然而，潘多拉魔盒已（yǐ）经打（dǎ）开，CSDN数据库（kù）的泄露仅仅是个开始（shǐ）。“没想到后（hòu）面的事情越来越大（dà），已经到了（le）不可（kě）收（shōu）拾的程度。”蒋（jiǎng）涛说。

12月22日，知名IT博客“月光博客”披露，多玩网数（shù）据库泄（xiè）露超过800万条信息，有大量用（yòng）户名、明文密码、邮（yóu）箱及（jí）部分加密密码。“经（jīng）过（guò）验证，使用该数（shù）据库中的（de）用户名（míng）和密码可以正常登录多玩网。”

同（tóng）日，标注为“人人（rén）网500万用（yòng）户资（zī）料”的文（wén）件（jiàn）开始（shǐ）在网上流传，嘟嘟牛（niú）、7k7k、178游戏网、CSDN等多家网站数据（jù）库文（wén）件的截图也出现（xiàn）在（zài）微博上，涉及（jí）的用户信息总量超过5000万条。但人（rén）人网否认用户数据遭到泄露，他们在官方微博上提醒称，“如果（guǒ）您的人人网账号（hào）密码和CSDN或其他网站一致（zhì），建议您马（mǎ）上（shàng）修改（gǎi）密码，以免（miǎn）账（zhàng）号（hào）被盗（dào）。”人人网相关人员在接（jiē）受采访时表示，提醒用户只是出于安全考虑。

12月25日，泄密规模进一步（bù）扩大，网络上开始流传天（tiān）涯论（lùn）坛的用（yòng）户数据库，信息总量超过4000万条（tiáo）。随（suí）后，这一（yī）新闻被天涯社区官方致（zhì）歉（qiàn）信证实（shí）：由于历史原因，天涯社区早（zǎo）期使用明文密（mì）码，在2009年11月改成加密密码，但（dàn）是部分老的明文（wén）密（mì）码库未被清理，黑客泄露的正是2009年11月升（shēng）级密码保存（cún）方（fāng）式（shì）之前所注册的用户。不过（guò）天（tiān）涯社区并未在公告（gào）中对泄露的用户规模进（jìn）行（háng）确（què）认。天涯社区公关经理初蒙（méng）在接受财（cái）新《新世（shì）纪》记者采访时表示，确认用户信息（xī）遭泄露后（hòu），已经向海南省公安厅、海口（kǒu）市（shì）公安（ān）局报案，案件目前正在侦查（chá）之中。

12月26日，网上又传出新浪微博的用（yòng）户资料疑似（sì）被泄露（lù），并（bìng）公（gōng）布了新浪微博数据下载地址。这个疑（yí）似数据（jù）库一（yī）共有约476万（wàn）条账户和密码信息（xī）。

此后（hòu），泄密事件继续发酵升（shēng）级，传闻开（kāi）始波及到（dào）电子商务及（jí）银行系（xì）统。12月27日，乌（wū）云漏（lòu）洞报（bào）告平（píng）台（tái）披露京（jīng）东商城的（de）漏（lòu）洞（dòng），“在某些业务上存在用户权限控制不（bú）当的漏洞，导（dǎo）致任意（yì）用户登录系统（tǒng）后，都（dōu）可以正（zhèng）常（cháng）访问到所有（yǒu）用户的信息，包括姓（xìng）名（míng）、地址、电话、Email等。”这一漏洞报（bào）告得到了京东（dōng）商城方面的响应。

12月28日，“当当网1200万用户信息遭泄露”的（de）说（shuō）法亦被“小部分”证实。当当网的（de）公（gōng）告称：“经核实（shí），网络公布的信息数（shù）据只有极小部分属实，且（qiě）均系2011年6月之前的老（lǎo）数据，该部分数据是（shì）由于之（zhī）前遭到（dào）网络黑客（kè）攻击被盗取（qǔ）。”

乌云漏洞（dòng）报（bào）告（gào）平（píng）台（tái）在（zài）12月28日也再次报告称，“支付（fù）宝（bǎo）用户大（dà）量泄（xiè）露，被用（yòng）于网络营销，泄（xiè）露总量达1500万-2500万之（zhī）多（duō），泄露事件不明（míng），里面只有支付宝用户（hù）的账号，没有密码（mǎ）”。支付（fù）宝（bǎo）随（suí）后回应称，支付宝账号不是私密信息，在很多地方都可以搜（sōu）集到，只有（yǒu）账号没有密码，对（duì）用户（hù）资金（jīn）安全没有任何威胁，“支付宝采取（qǔ）金融级的信息安全标准去保（bǎo）护用户（hù）信息及资金安全，我们承诺没有任何人（rén）能从支付宝获得用户的密码等（děng）私密信息。过去（qù）没有，以后也没有（yǒu），请大家放（fàng）心”。

但（dàn）12月29日，更吓人的消息（xī）又在网上疯传：交（jiāo）通银行、民生银行分别（bié）泄露用户资料7000万（wàn）和3500万份（fèn），“卡（kǎ）号（hào）、姓名（míng）、密（mì）码（mǎ）都有”，并配有（yǒu）截图。当（dāng）天下午，交通银（yín）行、民生银行、工商银行（háng）等分（fèn）别发（fā）布公（gōng）告辟谣，称“用户资料外泄的传闻纯属谣言”。

当日晚间，又（yòu）有网友披（pī）露称，广东省公安厅出入境政府服务网（wǎng）网（wǎng）上申（shēn）请数据泄露，几乎所有提交网上申（shēn）请用户的真实姓名（míng）、出生年月、电话、护照号码（mǎ）、港（gǎng）澳通行证号码等信息均（jun1）可查到（dào），泄露（lù）的总（zǒng）信（xìn）息量高达444万条。这一信息被广东省公安厅证实：2011年6月24日（rì）至（zhì）2011年12月（yuè）29日（rì）期间，在广东申请出入（rù）境的用（yòng）户信息遭到泄露。

仅仅一个星（xīng）期，泄密已经从CSDN一家（jiā）网站的（de）危机演化成为了席卷整（zhěng）个互联（lián）网的大事件。一时间，各（gè）大网（wǎng）站人人自危，真（zhēn）假（jiǎ）数据库屡屡出（chū）现。国（guó）家互联网应（yīng）急中心（xīn）对（duì）所曝光的数据进行了抽（chōu）查核实，发（fā）现部分（fèn）数据是有效的，经过与相关网站（zhàn）、论坛（tán）联系后，确（què）认CSDN社区、天（tiān）涯社区两家（jiā）网站发生（shēng）了用户数据泄露事件，但（dàn）泄露（lù）原因还有待进一步分析；对于（yú）其他网站、论（lùn）坛，虽（suī）然曝（pù）光（guāng）数据（jù）中个别条目有效（xiào），但（dàn）不能（néng）判定（dìng）发生了网站、论坛用户数据泄露事（shì）件。

金山网（wǎng）络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表（biǎo）示，根据（jù）他们从网上（shàng）下载（zǎi）的数据库，剔除重复信息之后，有（yǒu）超过1亿条（tiáo）的（de）用户信息（xī）在此次事件中泄露。

一（yī）位不愿具名的网络安全工（gōng）程（chéng）师也向财新《新世纪》记（jì）者证实，经过重合度分析（xī）、数（shù）据（jù）库格式（shì）判断等验证分析，基本（běn）可以断定“有十几（jǐ）家网站的数据（jù）库（kù）比较靠谱，应该是真实的”。

大规模用（yòng）户数（shù）据（jù）泄密后，各（gè）种“浑水摸鱼者（zhě）”也随（suí）之而（ér）来。蒋涛（tāo）告诉财新（xīn）《新世纪》记者，一（yī）些人开始（shǐ）制造假的数据（jù）库来混淆视听；一（yī）些网站通（tōng）知所有用户修改密码，以乘机激活“沉睡”用户（hù）；甚至一些网站（zhàn）把曝光的数据库直接导入自己的数据库，然（rán）后发通（tōng）知给用户修改（gǎi）密码（mǎ），不费吹灰（huī）之力即获得上千（qiān）万规模（mó）的用户。当然（rán），对（duì）用（yòng）户影响最直接（jiē）的（de）是各种垃（lā）圾邮件、钓（diào）鱼邮件多了起（qǐ）来。

真正令人担心的是，或（huò）许还有更大规模的（de）数据被地下黑客所掌握，只是没有公布而已。著名网络安（ān）全专家龚蔚（goodwell）公（gōng）开（kāi）表示，这次（cì）曝光的1亿多条用（yòng）户账号及密码等相关信息，只是黑客所掌（zhǎng）握数据的“冰山（shān）一角”，预计有将近4亿-6亿的用户账号信息在黑（hēi）客地下（xià）领域流传。

翻过新年，此波（bō）网络账号信息（xī）泄密的浪潮仍有（yǒu）余波。1月（yuè）4日，一（yī）位网（wǎng）络ID为“网（wǎng）路游（yóu）侠”的“白帽（mào）黑客”在自己的博客上发布了新浪（làng）的（de）漏洞：新浪iask站点存（cún）在SQL注（zhù）入漏洞，利用（yòng）漏洞可以读取iask数据库内（nèi）容，包括明文（wén）密码在（zài）内的（de）7000多（duō）万新浪用（yòng）户（hù）信息（xī）。由于新（xīn）浪实行（háng）“全站一号登录”，黑客利用这个漏洞还可以（yǐ）获得（dé）新浪微博的相关（guān）账号信息。“网（wǎng）路游侠”以知（zhī）名魔术师刘谦的微博为例，通过构（gòu）造数（shù）据库查询语句就轻松获得了刘谦的账号及密（mì）码信息，并成功登录。当天晚间，刘谦在（zài）微博上转发该博客，证实此事。不（bú）过（guò），“网路游侠”称，这个漏（lòu）洞（dòng）他是（shì）在1月1日（rì）发现，已及时通知新浪官方，并在新（xīn）浪修复了该漏洞后才（cái）在博客上公布文章，供参考学习（xí）之用。

截至发稿，新浪方面对此事尚（shàng）未（wèi）做（zuò）出回应。事实上，早在2010年10月，乌云（yún）漏洞平（píng）台就曾（céng）报（bào）告称新（xīn）浪iask站点（diǎn）存在SQL注入漏洞的安（ān）全问题。

偶然中的必然

“这些数据（jù）库在（zài）黑客圈几年前就有了（le），这一次只不过（guò）是个比较集中的爆发”

是谁（shuí），在什么时候（hòu），拿走了这些涉（shè）及用户隐私的数（shù）据？原本隐秘在黑客圈的数据（jù）库缘何会曝光在公众（zhòng）面前？互联网是否还有安全可（kě）言？此轮网络大泄密，让（ràng）这些问题成（chéng）了普通互联（lián）网用户（hù）最自然的追（zhuī）问。

“这些（xiē）数据（jù）库在（zài）黑客圈几（jǐ）年前就有了，这一次只不（bú）过（guò）是个比较集中的爆发。”安全（quán）宝CEO马杰对财新《新世纪》记者称，CSDN数（shù）据（jù）库的曝光（guāng）看似（sì）偶然（rán），实则必然。“冰冻三尺非一日之寒，互联网行业安全（quán）问题的累积已经太多了，迟早（zǎo）会爆发（fā）。”马杰在安全行业超过十年（nián），曾任瑞星（xīng）研发总（zǒng）经理，负责个人和企业的安全（quán）产品。

这也是网络（luò）安全（quán）行（háng）业人员近乎一致的观（guān）点。天（tiān）融信公司高级安全顾问吕延辉向财新《新世纪》记者证实，最早在2008年（nián）时，就曾听说（shuō）有一些网站的（de）数（shù）据（jù）库在黑客圈流传。

本次密（mì）码信（xìn）息最先被（bèi）公（gōng）布（bù）的CSDN社（shè）区，后来曾组织安全专家进行讨论，得知公司（sī）的（de）数据库（kù）事实上早就在黑客的手上了。“并不是说这（zhè）一刻先攻破了CSDN，放（fàng）出（chū）数据库（kù），然后下一刻攻破了天（tiān）涯再放（fàng）出数据（jù）库。而（ér）是这些（xiē）数（shù）据他们手上（shàng）一（yī）直都有，只不过抛出来的时间不一样。”蒋（jiǎng）涛说。

天融信成都（dōu）分公司技术负责人邹晓波称，早期的很多网站，都可以（yǐ）通过服（fú）务器渗透（tòu），取得后台数据（jù）库的权限，直接取得数据。“黑客圈内人都（dōu）知道谁被盗了，他们（men）不（bú）一定公布，但是会炫耀，在（zài）小范围内流传，大部（bù）分没有（yǒu）去获利。”

CSDN社区数据（jù）库（kù）的曝光，曾经被指向一名ID为Hzqedison的金山公司员（yuán）工，他分享数据库下载地址的截图最早在网上流传。12月22日，CSDN数据库外泄一事被广泛关注的时候，Hzqedison在新浪微博表示道歉。随（suí）后，金山公司也发表（biǎo）声明，金山员（yuán）工并非网络上传言的黑（hēi）客，并非最早对外发布密码库的（de）第（dì）一人。

Hzqedison解释了事情的（de）经过：“12月（yuè）21日，我在一个聊天群里看到CSDN数据库的迅雷下载地址，就离（lí）线下（xià）载（zǎi）了该文（wén）件来检查自己账号（hào）是否被泄露。为了（le）让同事们也检查，才做了（le）分享（xiǎng）贴到同事群里。5分钟后，该（gāi）地址截（jié）图被发到了乌（wū）云漏（lòu）洞报告平（píng）台上，得知（zhī）后我（wǒ）立即删除了迅雷（léi）分享地址（zhǐ）。因（yīn）为删除（chú）很及时，该地址只有几名同事下载（zǎi）过（guò），而且从未（wèi）将数据库文件外泄。”

李铁军（jun1）告诉财（cái）新《新（xīn）世纪》记者，据他了解，当时该（gāi）金山员工上传CSDN数据库时，是“秒（miǎo）传（chuán）”的，说（shuō）明这个数据库（kù）文件在迅雷下载（zǎi）服务器中早已存在。

“是谁最（zuì）早上（shàng）传了（le）这些数据（jù）库，现在已经（jīng）很难（nán）确（què）定。”李（lǐ）铁军（jun1）说，除了（le）CSDN的数据库，还有其他网站（zhàn）的数据库一起在网上流传。因为CSDN的影响力比较（jiào）大，所以就传（chuán）开了。

事实上，CSDN数据库曝光之前已（yǐ）有征兆（zhào）。李（lǐ）铁军告诉财新《新世（shì）纪》记者，他在12月14日前后，即泄密事件发生的前一周（zhōu），就已经注意到有很（hěn）多（duō）网友（yǒu）在新浪微博上反映账号被盗，“这是黑客（kè）在用数（shù）据（jù）库去试探新浪（làng）的数据库，有些就撞到了”。

马（mǎ）杰分析，这次曝光的网（wǎng）站（zhàn）数据库应（yīng）该是最近（jìn）几年间连续不断被刷库的。“安全圈也（yě）知（zhī）道，这几年（nián）地下黑客圈在刷库，也知道一（yī）些数（shù）据（jù）库在（zài）黑客圈流传。”

所谓刷库，是指（zhǐ）黑（hēi）客入（rù）侵网（wǎng）站服务器之后窃取用户数据（jù）库的行为，互联网（wǎng）业内也（yě）称其为“拖库（kù）”，取其谐音，也形（xíng）象称之为“脱裤（kù）”

看上（shàng）去，金山（shān）员（yuán）工（gōng）“偶（ǒu）然”的发现和分享，加上（shàng）地下黑客累积经年的（de）刷库行为，以（yǐ）及（jí）数（shù）据（jù）库（kù）在（zài）圈（quān）子中的一轮轮（lún）扩散，最终（zhōng）促成了（le）这次网站数据库大规模的曝光（guāng）。

但是，这里面依然隐藏（cáng）着（zhe）两个问题。第一，金山员工如何能（néng）“偶然”发现原本在地下黑客圈（quān）流（liú）传的数据库？第二，仅是CSDN的数（shù）据库曝光，缘何能引发一（yī）连串的数据（jù）库（kù）浮（fú）出水面（miàn）？

地下黑客圈传输或交（jiāo）换文件，一般都是点对点的传输，有时（shí）甚至通过邮寄移动硬盘或光盘来实现。但随着被刷的数据库越来越多，转手（shǒu）的次数越来越多，参与（yǔ）的人数也越来越多，出错和曝光（guāng）的概率就越来越大。

乌云漏洞报告平台的创建人剑心分析说，由于（yú）不同黑客掌（zhǎng）握的数据（jù）库（kù）各有不同，刷出来（lái）的数据库会（huì）在（zài）黑（hēi）客圈中交换（huàn），这样就（jiù）会一（yī）轮（lún）一轮（lún）的扩散。很有可能（néng）是某个（gè）人在转手（shǒu）传播的过程中，由于文件太大，无法实现（xiàn）网（wǎng）络上点对点的传（chuán）输，不得不利用迅雷、网盘一类的（de）工具（jù）进行（háng）上传和下载。在这过程中，工具会把这些文件泄露出来，甚至会在（zài）搜索“数据”等关键词时出（chū）现推荐。这样扩散的（de）范围就更大，进入与黑客圈有交（jiāo）流的安全圈也就不足（zú）为奇（qí）了。

至于网站用户密码连续（xù）被报丢失（shī）的现（xiàn）象，吕延（yán）辉（huī）解释说，一些数据库曝光之后，黑客手中那些与之雷同（tóng）的数据库就没有价值（zhí）了。并（bìng）且，引发公众关注后，基本所有网（wǎng）站都会（huì）通（tōng）知用户修改密码，政（zhèng）府相关部门（mén）可能还会介入，那么其他的一些非核（hé）心数据库的价值也就更低了。

吕延辉表示，可（kě）以看出来，这次（cì）曝光的数据库（kù）都是在地下黑客圈转手很多次的（de），本身价值也（yě）不（bú）大（dà），再加上CSDN数据库的曝光，其他数据（jù）库的含金（jīn）量进一步（bù）降低，那些手上（shàng）有库的人（rén）抛出来（lái）也不奇怪，这才形成了一连串的规模效应。

脆弱的（de）网站安（ān）全

泄密事件，将众多网（wǎng）站（zhàn）在安全方面的（de）脆（cuì）弱暴露（lù）无（wú）遗。知名网（wǎng）络安全（quán）专家、安（ān）天实验室（shì）首席技术架构师（shī）江海客直（zhí）言，这是一个安全（quán）崩盘的时（shí）代。

安全圈内资深人士的共识是，被黑客攻击（jī）和刷库，各（gè）大网站几（jǐ）乎是无（wú）一幸免，只是程度和范围的不同。在做安全行业（yè）的（de）人看来，目前大部分网站的安全（quán）性都（dōu）不足。“这一次表面上看是（shì）明文密码库的问题，但实际上多数网站从根本上都没有重视自身的信息安全。”天融信公司副总裁（cái）刘辉对财新《新世纪（jì）》记者表示，网站把绝大部（bù）分资金投（tóu）入（rù）到日（rì）常（cháng）运（yùn）营中，只有被攻击或（huò）吃过教训后（hòu），才（cái）想起来安全的重要性。

“一些（xiē）网站（zhàn）之所以容易被‘脱裤（kù）’，很大一部分原因就是因为（wéi）本身（shēn）就穿得太少了。”刘辉说，很多经营性网站甚至都没有（yǒu）专门的网络（luò）安全工程（chéng）师。

CSDN社区（qū）数据（jù）库在此次事件中最（zuì）先曝光。蒋涛也坦言，“原来对安全的（de）认识还停留在（zài）相对低的水平上，觉得自己的数据不是什么关键数据，别人拿去也没（méi）什么（me）用。”

但这次一连串的数据库泄密事件证明（míng），互（hù）联网存在很大的关联性，特别是拥有大量用户的网站，更不是一个孤立（lì）的（de）存在，很多用户的邮箱、账（zhàng）号都与（yǔ）别的系统（tǒng）相关联，一旦有事，就会造成跨网站的连锁反应。另外，由于安全（quán）问题出在了服务器（qì）端，普通用户（hù）基本没有办法防范（fàn），数（shù）据库被刷后曝光出来（lái），用户只能被（bèi）动的修改密（mì）码。

马杰则指出，现在互联网（wǎng）从原来提供内容为主，到现在（zài）有很多的网上购物（wù）与社交，网站的重要（yào）性进入了另（lìng）外一个层面，但安全现状停步（bù）不前。“现（xiàn）在网站数据中所包含信息的价值在（zài）上升（shēng），但安全（quán）防（fáng）护的措施并没有（yǒu）加强。”他（tā）说。

另一方面，专业做网站（zhàn）功（gōng）能、应用和服务的人，与专业做安全的人，在技（jì）术思维上也存在巨大差（chà）异。“一个B2C网（wǎng）站（zhàn）的程序员，做了一个系统，花了几个（gè）月的功夫（fū），自己觉得（dé）没什么问题，然（rán）后请专业（yè）做安全的人去找（zhǎo）漏洞（dòng），结（jié）果做不到十分（fèn）钟就破解了。”李铁军举例说，二者没（méi）有高下之分（fèn），只是职（zhí）业的特征决定了思（sī）路（lù）上的（de）差（chà）异。

思路上的差异，加上安全意识的不（bú）到位，导致了网站（zhàn）安全的（de）脆弱。CSDN、天涯（yá）社区至今仍未（wèi）披（pī）露数据库外泄的具体原因。马杰告诉财新《新世纪》记者，从技术（shù）上讲，有很多种方法可以刷库，“就（jiù）像一个（gè）很大的房子，可以爬窗户、撬门，或者从烟囱进来（lái），甚（shèn）至挖个地道进来，就看黑（hēi）客想花多大的（de）功夫（fū）和精（jīng）力”。

通常（cháng）来说，黑客都是通过发（fā）现网站或应用软件的漏洞进入服务器，然（rán）后想（xiǎng）办法提升权限，就可以把数据（jù）库下（xià）载下来。对一些防护比较弱（ruò）的网站，甚至都不用进入网站（zhàn）就能刷（shuā）库。安（ān）全行业资深人士TK说：“只要分两步，第一步找（zhǎo）到一（yī）个SQL注入点，执行一条（tiáo）备份（fèn）命令，备份到一个目（mù）录（lù）去；第（dì）二步，从（cóng）目（mù）录把数据下载回来。根本不需要（yào）获得（dé）网（wǎng）站的权（quán）限（xiàn），只（zhī）要有SQL注入的漏洞，就可（kě）以爆库了（le）。”

剑心告（gào）诉财新（xīn）《新世纪》记者，决（jué）定在12月30日临（lín）时关（guān）闭乌云平（píng）台的（de）其中一条原因，就是担心（xīn）后续几天爆（bào）出的网站漏洞会越来越（yuè）多（duō），引起（qǐ）互联网用户的恐（kǒng）慌。乌（wū）云漏洞报告平（píng）台是由一群（qún）互联网安全研究人员（yuán）自发组织的信息（xī）安全沟通平台，研究（jiū）人员在（zài）上面提交厂商的（de）安（ān）全问题（tí），也披露一些通用的安全（quán）咨询和安（ān）全使用（yòng）。有超过500个“白帽（mào）子（zǐ）”安全研究人员和120多个厂（chǎng）商参（cān）与（yǔ）平（píng）台，反馈和处理了接近（jìn）4000个安全问题。在泄密事件（jiàn）引（yǐn）发大范围关注（zhù）后，乌云平（píng）台因曾多次发布相（xiàng）关安全漏洞预警而被关注。

剑（jiàn）心也证实说，目（mù）前国内除极（jí）少（shǎo）数大（dà）型网站外，可（kě）能都（dōu）被黑客刷（shuā）过库（kù），包括网易、搜狐在内的（de）门户，一些漏洞都（dōu）是在乌云平台上被证实的。此外，近年（nián）来快速膨胀的电子商务网站，在剑心看来，安全性更是糟糕，乌云平（píng）台（tái）已经多次证实（shí）并（bìng）报（bào）告了他们的（de）漏洞。这其中就（jiù）包括（kuò）11月10日所报告的当（dāng）当网漏洞（dòng），可以抓（zhuā）取超过4000万条用户信息。

相（xiàng）对（duì）而言，金融系统的安（ān）全性（xìng）较强。银行通（tōng）常（cháng）会采用硬加密的技术，既不（bú）仅依靠登录密码和交易密（mì）码（mǎ），还（hái）需有一个外在于密码系（xì）统的物理密钥，比（bǐ）如（rú）发（fā）送到手机的动态口令或U盾密钥，其安全性要高于单靠密码（mǎ）的“软加密（mì）”方（fāng）式。但是，随着第三方（fāng）支付（fù）、代收（shōu）费、代（dài）缴费等业务的展开，银行系统需（xū）要开放（fàng）的接口也越来越多，对（duì）银行系统的安全提出了更高的要求。

除网站的安全（quán）性差外（wài），本次泄密（mì）事件中备受诟病的还有明（míng）文密码（mǎ）库（kù）。所（suǒ）谓明文密（mì）码（mǎ）库（kù），即在对用户密码信息存储时未（wèi）进行加密处理，黑客（kè）获（huò）得数据库后，所有（yǒu）的（de）用户（hù）名、密（mì）码一目了然，更加（jiā）容易利用。

蒋涛解释（shì）称，各家网站的明文密码库都有复杂的（de）历史（shǐ）原因，CSDN是在2010年9月之后才（cái）采用了密文存（cún）储（chǔ）。“这不（bú）是（shì）一家的问题，而是行业性的问题。”

但是，加密存储也并不一定意味着安全。多位受访的网络安全专家告（gào）诉财（cái）新《新世纪》记者，现在相对简单的MD5加密方法（fǎ）已经（jīng）不安全，黑（hēi）客圈建立了庞大的MD5值（zhí）的“字典库”，通（tōng）过（guò）“查字典（diǎn）”的方式很快就能破（pò）解还原。

马杰建（jiàn）议，在进行密文存储时，还需要对加密算法做一些改变，或多次加密，安全性能才（cái）会有所提升。尽管（guǎn）通过“彩虹表”碰（pèng）撞等方（fāng）法不存在破解不了的情况，但（dàn）至少会（huì）大大增加破（pò）解的成本和时间，降低数据库对黑客的吸引力。

乌云平（píng）台撰文称，最好（hǎo）的安全应该是自始至终就有人为（wéi）安全负责，将安（ān）全落（luò）实到公司的流程（chéng）制度（dù）规（guī）范（fàn）以及基（jī）础技术架构里去，形（xíng）成完善的安（ān）全体系（xì），并（bìng）且（qiě）持续更新迭代，“如果以（yǐ）前没有这方面制度，就从现在开始建设；如果没（méi）有团队，就（jiù）可以先找一些公司或者外部（bù）顾（gù）问。但（dàn）是记住，不（bú）要幻（huàn）想一次性的投入就（jiù）可以抵抗利益驱动（dòng）长久进（jìn）化的（de）黑色产业链”。

黑色（sè）产业（yè）链

有人负（fù）责发掘漏（lòu）洞，有人（rén）负责根据漏洞（dòng）开发利（lì）用工（gōng）具，有人负（fù）责（zé）漏洞利（lì）用工具的（de）销售，有人负责刷库，有人（rén）负责（zé）洗库，有人负责销售（shòu），还有人利（lì）用数（shù）据（jù）库钓鱼、诈骗、发送垃圾（jī）邮件

大规模的泄密事（shì）件，也使（shǐ）得（dé）互联网江湖中最为（wéi）隐秘的黑（hēi）色产业链再度引人（rén）关注。“熊（xióng）猫烧（shāo）香”病毒让（ràng）公众知道了病毒黑（hēi）色产业链，而此次的泄密（mì）事件则指向了数据（jù）交易（yì）的黑色（sè）产业链。

马（mǎ）杰告诉财新《新世纪》记者，最近几年，“黑帽子”黑客圈内的盈利模式发生（shēng）了一（yī）些（xiē）变化（huà）。最早是“挂马”比较挣钱，通过发现漏洞SQL注入，然后想办（bàn）法获得网站权限，在网页上（shàng）挂上木马程序，中了木（mù）马程（chéng）序的机器就成为“肉鸡”，通过木马控制“肉鸡”来赚钱（qián）。比如说盗号、弹窗、导流量等。

“早几年木马（mǎ）猖獗的时候，一（yī）个服务器能（néng）控制几万（wàn）台的（de）‘肉（ròu）鸡（jī）’。即使只是IE自动（dòng）跳转到某一页面，每年也能带来可观的流（liú）量和收入。”李铁军说，还（hái）有黑客利用系（xì）统漏洞和木马（mǎ）进行“钓（diào）鱼诈骗”，从个人客户一（yī）端（duān）入侵网银系统，进行非法（fǎ）转账等。

后（hòu）来，“挂马”和（hé）“钓（diào）鱼（yú）”被（bèi）各大安全公司打击得非常厉害，特别是免费杀毒软件在个人终端的普及。而（ér）这个时候（hòu），地下黑客（kè）发现（xiàn），刷库（kù）是（shì）个（gè）更快、更直（zhí）接的赚钱方法。

最近（jìn）几年，围绕数据交易的黑色产业链（liàn）正在逐步（bù）形成。在地下黑（hēi）客圈内，一（yī）些大型网（wǎng）站（zhàn）的数据库被明码标价，一个数据（jù）库（kù）整个端下来，价值数百万元到上千万元不等。

拖库成功后，到手的数（shù）据（jù）库可（kě）以有（yǒu）很多用（yòng）途，比如直（zhí）接卖（mài）给被刷（shuā）库网站的竞争对手。黑（hēi）客还可以利用部分互联网用户“多（duō）家（jiā）网站一个（gè）用户名一个密码”的习惯，去（qù）试探（tàn）别的网站（zhàn）数据库。这叫（jiào）“撞库”，技术（shù）上也很容易实现，只需要编写一个脚本，自动不断（duàn）用已盗取数据库里的（de）信息去（qù）请求登（dēng）录。由于都是正常（cháng）请求，被撞的网站（zhàn）也很难（nán）防范，所以也会有网站（zhàn）“躺（tǎng）着中枪”。

安全业内人士称，刷库之后，黑（hēi）客（kè）拿着数据库去（qù）“撞”有虚拟币系统（tǒng）的游戏网站、腾讯，以及网上银（yín）行、支（zhī）付宝及电子商务网站，都是必然会发生（shēng）的事情。如果撞到了重合用户，将其账号内虚拟资产、网银洗（xǐ）劫一空都是再自（zì）然不（bú）过（guò）了。

经过多次倒（dǎo）卖和“洗库”之后，数据库还（hái）能被（bèi）卖给价值链的末梢买家——利用账号信息来发（fā）送广告、垃圾邮件、垃圾短信的推销公司。通（tōng）常（cháng）情况下，数据库（kù）的价格越卖越便（biàn）宜，流（liú）传（chuán）的范围也就越广，距（jù）离（lí）曝光也就越（yuè）近。

而在整条（tiáo）黑（hēi）色产业链（liàn）中，分工也比较明确。最核心和最难的是（shì）发掘漏（lòu）洞，这（zhè）对技术的要求最高，能发掘漏（lòu）洞（dòng）的黑客（kè）也比较少。吕延（yán）辉介绍，在地下黑（hēi）客中，有人专门负（fù）责发（fā）掘漏洞，有人专门负责根据漏洞开发利用工具，有人负责漏洞利用工具（jù）的销（xiāo）售，有人负责刷库，有（yǒu）人负责洗（xǐ）库，有人（rén）负责数据库的销售，最后端，还有人利用（yòng）数据库钓（diào）鱼（yú）、诈骗（piàn）、发送垃圾（jī）邮件。

有网（wǎng）络安全（quán）人士估算（suàn），目前（qián）互（hù）联（lián）网的地下（xià）黑色产业链规（guī）模（mó）已（yǐ）经达到上（shàng）千亿元，而安（ān）全行（háng）业（yè）的规模目前（qián）还只有几百亿元，“就像毒（dú）品（pǐn）的（de）市场规模（mó）反而（ér）大（dà）于麻醉药的（de）市场规模”。

失能的法律防火墙

周汉（hàn）华表示，“当网站的资料（liào）和个人信息紧（jǐn）密相连，安全（quán）却没有保障，这种情况（kuàng）下，实名制是相当危险的”

刘辉判断（duàn），这次泄密（mì）事件将注定（dìng）会是互联网发展（zhǎn）历史上一件大事（shì）。一方面是（shì）对互联（lián）网业务发展模式的（de）影（yǐng）响（xiǎng）；另一方面，则是互联网行业安全规（guī）范机制的建立已势在必行。

“短（duǎn）期内，互联网行（háng）业的发展会（huì）受到一（yī）定的（de）影响。”刘辉说（shuō），例如（rú）近两年兴起的云计（jì）算服务（wù），现在提供云（yún）服务的互联网公司必须要重（chóng）新建立用户的信息，并说服用户上传至云端的资料是安全（quán）的。要说服（fú）用（yòng）户，就需要相应的安（ān）全承诺及安全认证机（jī）制（zhì）。

蒋涛（tāo）也表示（shì），这次泄密事（shì）件相当于给整（zhěng）个互联网业上了（le）一课。“CSDN也是专业的（de）IT社区平（píng）台，我们会利用这个平台来加强安全的教育和普及，提升互联网行业的安全意识（shí）。”他说，除了加强（qiáng）自身（shēn）的安全性，这是CSDN在2012年要去做的（de）重要（yào）事情，“互联网上各（gè）大网站的关联度（dù）越来越（yuè）高，安全已经不（bú）是一家两（liǎng）家的问题，而（ér）是全行（háng）业的问题”。

在全世界，身份（fèn）的（de）盗用和密码的泄露每天都（dōu）会出现，但与发达国家不同的是，这次密码泄（xiè）露事件发生后，各方几乎束手无策。“大家（jiā）都不知（zhī）道（dào）怎么去保护自（zì）己的（de）权利，大家就只能看着发生，等着（zhe）下（xià）一次什么时候（hòu）发生。”中国（guó）社会（huì）科学院（yuàn）研（yán）究员周汉华对（duì）财新《新（xīn）世纪》记者（zhě）说，“我们的问题是没有有（yǒu）效的管理手段（duàn），没有可以（yǐ）适用（yòng）的法律。”

在（zài）亚太网络法律研究中心主任（rèn）刘（liú）德良教（jiāo）授看来，个人（rén）信息在网络时代越来越具有商业价（jià）值，这也是目（mù）前非法（fǎ）收集、加（jiā）工、买卖和商业性滥（làn）用个人信息（xī）行为（wéi）日益泛滥的内在驱动力。针对（duì）如（rú）此严重的网络的个人（rén）信（xìn）息安全威（wēi）胁，法律的“防火墙”为（wéi）何失能以及如何重构（gòu），成为一（yī）个急需解决（jué）的问题。

上海一位经侦人员对（duì）财新（xīn）《新世纪》记者介绍，他们曾经侦办过一个（gè）利用个人信息实施（shī）犯（fàn）罪的（de）案子。有人发现（xiàn）几（jǐ）百万（wàn）元银行存款（kuǎn）莫名（míng）消失，于是报案。此案涉及几百万条的车（chē）主（zhǔ）信息数据（jù）库（kù），这些信息有黑客攻（gōng）击得到的，也有银行、保险业的内（nèi）部人泄露（lù）出来的。犯（fàn）罪分子的（de）作案手法是（shì），通过内部（bù）泄露或者黑客（kè）攻击得到包括（kuò）车（chē）主（zhǔ）姓名和身份证号码的用户信息库，找银（yín）行的（de）人查（chá）开户信息，这（zhè）个（gè）行话叫“包（bāo）行”，几（jǐ）百块就能（néng）做（zuò）。得到（dào）卡号后，然后猜密码，利用黑客软件（jiàn）和银行（háng）卡进行（háng）比对。

从刑事法律来看，2009年《刑（xíng）法》修正案增加了“非法侵（qīn）入计算机（jī）信息系统罪（zuì）”的条（tiáo）款，“违反国家规定（dìng），侵入计算机信（xìn）息系统或者采用其他技（jì）术手段，获取该计（jì）算机信息（xī）系（xì）统（tǒng）中存（cún）储、处理（lǐ）或者传输的数据，或者对该（gāi）计算机信息系统实施非（fēi）法控制（zhì），情节严重的，处（chù）三年以下有（yǒu）期徒刑或者拘役（yì），并处或者单处罚金（jīn）；情节（jiē）特（tè）别严重的，处（chù）三（sān）年（nián）以上七年以下有期徒（tú）刑（xíng），并处罚金”。

同年，全（quán）国人大常委会还出台《侵（qīn）权责任法》，规定（dìng）网络服务提（tí）供者和网络用户利用网络侵害他人民事权益的（de），应（yīng）当承担侵（qīn）权责任；网（wǎng）络（luò）服务提供者知（zhī）道网络用户利用其网（wǎng）络（luò）服务（wù）侵害他人民事权益，未采取必要（yào）措施的（de），与该网络（luò）用户承担连（lián）带责任（rèn）。2000年，全国人（rén）大常委（wěi）会又专（zhuān）门制定了《关于维护互联网（wǎng）安（ān）全的决定》，重申各种互联网违法的刑事责任和民事责任。

在行政监管（guǎn）层（céng）面，除（chú）了国务院（yuàn）在（zài）1994年制定（dìng）的《计算机信（xìn）息系统安全保（bǎo）护条例》，作为（wéi）全（quán）国（guó）计（jì）算机系统安全保（bǎo）护工作（zuò）主管（guǎn）部（bù）门的公安部（bù），也制定了《信息安全等级保（bǎo）护管理办法（fǎ）》以及《计算机信息（xī）系（xì）统安全保护等（děng）级划分准则》《信息系统（tǒng）安全等级（jí）保护基本（běn）要（yào）求》《信息（xī）系统安（ān）全等级保护（hù）测评（píng）要求》等30多（duō）个（gè）标准。

多（duō）重（chóng）的（de）法律规定，为何（hé）实施效果不佳？周汉华认为，《刑法（fǎ）》的适用（yòng）门（mén）槛比（bǐ）较高，需（xū）要（yào）“违反国家规定”和“情节严（yán）重”的条件，何（hé）况这两个条件目前都缺乏相应的标准。而《侵权责任法》的（de）适用，在网络环（huán）境下，当事（shì）人举证非常困（kùn）难，而（ér）且存在成本投入和收益不对称的情况（kuàng）。

周汉华认为，《刑法》和《侵权（quán）责（zé）任法》都属于（yú）事后救济，在网（wǎng）络时代，由于损害的发生是（shì）系统性（xìng）的、不可复原的，所以对网络安全以（yǐ）及个人信（xìn）息进行全流程的（de）监（jiān）管才更为有效（xiào）。目前对于这种全流程的（de）监管，中国既（jì）缺乏专门的法律，也没有专门的执法机关，搜集个（gè）人资料的企（qǐ）业所应承（chéng）担的相应的安全责（zé）任以（yǐ）及相应的信息流管理行为规范都缺（quē）失。“这就是（shì）为什么要制定《个人信（xìn）息（xī）保护法》的原因。”周（zhōu）汉华称。

据财新《新（xīn）世纪》记者了解，早在2003年之时，周汉华曾经受当时的国务院信息（xī）化（huà）办公室委托，主持《个人信息保（bǎo）护法》的（de）立法研究，并且在2005年形成了一份（fèn）专家（jiā）意见稿。但（dàn）时隔（gé）多年，这部法律（lǜ）的立法工作迟迟未被启动。

刘德良（liáng）教授（shòu）认为，在（zài）当前中国的法律框架下，把个人信息都纳入人格权的（de）范畴，而（ér）不承认个人信息的商业价值也是个人的财产；人格（gé）权（quán）受到侵（qīn）害后，原则上也不能要求财（cái）产（chǎn）损害赔偿。因此他提出，对于个（gè）人信息的法律保护，应该包括隐私上的人格利益和个（gè）人（rén）信息的商业（yè）价值这双方面，将个人信（xìn）息（xī）的（de）商业（yè）价（jià）值视为个人的财（cái）产，未经允许擅自收集和商业性利用个人（rén）隐（yǐn）私，既（jì）是一种侵犯（fàn）人格权的行（háng）为（wéi），也是一种（zhǒng）侵（qīn）害财产权的（de）行为。