然而，潘多拉魔盒已经打开，CSDN数据库的泄露仅仅（jǐn）是个开始。“没想到后面的（de）事情越来越（yuè）大，已经到了不可收拾的程度。”蒋涛说。

12月22日（rì），知（zhī）名IT博客“月光博客”披露，多玩（wán）网数据（jù）库泄露超（chāo）过（guò）800万（wàn）条信息，有大（dà）量用户名、明文密码、邮箱（xiāng）及部分（fèn）加密密码（mǎ）。“经（jīng）过验证，使（shǐ）用（yòng）该数据（jù）库中的用户名和密码可（kě）以（yǐ）正（zhèng）常（cháng）登录多玩网。”

同日（rì），标注为“人（rén）人网500万用户资料”的文件（jiàn）开始在（zài）网上流传，嘟（dū）嘟牛、7k7k、178游戏网、CSDN等多家（jiā）网站数据库文件的截图也（yě）出现在微博上，涉及的用户信息总量超过（guò）5000万条。但人人（rén）网否认用户数据遭（zāo）到泄露，他们在官方微（wēi）博上提醒称，“如果您的人人网账号密码和CSDN或其他网站一致，建议您马上修改密码，以免账号被盗。”人人网相关人员在（zài）接受采（cǎi）访时（shí）表示，提（tí）醒用户只是出于安全考虑。

12月25日，泄密规模进一（yī）步扩大，网络上开始流传天涯论坛的用户数据（jù）库（kù），信息总量超过4000万（wàn）条（tiáo）。随后，这一新（xīn）闻被天（tiān）涯社区官方致歉信证实：由（yóu）于历史原因，天涯社区早期使用（yòng）明文密码（mǎ），在2009年11月改成加密密码，但是（shì）部分老的明（míng）文密码库未被清理，黑客泄露的正是2009年11月升级密码保（bǎo）存方式之前所注册的用（yòng）户。不过天涯（yá）社区并未在公告中对（duì）泄露的用户规模（mó）进（jìn）行确认。天涯社区公关经理初蒙在接受财新《新（xīn）世纪》记者采访时表示，确认用户信息遭泄（xiè）露后，已经（jīng）向海南省公安厅、海口市公安局报案，案件目前正在侦查（chá）之中。

12月26日，网（wǎng）上（shàng）又传（chuán）出新浪微博的用（yòng）户资料（liào）疑（yí）似（sì）被（bèi）泄露，并公（gōng）布了（le）新浪微博（bó）数据下载地址。这个疑似数据库一共（gòng）有约（yuē）476万条账户和（hé）密码（mǎ）信息。

此后，泄密（mì）事件继（jì）续（xù）发酵升级，传闻（wén）开始波及到电（diàn）子商务及银行系统。12月（yuè）27日，乌云（yún）漏洞报告平台披露京（jīng）东商城的漏洞，“在某（mǒu）些业务上存（cún）在用户权限控制不当的漏洞，导致（zhì）任意用户登录系统后，都可以（yǐ）正常访（fǎng）问到所有用户的信息，包括姓名、地（dì）址、电话、Email等。”这一漏洞报（bào）告得到了京东商（shāng）城方面的响（xiǎng）应（yīng）。

12月28日，“当当（dāng）网1200万用户信息遭泄露（lù）”的说法亦被“小部分（fèn）”证实。当当（dāng）网的公告（gào）称（chēng）：“经（jīng）核实，网络公布的信息数据只有极小部（bù）分属实，且均（jun1）系2011年6月之前的老数据，该部分数据是由于之前遭到网络黑客攻击被盗取。”

乌云漏洞报告平台在12月28日也再次报告称，“支付宝用户大（dà）量泄露，被用于网络营销，泄露总量达1500万-2500万之（zhī）多（duō），泄露事（shì）件不明，里面只有支付宝用户的账号，没有密码”。支付宝随（suí）后回应（yīng）称，支（zhī）付宝账号不（bú）是私密信息（xī），在（zài）很多地方（fāng）都可以搜集到，只有账号没有密码（mǎ），对用户资金安全没有任何威胁，“支付宝采取金融级的信息安全标准（zhǔn）去保护用（yòng）户信（xìn）息及资金安全，我们承诺没（méi）有任何（hé）人能从（cóng）支付宝（bǎo）获得用（yòng）户（hù）的密码等私密信息。过去没（méi）有，以后也没有，请大家放心”。

但12月（yuè）29日，更吓（xià）人（rén）的消息又在网上（shàng）疯传（chuán）：交（jiāo）通银行（háng）、民生银行分别泄露用户（hù）资料7000万和3500万份，“卡号、姓名、密码都有”，并配有截（jié）图。当天（tiān）下午，交通银行、民生银行、工商银行等（děng）分别发布公告辟谣，称“用户资（zī）料外泄的传闻（wén）纯属谣（yáo）言”。

当日晚间，又有（yǒu）网友披露称，广东省公（gōng）安厅出入境政府服务网网（wǎng）上（shàng）申请数（shù）据泄（xiè）露（lù），几（jǐ）乎所有提交网（wǎng）上申请用户的真（zhēn）实姓（xìng）名、出生年月（yuè）、电话、护照号码、港（gǎng）澳通行证（zhèng）号码等信息均可查（chá）到（dào），泄露的总（zǒng）信息量高（gāo）达（dá）444万条（tiáo）。这一信息（xī）被广（guǎng）东（dōng）省公安厅证实：2011年6月24日至2011年12月（yuè）29日期间，在广东申请出入（rù）境的（de）用户信息遭到泄露。

仅（jǐn）仅（jǐn）一个星期，泄密已经（jīng）从CSDN一家网站（zhàn）的危（wēi）机演（yǎn）化成为了席卷（juàn）整个（gè）互（hù）联网的大事件。一时间，各大网（wǎng）站人人自危，真假（jiǎ）数据库屡屡（lǚ）出现（xiàn）。国家互（hù）联网应急中心对（duì）所曝（pù）光的数据进行了（le）抽查核实（shí），发现部分数据（jù）是有效的，经过与相（xiàng）关网（wǎng）站、论坛联系后，确认CSDN社（shè）区（qū）、天（tiān）涯社（shè）区（qū）两家网站发生了（le）用（yòng）户数（shù）据泄露事件（jiàn），但泄露原因（yīn）还有待进一（yī）步分析；对（duì）于其他网站、论坛，虽然曝（pù）光数据中个别（bié）条目有（yǒu）效，但不能判定发生了网（wǎng）站、论坛用户数（shù）据（jù）泄（xiè）露（lù）事件。

金山网络（luò）反病毒工程师李（lǐ）铁军12月30日接（jiē）受财新《新（xīn）世纪》记者（zhě）采访（fǎng）时（shí）则表（biǎo）示（shì），根（gēn）据（jù）他们从网上下载的（de）数据库，剔除重复（fù）信息之后，有超过1亿条（tiáo）的用户信息（xī）在此次事件中泄露。

一位不愿具名的网（wǎng）络安全工程（chéng）师也向财新《新世（shì）纪》记者证实，经过重合度分析（xī）、数据库格式（shì）判断等验证分析，基本可以断定（dìng）“有（yǒu）十几家（jiā）网站的数据库比（bǐ）较靠谱，应该是真（zhēn）实的”。

大规模（mó）用（yòng）户数据泄密后（hòu），各（gè）种“浑水（shuǐ）摸鱼者”也随之而（ér）来。蒋涛告诉（sù）财新（xīn）《新（xīn）世（shì）纪》记（jì）者，一些人开始制造假的数据库来混淆视听；一些网（wǎng）站通知所有用户修（xiū）改密码，以乘机激活“沉睡”用户；甚至一（yī）些（xiē）网站把（bǎ）曝光的数据库直接导入自己的（de）数据库，然后（hòu）发通知给用户修改密码（mǎ），不费吹灰之力即获得上千（qiān）万规（guī）模的用户（hù）。当然，对用（yòng）户影响最直接（jiē）的是（shì）各种（zhǒng）垃圾（jī）邮件、钓（diào）鱼邮（yóu）件多了起来。

真正令（lìng）人担心的是，或许还有（yǒu）更大规模的（de）数据被地下黑客所掌握，只是没有公布（bù）而已。著名网络安全（quán）专家龚蔚（wèi）（goodwell）公（gōng）开表示（shì），这次曝光的1亿（yì）多（duō）条（tiáo）用户账（zhàng）号及密码（mǎ）等相关信（xìn）息（xī），只是黑客所掌握（wò）数据的（de）“冰山（shān）一角”，预计有将近4亿（yì）-6亿的用户账号信（xìn）息在黑客地下领域（yù）流传。

翻过（guò）新年，此波网络账（zhàng）号（hào）信（xìn）息（xī）泄密的浪潮仍有余（yú）波（bō）。1月4日，一位网络ID为“网路游侠”的“白帽黑客”在自（zì）己的博客上发布（bù）了新（xīn）浪的（de）漏洞：新浪iask站点存在SQL注入（rù）漏洞，利用漏洞可以读取iask数据库内（nèi）容，包括明（míng）文密码在内的7000多万新浪（làng）用户信息。由（yóu）于（yú）新（xīn）浪实行“全站一号登录”，黑客利用（yòng）这个漏洞还可以获得（dé）新浪微博的相关（guān）账号信（xìn）息。“网路游侠”以知名魔术师刘谦的微博（bó）为例，通过构造数据（jù）库查询语句就轻松获得了刘谦的账号及密码信息，并成功登录。当天晚间，刘（liú）谦（qiān）在微博上转发该博（bó）客（kè），证实此事。不过，“网路（lù）游侠”称，这个漏洞他是在1月1日发现，已及（jí）时通（tōng）知新浪官方（fāng），并在新浪修（xiū）复（fù）了（le）该漏洞后才在（zài）博客上公布文章（zhāng），供参考学习之用。

截至发稿，新浪方面（miàn）对（duì）此事（shì）尚未做出回应。事（shì）实（shí）上，早在2010年10月，乌云漏洞平台就曾报告称新浪iask站点（diǎn）存在SQL注入漏洞的安全问题（tí）。

偶然中的必然

“这些数（shù）据库在黑客圈几年前就有（yǒu）了，这一（yī）次只不过是（shì）个比较集中的爆发”

是谁，在什么时候，拿走了这些涉及用户隐私（sī）的数据？原（yuán）本隐秘在黑客（kè）圈的数据库（kù）缘何会曝光在公众面前？互联网是否（fǒu）还有安全可言？此（cǐ）轮（lún）网络大（dà）泄密，让（ràng）这些问题成了（le）普（pǔ）通互（hù）联网（wǎng）用户最（zuì）自然的追问。

“这些数据库在黑客（kè）圈几年（nián）前就（jiù）有了，这一次只不过（guò）是（shì）个比较集中的爆发（fā）。”安（ān）全宝CEO马杰对财（cái）新《新（xīn）世纪（jì）》记者称（chēng），CSDN数据（jù）库的曝（pù）光看似偶（ǒu）然（rán），实则必然。“冰冻三尺非一（yī）日之（zhī）寒，互（hù）联网行（háng）业安全问题的累（lèi）积已（yǐ）经太多了，迟早会爆发。”马杰（jié）在安全行业超过十（shí）年（nián），曾（céng）任瑞星（xīng）研发总（zǒng）经理，负责（zé）个人和企（qǐ）业的（de）安全产品（pǐn）。

这也（yě）是网络安全行业人（rén）员近乎一致的观点。天融信公（gōng）司高级安（ān）全顾问吕延（yán）辉向财新（xīn）《新世纪（jì）》记者证实，最早在2008年时，就曾听说（shuō）有一些网（wǎng）站的数据库（kù）在黑客圈流传。

本次密码信息最先被公布（bù）的CSDN社区，后来曾组织安全（quán）专家（jiā）进行讨（tǎo）论，得（dé）知（zhī）公司的数据库事实上早就（jiù）在黑客的手上了。“并（bìng）不是说这一刻先攻（gōng）破了CSDN，放出（chū）数据库（kù），然后下（xià）一刻攻破了天涯再放出（chū）数（shù）据库。而是这些（xiē）数据他们手上一直都有，只（zhī）不过抛出来的时间不一样。”蒋涛说。

天融信成都分公司（sī）技术负责人邹晓波称，早期的很（hěn）多网站，都可以通过服务器渗透，取得后台（tái）数（shù）据库的权限，直接取得数据。“黑客圈内人都知（zhī）道谁被（bèi）盗（dào）了（le），他们不一定公布，但是会炫耀，在（zài）小范围（wéi）内流传，大部分没有去获利。”

CSDN社区数据库的曝光，曾（céng）经被指（zhǐ）向一（yī）名ID为Hzqedison的金（jīn）山公司员工，他分享数据库下载地址的截图最（zuì）早在网上流传（chuán）。12月22日，CSDN数据库外泄一事被广泛（fàn）关注的（de）时（shí）候，Hzqedison在（zài）新浪微博表示道歉。随后，金（jīn）山（shān）公司也发表声明，金山员（yuán）工并非网络上传（chuán）言的黑客，并非最早对外发布密码库的第一人。

Hzqedison解释了事情的经过：“12月21日，我在一（yī）个聊天群里看到CSDN数据库的迅雷（léi）下载地址，就离（lí）线下载了该文件（jiàn）来检（jiǎn）查自己账号是否被泄露。为（wéi）了让同事们也检查，才做了分享贴到（dào）同事群里。5分钟后，该地址截（jié）图被发到了（le）乌云（yún）漏洞（dòng）报告平台上（shàng），得知后我立即删除了迅雷分享地（dì）址。因为删（shān）除（chú）很及时，该地址只有几名同事下载过，而且从未将数据库文件外泄。”

李铁军告诉财新《新世纪》记者，据他了解（jiě），当（dāng）时该金山（shān）员工上传CSDN数据库时，是“秒传”的，说明这个数据库文件在（zài）迅雷下载服（fú）务（wù）器中（zhōng）早已存在。

“是谁最（zuì）早上传了这些数据库，现在已经很难确定。”李铁军说，除了CSDN的数据库，还有其他网（wǎng）站的数（shù）据（jù）库（kù）一起在网上流传（chuán）。因为（wéi）CSDN的影响力（lì）比（bǐ）较大（dà），所以就传开了。

事实上，CSDN数据库（kù）曝（pù）光之前已有征兆（zhào）。李铁军（jun1）告诉财新《新（xīn）世（shì）纪》记（jì）者，他在12月14日前后（hòu），即（jí）泄密事（shì）件发生（shēng）的前一周，就已经注意到有很（hěn）多网友在新（xīn）浪（làng）微博上反映（yìng）账号被盗，“这（zhè）是黑客在（zài）用数据（jù）库去试探新浪的数据库，有些（xiē）就撞到了”。

马（mǎ）杰分析，这（zhè）次曝光（guāng）的网站数（shù）据库应该是最近几（jǐ）年（nián）间（jiān）连续不断被刷（shuā）库的。“安全圈也知道，这几年地下黑客圈在刷库，也知（zhī）道一些（xiē）数据库在黑客圈流传。”

所谓刷库，是指黑客入（rù）侵网站服务器之后窃取用（yòng）户（hù）数据库的行为，互联网业（yè）内也称其为“拖库”，取（qǔ）其（qí）谐音，也（yě）形象称之为“脱裤（kù）”

看上去，金山员工“偶然”的（de）发现和分享（xiǎng），加上地下黑客累（lèi）积经（jīng）年的刷库行（háng）为（wéi），以及数（shù）据库在圈子中的一轮轮扩散，最终促成了（le）这次网站数据库大（dà）规模的曝光。

但是（shì），这里（lǐ）面（miàn）依然隐藏着两个问题。第一，金山（shān）员工如何（hé）能（néng）“偶然”发现原（yuán）本在地下（xià）黑客（kè）圈流传的数据库？第二，仅（jǐn）是CSDN的数据库曝光，缘何能引发（fā）一连串的数据库浮出水面？

地下黑（hēi）客（kè）圈传（chuán）输或交换（huàn）文件，一般（bān）都是（shì）点对点（diǎn）的传输，有时甚至通（tōng）过邮寄移动硬盘或光盘来实现（xiàn）。但随着（zhe）被刷的数（shù）据库越来越多，转（zhuǎn）手的次数越来越多，参与的（de）人数也越来越多，出错（cuò）和曝（pù）光的概率就越来越大。

乌云漏洞报告（gào）平台的创建（jiàn）人剑心分析说（shuō），由于不同（tóng）黑客掌握的数据（jù）库各有（yǒu）不同，刷出来的数据库会在黑客圈中交换，这样就会一轮一轮（lún）的扩散。很有（yǒu）可能是某个人（rén）在转（zhuǎn）手传播的（de）过程中，由于文（wén）件太大，无（wú）法实现（xiàn）网络上点对点的传输，不（bú）得不利用迅雷、网盘一类的工具进行上传和下载。在这过程中，工（gōng）具会把这些文件（jiàn）泄露出来，甚至会在搜索“数据”等关键词时出现推荐。这（zhè）样扩散的范围就更大，进入与黑（hēi）客圈有交流的安（ān）全圈也就（jiù）不（bú）足为（wéi）奇了。

至于网站用户密码连续被（bèi）报丢失的（de）现象，吕延辉解释说（shuō），一些数据库曝光之后，黑客手中（zhōng）那些与之雷（léi）同的数（shù）据库就（jiù）没有价值了。并且，引发公众关注后，基本所有网（wǎng）站都会（huì）通知用户修改密码（mǎ），政府相（xiàng）关（guān）部门可能还会介（jiè）入，那么（me）其他（tā）的一些非核心（xīn）数据库（kù）的价值也（yě）就更低了。

吕（lǚ）延辉表示，可（kě）以（yǐ）看出来，这次（cì）曝光的数据库都是在地（dì）下黑客圈转手很多次的，本身（shēn）价值也不（bú）大（dà），再加上（shàng）CSDN数（shù）据库的曝光，其他数据库的含（hán）金（jīn）量（liàng）进一（yī）步降低（dī），那些手上有库的人抛出来也不奇怪，这才形成了一连（lián）串的（de）规模效应。

脆弱的网站安全

泄密事件，将众多网（wǎng）站在（zài）安全方面的（de）脆（cuì）弱暴露无遗。知名网络安全专家、安（ān）天实验室首（shǒu）席技术（shù）架（jià）构师江海客直言，这是（shì）一个安（ān）全崩盘的时代。

安全圈内资深人士（shì）的（de）共识是（shì），被黑客攻击（jī）和刷库，各大网站几乎（hū）是（shì）无一幸免，只是程度和范围的（de）不同（tóng）。在做（zuò）安全行业的（de）人看来（lái），目前大部分网（wǎng）站的（de）安全（quán）性都不足。“这（zhè）一次表面上看是明文（wén）密码库（kù）的问题（tí），但实际上多数网站从（cóng）根本上都（dōu）没有重视自身的信息（xī）安全。”天融（róng）信公司副总裁刘辉对财新《新世纪》记者（zhě）表示，网站把（bǎ）绝大部分资金投入到日常运营中，只有（yǒu）被攻击或（huò）吃过（guò）教训后，才想起（qǐ）来安全的重要性。

“一些网站之所以（yǐ）容（róng）易被‘脱裤’，很大一部分（fèn）原因（yīn）就（jiù）是因为本身就穿得（dé）太少了（le）。”刘辉说，很多经营性（xìng）网站甚至都没有（yǒu）专门的网络安全工程师。

CSDN社区（qū）数（shù）据库在此次（cì）事件中最先（xiān）曝光。蒋涛也坦言（yán），“原（yuán）来对安全的认识还停留（liú）在相对（duì）低的水平上，觉得（dé）自己的数据不是什么关（guān）键数据，别人拿去也没什么用。”

但这次一连（lián）串的数据库泄（xiè）密事件证明，互联网（wǎng）存（cún）在很大的关联性，特别是（shì）拥有大量用（yòng）户的网站（zhàn），更不是一个孤立的（de）存在，很多用户的邮箱、账号都与别的系统相关联，一旦有事，就会造成跨网站的连锁反应。另外，由（yóu）于安全问题出（chū）在了服务器端，普通用户基本没有（yǒu）办法防范，数据库被刷后曝光出来，用户只能被动（dòng）的修改密码。

马杰则指（zhǐ）出，现在互联（lián）网（wǎng）从原来提供（gòng）内容（róng）为（wéi）主，到（dào）现在有很多的网（wǎng）上购物与社交，网站的重要性进入了（le）另（lìng）外（wài）一个层面，但安全现状停步不前。“现在（zài）网站数（shù）据中所包含信息的价值在上升，但安全防护的措施并（bìng）没有加强（qiáng）。”他说（shuō）。

另一方面，专业做网站功能（néng）、应用和（hé）服（fú）务的人，与（yǔ）专业做安全的（de）人，在技术（shù）思维上也存在巨（jù）大差异。“一个（gè）B2C网站的程序员，做了一个系统，花了几个月的功夫（fū），自己觉得没什么问题，然后（hòu）请专业做安全（quán）的人（rén）去找漏洞，结果做（zuò）不（bú）到十分（fèn）钟就破解了。”李铁（tiě）军举（jǔ）例（lì）说，二（èr）者没有高下之分，只是职业的特（tè）征决定（dìng）了思路（lù）上的差（chà）异。

思路上的差异，加上安全（quán）意识（shí）的不（bú）到位（wèi），导致了网站安全的脆弱。CSDN、天涯社区（qū）至今仍未披露数据库外泄的具体原因。马杰告诉财新《新世（shì）纪》记者，从技术（shù）上讲（jiǎng），有很多种方法可以刷库，“就像一个（gè）很（hěn）大的房子，可以爬窗（chuāng）户、撬门，或者从（cóng）烟囱进来，甚至挖个地道进来，就看黑（hēi）客想（xiǎng）花多（duō）大的功夫和精力”。

通常来说，黑客都是（shì）通过发现网站或（huò）应用软件的漏（lòu）洞（dòng）进入服务器，然后想办法提（tí）升权限，就可以把数（shù）据库下载（zǎi）下来。对一些防护（hù）比较弱的网站，甚（shèn）至都不用进入（rù）网站就能刷库。安全行业资深人士TK说：“只要分（fèn）两（liǎng）步，第（dì）一步找到一（yī）个SQL注入点，执行一条备份命令，备份到（dào）一个目录去；第二步，从目录（lù）把数据下载回来。根本不（bú）需要获得网站（zhàn）的权限，只要有SQL注入（rù）的（de）漏洞（dòng），就可以爆库（kù）了（le）。”

剑心告诉财（cái）新《新（xīn）世纪》记者，决（jué）定在（zài）12月（yuè）30日（rì）临（lín）时关闭乌云平台的其（qí）中一条原因，就是担心后续几天爆出的网站漏洞会越来越多，引（yǐn）起（qǐ）互联网用户的恐（kǒng）慌。乌云漏洞（dòng）报告（gào）平台是（shì）由一（yī）群互（hù）联网（wǎng）安全研究人员（yuán）自发组织的信（xìn）息安全沟通平台，研究人员在上面提交厂商的安全问题，也（yě）披露一（yī）些通用的（de）安全咨询和安（ān）全使（shǐ）用。有（yǒu）超过500个“白帽子”安全（quán）研（yán）究人员和120多（duō）个厂商参与平台，反馈和（hé）处理了接（jiē）近4000个安全问题。在泄密事件引发大（dà）范围关注后，乌云平台因曾（céng）多次（cì）发布相关安全漏洞（dòng）预警而被关注。

剑心也证实（shí）说，目（mù）前国内除极（jí）少数大型网站（zhàn）外，可能都（dōu）被黑客刷（shuā）过（guò）库，包括网易、搜狐在内的门（mén）户，一（yī）些漏洞都是在乌云平台上被证实的。此（cǐ）外，近年来快速膨胀的（de）电子商务网站，在（zài）剑心看（kàn）来，安全性更是糟糕，乌云平台已（yǐ）经多（duō）次证实（shí）并报告了他们的漏洞。这其中就（jiù）包括11月10日所报告的当当网漏（lòu）洞（dòng），可以抓（zhuā）取超过4000万条用户（hù）信息。

相对而（ér）言，金（jīn）融系（xì）统的安全性较强。银行（háng）通常会采（cǎi）用（yòng）硬加密的（de）技术，既不（bú）仅依靠登（dēng）录密码和交易密码，还（hái）需有一个（gè）外在于密（mì）码系统的物理密钥，比如发送到（dào）手机的动态口令或U盾密钥，其（qí）安全性要高于单靠密码的“软加密”方式。但是，随着第三（sān）方（fāng）支付、代收费、代缴（jiǎo）费等（děng）业务的展开，银行系统（tǒng）需要（yào）开放的接（jiē）口（kǒu）也越来越（yuè）多，对银行系统的安全（quán）提出了更高（gāo）的要求。

除（chú）网站的安（ān）全性差外（wài），本次（cì）泄密事件中备受（shòu）诟病的还有明文密（mì）码库。所谓明文密码库，即在对用户密（mì）码信息存储（chǔ）时未进行加密处理，黑客获得数据库后，所有的（de）用户名、密码（mǎ）一目了然，更加容易利用。

蒋涛解释（shì）称，各家网站（zhàn）的明文密（mì）码库都有复杂的历史原因，CSDN是在2010年9月（yuè）之后才采用了（le）密文（wén）存储。“这不是一家（jiā）的（de）问题，而是行（háng）业（yè）性的问题。”

但是，加（jiā）密（mì）存（cún）储也并不一定意味着安全（quán）。多位受访的网（wǎng）络安（ān）全（quán）专家（jiā）告诉（sù）财新《新世纪》记者（zhě），现在相对简单的（de）MD5加（jiā）密方法（fǎ）已经不安全，黑客圈建立了庞大的（de）MD5值的（de）“字典库”，通过“查字典”的方式很快（kuài）就能破（pò）解还原（yuán）。

马杰建（jiàn）议，在进行密文存（cún）储时，还（hái）需要（yào）对加密算法做一些改变，或（huò）多次加密，安（ān）全性能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在（zài）破解不了的情况，但至少会大大增加破解的成本和时间，降低数据库对黑客的吸引力。

乌云平（píng）台撰文（wén）称，最好的安全应该是（shì）自（zì）始至终就有人为安全负责，将安全落实（shí）到公司的流程制度规范以及基础（chǔ）技术架构里（lǐ）去，形成完善的安（ān）全（quán）体系，并且持续更（gèng）新（xīn）迭代，“如（rú）果以前没有这方面制度，就从现在开始建（jiàn）设；如果（guǒ）没有团队，就可（kě）以（yǐ）先找一些公司或（huò）者外部顾问。但是记住，不要幻想一（yī）次性的投入就（jiù）可以抵抗利益驱动长（zhǎng）久进化的黑色产业链”。

黑色产业链

有（yǒu）人（rén）负责发掘漏洞，有人负（fù）责根据漏洞（dòng）开（kāi）发利（lì）用工具，有（yǒu）人负责漏（lòu）洞利用（yòng）工具的销售，有人负责刷库，有人负责洗（xǐ）库，有人负责销售（shòu），还有人利用数据库钓鱼、诈骗、发送垃圾邮件

大规模的（de）泄密事件（jiàn），也使得互联网江湖中最（zuì）为隐秘的（de）黑色产业链再度引（yǐn）人关注（zhù）。“熊（xióng）猫烧香”病毒让公众知道了病毒黑（hēi）色产业链，而此（cǐ）次的泄密（mì）事件则指（zhǐ）向了数据交易的黑色产业链。

马杰（jié）告诉财（cái）新《新世纪》记者，最近几年，“黑帽子”黑客圈内的（de）盈利模式发生了一些变化。最早是“挂马”比较挣钱，通过发（fā）现（xiàn）漏（lòu）洞SQL注入，然后想办法获得网站权限，在网页上挂上木马程序，中了木马（mǎ）程序的机（jī）器就成为“肉（ròu）鸡”，通过木马（mǎ）控制“肉鸡”来赚钱。比如说（shuō）盗号（hào）、弹窗、导流量等。

“早几年（nián）木（mù）马猖獗的（de）时候，一（yī）个服务器（qì）能控制几（jǐ）万台的‘肉鸡’。即使只（zhī）是IE自动跳转到某一页面，每年也能带来可（kě）观（guān）的流（liú）量和收入。”李铁军说（shuō），还有黑（hēi）客利用系（xì）统漏（lòu）洞和木（mù）马进（jìn）行“钓鱼诈骗（piàn）”，从个人客户一端入侵网银系统（tǒng），进行非法转账（zhàng）等（děng）。

后来，“挂（guà）马”和“钓鱼”被各大安全公司（sī）打击得非常厉害，特别是（shì）免费杀毒软件在个人（rén）终端的普及。而这个时候，地下黑客发现，刷库是个更快、更（gèng）直接的赚钱方（fāng）法。

最（zuì）近几（jǐ）年，围绕数据交易的黑色产（chǎn）业链正在逐步形成。在地下黑客圈内，一些大型网站的数据库被（bèi）明码标价，一个（gè）数据库整个端下来，价值数百（bǎi）万元到上千万元不等。

拖库成功后，到（dào）手的数据（jù）库（kù）可（kě）以有很（hěn）多用途，比（bǐ）如（rú）直接卖给（gěi）被刷库网站的竞（jìng）争对（duì）手。黑客还（hái）可以利用部分互联网用户（hù）“多家网站一个用户名（míng）一（yī）个密码”的习惯，去试探别的网站数据库。这叫“撞（zhuàng）库”，技术上也很容易实现，只需要编写一个脚本，自动不断（duàn）用（yòng）已盗取数据库（kù）里的信息去请求登录。由（yóu）于都是正（zhèng）常请求，被撞的网站也很难（nán）防范，所（suǒ）以也会有网站“躺（tǎng）着中枪”。

安全（quán）业内人士称，刷库（kù）之（zhī）后，黑客拿着（zhe）数（shù）据库去“撞（zhuàng）”有虚拟币系统的游戏（xì）网站、腾讯（xùn），以及网上银行、支付宝及电子（zǐ）商务（wù）网站，都（dōu）是（shì）必（bì）然会发生的事（shì）情。如果撞到了（le）重合（hé）用户，将其账号（hào）内虚拟资产、网银洗劫一空都是再自然不过了。

经过多次倒卖和“洗库”之后，数据库还能被（bèi）卖给（gěi）价值（zhí）链（liàn）的末（mò）梢买家——利用账号信（xìn）息来发送（sòng）广（guǎng）告（gào）、垃圾邮件、垃圾短信的推销公司。通常情况下，数据（jù）库的价格越卖越便宜，流传的范围也就越（yuè）广（guǎng），距离曝光也就越近。

而在整条黑色产业（yè）链中，分工也比较明确。最核心和最难的是发掘漏洞（dòng），这（zhè）对技术的要求最高，能发掘漏洞的黑（hēi）客也比较少。吕延辉介绍，在地下黑客中，有人专（zhuān）门负责（zé）发掘（jué）漏洞，有（yǒu）人专门负责根据（jù）漏洞开发（fā）利（lì）用工具（jù），有人负责（zé）漏洞利用工（gōng）具的（de）销售，有人负责刷库（kù），有人负责洗库（kù），有人负责（zé）数据库的销售，最后端，还有人利用数据库钓鱼、诈骗、发送垃圾邮件。

有网络（luò）安全人士（shì）估算，目（mù）前互联（lián）网的地下黑色产业（yè）链规模已经达（dá）到（dào）上千亿元，而安全行业的规模目前（qián）还只（zhī）有几百亿元，“就像（xiàng）毒品的市（shì）场（chǎng）规模（mó）反而大于麻醉药的市（shì）场规（guī）模”。

失能的法（fǎ）律防（fáng）火墙

周汉华（huá）表示，“当网站的资料和个人信息紧密相连（lián），安全（quán）却没（méi）有（yǒu）保障，这种情（qíng）况（kuàng）下，实名制是相当危险的”

刘辉判断，这次泄密事件将注定（dìng）会（huì）是互联网发展历（lì）史上一件大事。一方面（miàn）是（shì）对互联网业务（wù）发展模式的（de）影响；另一（yī）方面，则是互联网行业安全规范机制的建立已（yǐ）势在必行（háng）。

“短期内（nèi），互联（lián）网行业的发展会受到一定的影响（xiǎng）。”刘（liú）辉说，例如近两年（nián）兴起的云计算服务，现（xiàn）在（zài）提供（gòng）云服务（wù）的（de）互联网公司必须要重（chóng）新建（jiàn）立用户的信息，并说服用户上传至云端的资料是（shì）安全的。要说服用（yòng）户，就需要相应的安全承（chéng）诺及安（ān）全认证（zhèng）机制（zhì）。

蒋涛（tāo）也（yě）表示，这次泄密事件相（xiàng）当（dāng）于给整个互（hù）联网业上了一课。“CSDN也是专业的IT社区平台，我们会利用这个平台来加强安全的教育和普及，提升互联网行（háng）业（yè）的安全意识。”他说，除了加强自身的安全性，这（zhè）是CSDN在（zài）2012年要去（qù）做（zuò）的重（chóng）要事情，“互联网上各大网站的关联度越来越高，安全（quán）已经不是一家两家的（de）问（wèn）题，而是全行业的问题”。

在全世界，身（shēn）份（fèn）的盗用（yòng）和（hé）密码的泄露每天都（dōu）会出现（xiàn），但与发达国（guó）家（jiā）不同（tóng）的是，这次密码泄露事件发生后，各方几乎束（shù）手无策。“大家都不（bú）知（zhī）道怎么去保护自己的权利（lì），大家就只能看着发生，等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新《新世纪（jì）》记者说，“我们（men）的问题（tí）是没有有效的管理手段，没有（yǒu）可以适（shì）用的法律。”

在亚太网络（luò）法律研究中心主任刘德良教（jiāo）授看来，个（gè）人信（xìn）息在网络时代越来越具有（yǒu）商业价值，这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日（rì）益泛滥（làn）的内在驱动力。针对（duì）如此严重（chóng）的（de）网络的个人信（xìn）息安全威（wēi）胁，法律的“防火墙”为何失能以及如何重构，成（chéng）为一（yī）个急需解决（jué）的问（wèn）题。

上海一位经侦人员对财（cái）新《新世纪》记者（zhě）介绍，他们曾经（jīng）侦办（bàn）过一个利用个人信（xìn）息实施犯罪的案子。有（yǒu）人发现几（jǐ）百万（wàn）元银行（háng）存款莫名消失，于是报案（àn）。此（cǐ）案涉及几百万条的车主信（xìn）息（xī）数据（jù）库，这些（xiē）信息有黑客攻击得到的（de），也（yě）有（yǒu）银行、保险业的内部人泄露出来的。犯罪分子的作案手（shǒu）法是，通过内部（bù）泄露或者黑客（kè）攻击得到包括车主姓名和身份证（zhèng）号码（mǎ）的用户（hù）信息库（kù），找银行的人（rén）查开户信（xìn）息，这个行话叫“包行”，几百块就能做。得到卡号（hào）后（hòu），然后猜密码，利用黑客软件和（hé）银行（háng）卡进（jìn）行比对。

从刑事法律来看，2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条（tiáo）款，“违反国家规定，侵入计算机信息系（xì）统或（huò）者（zhě）采用（yòng）其（qí）他技术（shù）手段，获取该（gāi）计（jì）算机信息系统中（zhōng）存（cún）储、处（chù）理或（huò）者传输的数据，或（huò）者对该计（jì）算机信息系统实施（shī）非（fēi）法控制，情节严重（chóng）的（de），处（chù）三年以下有期徒刑或者拘役，并处或者单处（chù）罚金；情节特别严重的，处三年以上七（qī）年以下有期徒刑，并处罚金”。

同年，全国人大常委会还出台《侵权责任（rèn）法》，规定网（wǎng）络服务（wù）提供（gòng）者和网络用户利用网络（luò）侵害他人民事权益的，应当承担侵（qīn）权责任（rèn）；网络服务提供者知道网（wǎng）络（luò）用户利（lì）用其网（wǎng）络（luò）服务侵（qīn）害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。2000年，全国人大常委（wěi）会又专门（mén）制定（dìng）了（le）《关于维护互联网安全的决定》，重申各种互（hù）联网违（wéi）法的刑（xíng）事责（zé）任和民事责（zé）任。

在行政监（jiān）管层面，除了国务院在1994年制定（dìng）的《计算机信息（xī）系统安全保护条例》，作为全（quán）国计（jì）算机系统（tǒng）安全保护工作主管部门的（de）公安部，也制定了《信息安全等（děng）级保（bǎo）护管理办（bàn）法》以（yǐ）及（jí）《计（jì）算机信息系统安（ān）全保护等级划分准则》《信息（xī）系统安（ān）全等级保护基本要求》《信息系统（tǒng）安全等级保护测评要求》等30多个标准。

多重的法（fǎ）律规定，为（wéi）何实施效果不佳？周汉华认为（wéi），《刑（xíng）法》的适用门槛比较高，需要“违（wéi）反国家规定”和（hé）“情节严重”的条件，何（hé）况这两个条件目（mù）前都缺乏（fá）相应的（de）标准。而《侵权责任法》的适用（yòng），在网络环境（jìng）下，当（dāng）事人举证非常（cháng）困（kùn）难，而且存在成（chéng）本投入和收益不对称的情况。

周（zhōu）汉华认（rèn）为，《刑法》和《侵权责任法》都属于事后救济，在网络时代，由于损害（hài）的（de）发（fā）生是系统性的、不可复原的（de），所（suǒ）以对（duì）网络安全以（yǐ）及（jí）个（gè）人信息进（jìn）行全流（liú）程的（de）监（jiān）管才更（gèng）为有（yǒu）效。目前对于这种全流程的（de）监管，中国既缺（quē）乏（fá）专（zhuān）门的法律（lǜ），也没（méi）有专（zhuān）门（mén）的执法机（jī）关（guān），搜集个人资料的企业所应承（chéng）担的相应的安全（quán）责任以及相应的信息流管理行为（wéi）规范都缺失。“这就是为什么（me）要制定《个人信（xìn）息保护法》的原因。”周汉华称。

据（jù）财新《新世纪》记者了（le）解，早在（zài）2003年之时，周汉华曾经受当时的国（guó）务院信息化办（bàn）公室委托，主持《个人信息保护法》的（de）立法研究，并且在2005年（nián）形成了一份专家意见稿（gǎo）。但时隔多年，这部（bù）法律的立法工（gōng）作迟迟（chí）未被启动。

刘德（dé）良教授认为，在当前（qián）中国的法律（lǜ）框架下，把个人信息都纳入人（rén）格权的范畴（chóu），而（ér）不承认个人信息的商业（yè）价值也是个（gè）人的（de）财（cái）产；人格权受到侵害后，原则上也（yě）不能要（yào）求财产（chǎn）损害赔（péi）偿。因此他提出，对于个人信息的（de）法律保护，应该包括隐私上的人（rén）格利益和个人（rén）信（xìn）息的商业价值这双方（fāng）面，将个人信息的商业（yè）价值视为个人的财产，未（wèi）经允（yǔn）许擅自收集和商业性利用个（gè）人隐私，既是一（yī）种侵犯（fàn）人格权的行为，也是一种侵害财产权的（de）行为。