（yán）重的网络的（de）个人（rén）信息安全威（wēi）胁，法律的“防火墙”为何失能以及如何重构，成为一个急需解决的（de）问题（tí）。

上海（hǎi）一位（wèi）经侦人员对财新《新（xīn）世纪》记者介绍，他（tā）们曾经侦办过一个利用个人信息实施犯罪的案子。有（yǒu）人发现几百万（wàn）元银行存（cún）款莫名（míng）消失，于是报（bào）案。此案涉（shè）及（jí）几（jǐ）百万条的车主信息数（shù）据库，这些信息有黑客攻击得到的，也有银行、保险（xiǎn）业的内（nèi）部人泄露出来（lái）的。犯罪分子的作案手（shǒu）法是，通过内部泄露或（huò）者黑（hēi）客攻（gōng）击得到包括车主姓名（míng）和身份证号码的用户（hù）信息库，找银行的人查开户信息，这个行（háng）话叫“包（bāo）行”，几百（bǎi）块就能做。得到卡号后，然（rán）后猜（cāi）密码，利用黑客软件和银行卡进行比对。

从刑事法律（lǜ）来看，2009年《刑（xíng）法》修正（zhèng）案增加了“非法侵入计算（suàn）机信（xìn）息系统罪”的条款，“违（wéi）反国家规定，侵入（rù）计算机信（xìn）息系统或者采用其他（tā）技术手（shǒu）段，获（huò）取该（gāi）计算机信息系统中（zhōng）存储、处理或者（zhě）传输的数据，或者对该计算机信（xìn）息系统实施非法控制，情节严重的，处（chù）三年以下有期徒（tú）刑或（huò）者（zhě）拘役（yì），并处或者单处罚金；情节（jiē）特（tè）别严重的，处三（sān）年以上七（qī）年以下有期（qī）徒（tú）刑，并处罚金（jīn）”。

同年，全国人大常委会还出（chū）台《侵（qīn）权（quán）责任法》，规定网络服务（wù）提供者和网络用户利用网络侵害他（tā）人民事权（quán）益（yì）的，应当承担侵权责任；网络服务提供者知道网（wǎng）络（luò）用户利用其网（wǎng）络（luò）服务（wù）侵害（hài）他人民事权益，未（wèi）采取必要措（cuò）施的，与该网（wǎng）络用户承担连带（dài）责任（rèn）。2000年，全（quán）国人（rén）大常委会（huì）又专门制（zhì）定了《关于（yú）维护互联（lián）网安全的（de）决（jué）定（dìng）》，重申各种互联网违法的刑（xíng）事责任和民（mín）事责任。

在行政监管层（céng）面（miàn），除（chú）了国务院在1994年制定（dìng）的《计算机信（xìn）息系统安全（quán）保护条例（lì）》，作（zuò）为全国计算机系统安全保护工作主管部门的公安部，也制定了《信息安全等级（jí）保（bǎo）护管理（lǐ）办（bàn）法》以及《计算（suàn）机信息系统安全保护等（děng）级（jí）划分准则》《信息系（xì）统安全等级保（bǎo）护基本要求》《信息系统安（ān）全（quán）等级保护测评要求》等30多个标（biāo）准。

多重的法律规定，为何实施效果不（bú）佳？周汉华认为，《刑法》的适（shì）用门槛比较高（gāo），需（xū）要“违（wéi）反国家（jiā）规定（dìng）”和（hé）“情（qíng）节严重”的条件，何（hé）况（kuàng）这两个条（tiáo）件目前都（dōu）缺乏相应的标准。而《侵权（quán）责任法》的适用，在网络环境下，当事人（rén）举证非常困难（nán），而且存在成本（běn）投入和收益（yì）不（bú）对称的情况（kuàng）。

周汉华认为，《刑（xíng）法（fǎ）》和《侵权责任（rèn）法》都属于事后救（jiù）济，在网（wǎng）络时代，由于（yú）损害（hài）的发生是系统性的、不可复原的，所以对（duì）网络安（ān）全以（yǐ）及个人信息进行全（quán）流程的监管才更为有（yǒu）效（xiào）。目前对于这种全流程的监管，中国既缺乏专门的法律，也没（méi）有专（zhuān）门的执法机关，搜集个人（rén）资料的企业所应承担的相应（yīng）的（de）安（ān）全责任以（yǐ）及相（xiàng）应的信息（xī）流管理行为规范都缺失。“这就是为什么要制定《个（gè）人信息保护（hù）法》的原因。”周汉华称。

据财（cái）新（xīn）《新世纪》记者了解，早（zǎo）在2003年（nián）之（zhī）时，周汉华曾经受当时的国务院信息化办公室（shì）委托，主持《个人（rén）信息保（bǎo）护（hù）法（fǎ）》的立法研究，并且（qiě）在2005年（nián）形成了一份专（zhuān）家（jiā）意见稿。但（dàn）时隔多年，这部法（fǎ）律的（de）立法（fǎ）工作迟迟未被（bèi）启动（dòng）。

刘德良教授（shòu）认为（wéi），在当前中国的法律（lǜ）框架下，把个（gè）人信（xìn）息（xī）都纳入人（rén）格权的范（fàn）畴，而不（bú）承认个人信息的商业价值也是个人的财产；人格权受到侵害（hài）后，原则（zé）上也不能要求（qiú）财产损害赔偿。因此（cǐ）他提出，对于（yú）个人信息（xī）的法律保（bǎo）护，应该包括隐私上的人格利（lì）益和个人（rén）信息（xī）的商业价（jià）值这双方面，将（jiāng）个人（rén）信息的（de）商业价值（zhí）视为个人的财产，未经（jīng）允许擅自收集和（hé）商业性利用个人隐私，既是一种（zhǒng）侵（qīn）犯人格权的行（háng）为，也是一种侵害财产权（quán）的行为（wéi）。