然而，潘多拉魔盒已经打开，CSDN数（shù）据库的泄露（lù）仅（jǐn）仅是个（gè）开始。“没想到后面（miàn）的事情越来越（yuè）大（dà），已（yǐ）经到了不可收拾的程度（dù）。”蒋（jiǎng）涛说。

12月22日，知名IT博客“月光博客（kè）”披露，多玩网数据（jù）库泄露超过800万条信（xìn）息，有大（dà）量（liàng）用户名、明文密码、邮箱及部分加（jiā）密密码。“经过（guò）验证，使用该数据库中的（de）用户名和密码可以正常（cháng）登录多玩网。”

同日，标注为“人人网500万用户资料”的（de）文件开始在网上流传，嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数（shù）据（jù）库文件的截图也出现在微博上，涉及的用户信息总量（liàng）超过（guò）5000万条。但人人（rén）网（wǎng）否认用户数（shù）据（jù）遭（zāo）到泄露，他们在（zài）官方微（wēi）博上提醒称，“如果您（nín）的人人网（wǎng）账号密码和CSDN或其他网站一致，建议您马上修改（gǎi）密码，以免账号被（bèi）盗。”人人网相（xiàng）关人员在（zài）接受采访时表示，提醒（xǐng）用户只（zhī）是出于安全考虑。

12月25日（rì），泄（xiè）密规模进一步扩大，网络上开始流传天涯论（lùn）坛的用户数（shù）据（jù）库，信息（xī）总量超过（guò）4000万条。随后，这一新闻被天涯社区官方致歉信证（zhèng）实：由于历史原因，天涯社（shè）区早期（qī）使（shǐ）用（yòng）明文密（mì）码，在（zài）2009年11月改成加密密码，但是部分老的（de）明文密（mì）码库未被清理，黑（hēi）客泄（xiè）露的正是2009年11月升（shēng）级密码（mǎ）保存方式之前所注册的用户。不过天涯社区并未在公告中对泄露的用（yòng）户规模进（jìn）行确认。天涯社区公关经理初（chū）蒙在接受财新《新世纪（jì）》记者采（cǎi）访时表示（shì），确认用户（hù）信息遭泄露后，已经向（xiàng）海南省公安厅、海口市公安局报案，案（àn）件目前（qián）正在侦查（chá）之中。

12月26日，网上又传出新浪微博的（de）用户资（zī）料疑（yí）似被泄露，并公布了新浪微博数据下载（zǎi）地址。这个疑（yí）似数据库一共有约476万条账户和密码信息。

此后，泄密（mì）事件（jiàn）继（jì）续（xù）发酵（jiào）升级，传闻开始（shǐ）波及到（dào）电子商务（wù）及银行（háng）系统。12月27日，乌云（yún）漏洞报（bào）告（gào）平台披露京东商城（chéng）的（de）漏洞，“在某些业务（wù）上存在用户（hù）权限控制不当的（de）漏洞，导致任意用户登录系统后，都可以正常访（fǎng）问到所有用户的信息，包括（kuò）姓名、地址、电话、Email等。”这（zhè）一漏洞报告得到了京东商城方面的响应。

12月（yuè）28日，“当当网1200万用户信息遭泄露（lù）”的（de）说法亦被“小部（bù）分”证实。当当（dāng）网的公告称（chēng）：“经核实，网络公布的信息数据只有极小部（bù）分属（shǔ）实，且（qiě）均系2011年6月之前（qián）的老数据，该部（bù）分数据是由于之（zhī）前遭到网络（luò）黑客攻击（jī）被盗取。”

乌云漏（lòu）洞报告平台在（zài）12月28日也再次报告称，“支付宝用户（hù）大量泄（xiè）露，被用于网络营销，泄露总量达1500万-2500万（wàn）之（zhī）多，泄露事件不明，里面（miàn）只有支付宝用户的（de）账号，没有（yǒu）密码”。支（zhī）付宝随后回应称（chēng），支付（fù）宝账号不（bú）是私密信息，在很多地方都可以搜集到（dào），只有账号没有（yǒu）密（mì）码（mǎ），对用户资（zī）金安（ān）全没有任何威胁，“支付宝采取金融（róng）级的信息安全（quán）标准去保护用户信（xìn）息及资（zī）金安全，我（wǒ）们承诺没有任何人能从支付宝获得（dé）用（yòng）户的（de）密码等私密信（xìn）息。过（guò）去没有，以后也（yě）没（méi）有，请（qǐng）大家放心（xīn）”。

但12月29日，更吓人的消息又（yòu）在网上疯传：交通银行（háng）、民生银行分别泄露用户资料7000万和3500万（wàn）份，“卡（kǎ）号、姓名、密码都有”，并配有截（jié）图。当天下午，交通银（yín）行、民生银行、工（gōng）商（shāng）银行等（děng）分别（bié）发布公（gōng）告辟（pì）谣，称“用（yòng）户资（zī）料（liào）外（wài）泄的传闻纯属谣言”。

当日晚（wǎn）间，又有（yǒu）网友披露称，广东省（shěng）公安（ān）厅出（chū）入境政府服务网网上申（shēn）请数据泄露，几（jǐ）乎所（suǒ）有（yǒu）提交网上申请用户的真实（shí）姓名、出生年月、电话、护照号码（mǎ）、港（gǎng）澳通行证号码等信息均可查到，泄露的总信息量高达444万条。这一信息被广东省（shěng）公安厅证实（shí）：2011年6月24日至2011年12月29日期间，在（zài）广东（dōng）申请出入（rù）境的（de）用户信息遭到泄露。

仅仅一个星（xīng）期（qī），泄密已经从CSDN一（yī）家网站的危机演化成为了席卷整个互联网的大事件。一时间（jiān），各大网站人人自危，真假数据（jù）库屡屡出现。国家互联网应急中心对（duì）所曝光（guāng）的数据进行了抽查核实，发现部分数据是有效（xiào）的，经过与相关网站、论坛联系后，确认CSDN社（shè）区、天涯社区两家（jiā）网站发生了用户数据泄露事（shì）件，但泄露原因还有待进一步分析；对于其他网站（zhàn）、论坛，虽（suī）然（rán）曝光数（shù）据中个别条目有效，但不能判定发（fā）生了（le）网站、论（lùn）坛用户数（shù）据泄露事件。

金山网（wǎng）络反病毒工程师李（lǐ）铁（tiě）军12月30日接受财新《新世纪（jì）》记者（zhě）采访时则（zé）表示（shì），根据他们从网上下载（zǎi）的数（shù）据（jù）库，剔除重复信息之后，有超过（guò）1亿条（tiáo）的用户信息（xī）在此次（cì）事件中泄（xiè）露。

一位不（bú）愿具名的网络（luò）安全（quán）工（gōng）程师也（yě）向财新《新世纪》记者证实，经过重合度分析、数（shù）据库格（gé）式判断等验（yàn）证分析，基本可以断（duàn）定“有十几家网站的数据库比较靠谱（pǔ），应（yīng）该是真（zhēn）实的”。

大规模用（yòng）户数据泄密后，各（gè）种（zhǒng）“浑水摸鱼（yú）者”也随之而来。蒋涛告诉财新《新世纪》记者，一些（xiē）人开始制（zhì）造假的数据库来混淆视（shì）听；一些（xiē）网（wǎng）站通知所有用户修改密（mì）码，以乘机激活“沉（chén）睡（shuì）”用户；甚至一些网站把曝光的数据库直接（jiē）导入自（zì）己的数据（jù）库（kù），然后发（fā）通（tōng）知给用户修改密码，不费（fèi）吹灰之力（lì）即获得上千万规模的用户（hù）。当然（rán），对用户影响（xiǎng）最（zuì）直接（jiē）的是各种垃圾邮件、钓鱼邮件多了（le）起（qǐ）来。

真正令人担心的（de）是，或许还有更大规模的数据（jù）被地下黑客所掌（zhǎng）握（wò），只是没（méi）有公布（bù）而已（yǐ）。著名网络安全专家（jiā）龚蔚（goodwell）公开表示，这次曝光的1亿多（duō）条用户（hù）账（zhàng）号及密码（mǎ）等相关信（xìn）息，只（zhī）是（shì）黑客所（suǒ）掌握数据的“冰山一角（jiǎo）”，预计有将近4亿-6亿的用户账号信（xìn）息在黑客地（dì）下领域流（liú）传。

翻过新年（nián），此波（bō）网络（luò）账号信息（xī）泄密的浪潮仍有余波（bō）。1月4日，一位网络ID为“网路游侠”的“白帽黑客”在自己的博客上发布了（le）新浪的漏洞：新浪iask站点存（cún）在SQL注入漏（lòu）洞（dòng），利用漏洞可以读取iask数据库内容，包括明文密码在内的7000多万新浪用户信息。由于新浪（làng）实行（háng）“全站（zhàn）一号（hào）登录”，黑（hēi）客利用这个漏洞还可以获（huò）得新浪微博（bó）的相（xiàng）关账号信息。“网路游侠”以知名魔术师刘谦的微博为例（lì），通过构造数据库查询语句（jù）就轻（qīng）松获得了刘（liú）谦的账号及密码信（xìn）息，并成功登（dēng）录（lù）。当（dāng）天晚间（jiān），刘谦在微（wēi）博上转发该博客，证实此事。不过，“网路（lù）游侠（xiá）”称（chēng），这个漏洞他是在1月1日（rì）发现，已及时通（tōng）知新浪官方，并（bìng）在新浪修复了该漏洞后才在博客上公布文章，供参考学（xué）习之用。

截至发稿，新浪方面对此事尚未做出回应。事实上，早在2010年（nián）10月，乌云漏（lòu）洞平（píng）台就曾报告称新浪iask站点存在（zài）SQL注入（rù）漏洞的安全问题。

偶然中的必然

“这些数（shù）据库在黑客圈（quān）几（jǐ）年前就有了，这一（yī）次只不过是个比较集中的爆发”

是（shì）谁，在什（shí）么（me）时候（hòu），拿走了（le）这些涉及用户隐私（sī）的数据？原本隐秘在（zài）黑（hēi）客（kè）圈的数据库缘何会曝光在公众面前（qián）？互联网是（shì）否还（hái）有安全可言？此轮（lún）网（wǎng）络大泄密，让这些问题（tí）成了（le）普（pǔ）通互联网用户最自然的（de）追问（wèn）。

“这些数据（jù）库在黑客圈几年前就（jiù）有（yǒu）了，这一次（cì）只不过是个比（bǐ）较集中的爆发。”安全宝（bǎo）CEO马杰（jié）对财新（xīn）《新世（shì）纪（jì）》记者（zhě）称（chēng），CSDN数据库的曝（pù）光看似偶然（rán），实则必然（rán）。“冰冻三（sān）尺非一日之寒（hán），互联网行业安全（quán）问题的累积（jī）已经太多了，迟早会爆发。”马杰在安（ān）全行业（yè）超过（guò）十年，曾任瑞星研发总经理（lǐ），负责个人和企（qǐ）业的安（ān）全产品。

这（zhè）也是（shì）网（wǎng）络安全行（háng）业人员近乎（hū）一致（zhì）的（de）观点。天融信公司（sī）高级（jí）安全顾问（wèn）吕（lǚ）延辉（huī）向财新《新世纪》记者证（zhèng）实，最早在2008年（nián）时，就（jiù）曾听说有一些网站的数据库（kù）在黑客圈流传。

本次密码信息最先被（bèi）公（gōng）布的CSDN社区，后（hòu）来曾组织（zhī）安全专家进（jìn）行讨（tǎo）论，得知公司的数据库（kù）事实上早就在黑客（kè）的手上了（le）。“并（bìng）不是说这一刻先攻破了CSDN，放出数据库，然后下一刻（kè）攻破了（le）天涯再放出数据库。而（ér）是这些（xiē）数据他们手上（shàng）一直都（dōu）有（yǒu），只不过抛（pāo）出来的时间不（bú）一样。”蒋涛说。

天融信成都分（fèn）公司技（jì）术负（fù）责（zé）人邹（zōu）晓波称，早期的（de）很多网站，都可（kě）以通过服务器渗透，取得后台数据库的权限，直接取得（dé）数据。“黑客圈内（nèi）人都知道谁被盗了，他们不一定公布（bù），但是会炫耀（yào），在小范围（wéi）内流传，大部分没有去获利。”

CSDN社区数据库的曝光，曾经被指（zhǐ）向一名ID为Hzqedison的金山公司员工，他分享数（shù）据库下载地址的（de）截图最早在网上流传。12月（yuè）22日，CSDN数据库（kù）外泄一（yī）事被广（guǎng）泛关（guān）注的（de）时（shí）候，Hzqedison在（zài）新（xīn）浪微博表示道歉。随后，金山公（gōng）司也发表（biǎo）声明，金（jīn）山员工并非网络上传言的黑客，并（bìng）非最早（zǎo）对外发布密码库（kù）的第一人。

Hzqedison解释了事情的经过：“12月21日，我在（zài）一个聊天群里看到CSDN数（shù）据库（kù）的迅雷（léi）下载地址，就离（lí）线下载了（le）该文件（jiàn）来（lái）检查自己账号（hào）是否被泄露。为了让（ràng）同事们也（yě）检查，才做了分享贴到同事群里。5分钟后，该（gāi）地址截图被发到了（le）乌云漏洞报（bào）告平台上，得知后我立（lì）即删（shān）除了迅雷（léi）分享地址。因为删除很及时，该地（dì）址只有几名同（tóng）事（shì）下载过，而且从未将数（shù）据库文件外泄。”

李铁军（jun1）告诉财新《新（xīn）世（shì）纪》记者，据他了（le）解，当时该金山员工上传（chuán）CSDN数据库时（shí），是“秒传”的，说明（míng）这个数（shù）据（jù）库文（wén）件在迅雷下载服务（wù）器中早已（yǐ）存在。

“是谁最早（zǎo）上（shàng）传了这些数据库，现在已（yǐ）经（jīng）很（hěn）难确（què）定。”李铁（tiě）军说，除了CSDN的数据库，还有其（qí）他网站的数据库一起在网上流传。因为CSDN的影响力比较大（dà），所以就传开了（le）。

事实上，CSDN数据库曝光（guāng）之（zhī）前已有征兆。李铁军告诉财新《新世纪（jì）》记者，他在12月14日前（qián）后，即泄密事件发生的前一（yī）周（zhōu），就（jiù）已经注意到有很（hěn）多（duō）网友在新浪微博上反映账（zhàng）号（hào）被（bèi）盗，“这是（shì）黑客在用（yòng）数据库去试探新浪的数据（jù）库，有些就撞（zhuàng）到了”。

马杰分析，这次（cì）曝光的网站数据（jù）库应该是最近几年间连续不断被刷库的。“安全圈也知（zhī）道（dào），这几年地下黑客圈在（zài）刷库，也知道一（yī）些数据库在黑客圈流传（chuán）。”

所谓刷库，是（shì）指（zhǐ）黑（hēi）客入侵网站服务器之（zhī）后（hòu）窃取用（yòng）户数据库（kù）的（de）行为，互联网业（yè）内（nèi）也（yě）称其（qí）为“拖库”，取其谐音，也（yě）形象（xiàng）称之为“脱裤”

看上去，金山（shān）员工“偶然”的发现和分享，加（jiā）上地下黑客累积经年的（de）刷库行为（wéi），以及（jí）数（shù）据库在圈子中的一轮轮扩散，最终促成了这次网（wǎng）站数据库大（dà）规模的曝光。

但（dàn）是，这里面依然隐藏着两个问题。第一，金山员工（gōng）如何能“偶然（rán）”发现原（yuán）本在地（dì）下黑客圈流传的（de）数据库？第二，仅是CSDN的数据库曝光，缘何能引发（fā）一连（lián）串的数据库浮出（chū）水面？

地下黑客圈传输或交换文件，一般（bān）都（dōu）是点（diǎn）对点的（de）传输，有时甚至（zhì）通过邮寄移动硬盘或光盘来实现（xiàn）。但（dàn）随（suí）着被刷的数据库（kù）越来（lái）越多（duō），转手（shǒu）的次数越来越多，参与（yǔ）的人数（shù）也越来越（yuè）多，出错和曝光（guāng）的概率就越来越大。

乌（wū）云漏（lòu）洞报告平台的创建（jiàn）人剑心分析说，由（yóu）于不同黑（hēi）客掌握的数据库各有不同，刷出（chū）来的数据库会在黑客圈中交换，这（zhè）样就会一轮（lún）一轮的扩散。很有可能（néng）是某个人在转（zhuǎn）手传播的过程中，由（yóu）于文（wén）件太大，无法实现网络（luò）上点对（duì）点的传输，不得不利用迅雷、网盘一类的工具进行上传和下载。在这过程（chéng）中，工具会把这些文件泄露（lù）出来，甚至会在（zài）搜索“数据”等关（guān）键（jiàn）词（cí）时出现推荐。这样扩散的范围就更大，进入与黑客圈有交流的安全圈（quān）也就不足为（wéi）奇了（le）。

至（zhì）于网站用（yòng）户密码连（lián）续被报丢失的现象，吕延（yán）辉解释说，一些数据库曝光之（zhī）后，黑客手中那（nà）些与之（zhī）雷同的数据库就没有价值（zhí）了。并且，引发公众（zhòng）关注后，基本所有网站（zhàn）都会（huì）通（tōng）知用（yòng）户修改密码，政府（fǔ）相关部（bù）门可能还会介入，那么其他的一些非核心（xīn）数据库的价值也（yě）就（jiù）更低了（le）。

吕延辉表示，可以看出来，这次曝光的数据库都是在地下黑客圈转（zhuǎn）手（shǒu）很（hěn）多次的，本身价值也不大（dà），再加（jiā）上CSDN数据库的曝光，其他数据库的（de）含金量进（jìn）一（yī）步降低，那些手上有库（kù）的人抛出来也不奇怪，这才形成了一连串（chuàn）的规（guī）模效应。

脆弱的网（wǎng）站安全

泄（xiè）密事件，将众多网（wǎng）站在安全方面（miàn）的脆（cuì）弱（ruò）暴露无遗。知名网络安全（quán）专家（jiā）、安天实验室首席技（jì）术架构师江海客直（zhí）言，这是一个安全崩盘的时代（dài）。

安全圈内资深人（rén）士的共识是，被黑客攻击（jī）和刷库，各大（dà）网站几乎是（shì）无一（yī）幸（xìng）免（miǎn），只是程度和范围的不同。在做（zuò）安全（quán）行业（yè）的人看来，目（mù）前大部分网站（zhàn）的安全性都（dōu）不足。“这一次表面上看是明文（wén）密码库（kù）的问题，但实际上（shàng）多数网站从根本上都没（méi）有重视自身的信息安全。”天融（róng）信公司（sī）副总裁刘辉对财新《新世纪》记者表示，网站（zhàn）把（bǎ）绝大部分资金投入到日常运营（yíng）中（zhōng），只有（yǒu）被攻击或吃过教训后，才想起来安全的（de）重要（yào）性（xìng）。

“一些网站（zhàn）之所以容易被（bèi）‘脱裤’，很大一部分原因就是因为本身就穿（chuān）得太少了。”刘（liú）辉说，很多经营性网站甚至都没有专（zhuān）门的网络安全工程师。

CSDN社区数据（jù）库在此（cǐ）次事件（jiàn）中最先曝光。蒋涛也坦言（yán），“原来对安全的认（rèn）识还停（tíng）留在相对低的水平上，觉（jiào）得自己（jǐ）的数据不是什（shí）么关键数据，别人（rén）拿去也没什么（me）用（yòng）。”

但（dàn）这次一（yī）连串的数据库泄密事（shì）件（jiàn）证明（míng），互联网存在（zài）很大的关（guān）联性，特别是（shì）拥（yōng）有大量用户的网站，更不是一个孤立的存在，很多用户的邮（yóu）箱、账号都与别的系统（tǒng）相关联，一旦有事（shì），就会造成跨网（wǎng）站的（de）连（lián）锁反应。另外，由于安全问题出在（zài）了服务器端（duān），普通用户（hù）基本没有办法防范，数据库被刷（shuā）后曝光出来，用（yòng）户只能被动（dòng）的（de）修改密码。

马（mǎ）杰则指（zhǐ）出，现在互联网从原（yuán）来提供内容为主，到现在有很多的网（wǎng）上购物（wù）与社交，网站（zhàn）的（de）重（chóng）要（yào）性进入了另外一个（gè）层面，但安全（quán）现状停步不（bú）前。“现在网站数据中所包（bāo）含信息的价值在（zài）上升，但安全防护的（de）措施（shī）并没有加强。”他说。

另（lìng）一方（fāng）面，专业做网站功能、应用和（hé）服务的人（rén），与专业做（zuò）安全的人，在技术思（sī）维上也（yě）存（cún）在巨大差异。“一个B2C网站的程序员，做了一个系统，花了几个（gè）月的功（gōng）夫，自（zì）己觉得（dé）没（méi）什么问题，然后请专业（yè）做安全的（de）人去找漏洞，结果做（zuò）不到十分钟就破（pò）解了。”李铁（tiě）军举例说，二者没有（yǒu）高下之分，只（zhī）是职业（yè）的特征决定了思（sī）路上的差异。

思路上的（de）差异，加上安全意（yì）识的不（bú）到位，导致了网站安全的脆弱（ruò）。CSDN、天涯社区至今仍未披（pī）露数据库外泄（xiè）的具体原因。马杰告诉财新《新世纪》记者，从技术上讲，有很多种（zhǒng）方法可（kě）以刷库（kù），“就（jiù）像一个很大（dà）的房子，可以爬（pá）窗（chuāng）户、撬门，或者从烟囱进来（lái），甚（shèn）至挖个地（dì）道进来，就看黑客想（xiǎng）花多大的（de）功夫和精力”。

通常来说，黑客都是通过发现网站或应用软件（jiàn）的漏洞进入（rù）服（fú）务器，然后想（xiǎng）办法提升权（quán）限，就可以把数据库下（xià）载（zǎi）下来。对一些防护比（bǐ）较弱的网站，甚至（zhì）都不用进入网站就能刷库（kù）。安全行业资深（shēn）人士TK说：“只要分（fèn）两步，第一步找到一个（gè）SQL注入点，执行一条（tiáo）备（bèi）份命令，备份（fèn）到一（yī）个目录去；第二步，从目录把数据下载回来。根本不需要获得网（wǎng）站的权限，只要有SQL注入的漏洞，就可以爆库了。”

剑心告诉财新《新世纪》记（jì）者，决定在12月30日临时关闭乌（wū）云平台的（de）其中（zhōng）一条（tiáo）原因，就是担（dān）心后续几（jǐ）天爆出的网站漏洞会越来越多，引（yǐn）起（qǐ）互联网用户的恐慌。乌云漏洞报告平台是由一群互联网（wǎng）安全研（yán）究人员自（zì）发组织的信息安全沟通平台，研究人（rén）员在上面（miàn）提交厂（chǎng）商（shāng）的安全问题，也披露一（yī）些通用（yòng）的安全咨询和（hé）安全使（shǐ）用（yòng）。有超过500个“白帽子（zǐ）”安全研究人员和120多（duō）个厂（chǎng）商参与（yǔ）平台，反（fǎn）馈和处理了接近4000个（gè）安全问题。在泄密事件引发大范围（wéi）关（guān）注（zhù）后，乌（wū）云平台（tái）因曾多次发布（bù）相关安全（quán）漏洞预（yù）警而被关注。

剑心也（yě）证实说（shuō），目（mù）前国（guó）内除极少数（shù）大型（xíng）网站外，可（kě）能都被黑（hēi）客刷（shuā）过（guò）库，包括网易、搜狐在（zài）内（nèi）的门户，一些漏（lòu）洞都是在乌云平台上被证实的。此外（wài），近年来快（kuài）速膨胀的电子（zǐ）商务网站，在剑心看来，安全（quán）性更是糟糕，乌（wū）云平台已经多次证实并（bìng）报告（gào）了（le）他（tā）们的漏洞。这其中就（jiù）包括11月（yuè）10日（rì）所报告的当当网漏（lòu）洞，可以抓取超过4000万条用户信（xìn）息。

相对（duì）而言，金融系统的（de）安全性较强。银行通常会（huì）采用硬加（jiā）密的技术，既（jì）不仅依靠登录密码和交易密码，还需有一个外在于密码系统的物理（lǐ）密钥，比如发送到（dào）手机的动态（tài）口令或U盾密钥，其安（ān）全性要高于单（dān）靠密码的“软加密”方（fāng）式。但是，随着（zhe）第三方（fāng）支付、代收费、代缴费（fèi）等业务的展开，银行系统需要（yào）开放的（de）接（jiē）口也越（yuè）来越多，对（duì）银（yín）行系统的安全提出了（le）更高的要求。

除网站的安全（quán）性差外，本次泄密事件中备受诟（gòu）病的（de）还有（yǒu）明（míng）文密码库。所（suǒ）谓明文密码库，即（jí）在对（duì）用户密（mì）码信息存储时（shí）未进行加密处理，黑客获得数据库后，所有（yǒu）的（de）用户名、密码一目了然，更加容易利用。

蒋（jiǎng）涛（tāo）解释称，各家网站的明文（wén）密码库都有复杂的历史（shǐ）原因，CSDN是在（zài）2010年9月（yuè）之（zhī）后才采（cǎi）用了密文存储。“这不是一家的（de）问（wèn）题（tí），而是行业性的问题。”

但是，加（jiā）密（mì）存储也并不一定（dìng）意味着安全（quán）。多位受访的网络安全专家告诉财新《新（xīn）世纪》记者，现在相对（duì）简单的MD5加密方法已（yǐ）经不（bú）安全，黑客圈建立了（le）庞大的MD5值的“字典（diǎn）库”，通（tōng）过“查字典”的方式很（hěn）快就能破解还原（yuán）。

马杰建议，在进行密文存储（chǔ）时，还需要对加密（mì）算（suàn）法做一些改变，或多（duō）次加密，安全性能才会有所提升。尽管通过“彩虹表”碰撞等（děng）方法不存在破解不了（le）的情（qíng）况（kuàng），但至少会（huì）大大增（zēng）加破解的成本和时间（jiān），降（jiàng）低数据库对黑客的吸引（yǐn）力（lì）。

乌云平（píng）台（tái）撰（zhuàn）文称，最好的安（ān）全应该是自始至终就有（yǒu）人为安全负责，将安全落实到公司的（de）流程制度（dù）规范以及基础技术架构里去（qù），形成（chéng）完善的安（ān）全体系，并且（qiě）持（chí）续（xù）更新迭代，“如果以（yǐ）前（qián）没有这方面制度（dù），就从现在开始建设；如果没（méi）有（yǒu）团队，就可（kě）以先找一些（xiē）公（gōng）司（sī）或（huò）者外部（bù）顾（gù）问。但是记住，不要幻想一（yī）次性的投入（rù）就（jiù）可以抵（dǐ）抗（kàng）利益驱动长久进化的黑色产业链”。

黑色产（chǎn）业链（liàn）

有人（rén）负责发掘漏（lòu）洞，有人负责根据漏洞开发利用工具（jù），有（yǒu）人负责漏洞利用工具的销售，有人负责刷库，有人负责洗库，有人负责（zé）销售（shòu），还有人利用数据（jù）库钓鱼、诈骗（piàn）、发送（sòng）垃圾邮件（jiàn）

大（dà）规模的泄密（mì）事件，也使得（dé）互联网江湖（hú）中最为隐秘的黑色产业链（liàn）再度引人关注。“熊猫烧香”病毒让公众（zhòng）知道了病（bìng）毒（dú）黑（hēi）色（sè）产业链（liàn），而此次的泄密事件则指向了数据交易的黑色产业链。

马杰告诉财新《新世纪》记者，最近（jìn）几（jǐ）年，“黑（hēi）帽子”黑客（kè）圈（quān）内的盈利模式发（fā）生了一些变化。最早是“挂马（mǎ）”比较（jiào）挣钱（qián），通过发（fā）现漏洞（dòng）SQL注入，然后想（xiǎng）办（bàn）法获（huò）得网站权（quán）限，在（zài）网页上挂上木马（mǎ）程序，中了木马程（chéng）序的（de）机（jī）器就成（chéng）为“肉鸡”，通（tōng）过木（mù）马（mǎ）控制“肉鸡”来（lái）赚钱。比如说盗号、弹窗、导流量等。

“早（zǎo）几年木（mù）马猖獗的时候，一个服务器能（néng）控制几万台的‘肉鸡’。即使只是IE自动跳转（zhuǎn）到某（mǒu）一页面，每（měi）年也能带来可观的流量和收入。”李铁军说（shuō），还有黑（hēi）客（kè）利用系统（tǒng）漏洞和木马进行“钓鱼诈骗”，从个人（rén）客户一端入侵网（wǎng）银系统，进行非法转账等（děng）。

后来，“挂马（mǎ）”和（hé）“钓鱼”被各大安全公司打击得非常厉害，特别是免费杀毒软件在（zài）个（gè）人终端的普（pǔ）及（jí）。而这个时候，地（dì）下黑客发现，刷库是（shì）个更快、更直接的赚钱（qián）方法（fǎ）。

最近（jìn）几年，围绕数据交易（yì）的黑色产业链正在逐步形成。在（zài）地（dì）下（xià）黑客圈内，一些大型网站的数（shù）据库被明码标（biāo）价，一个（gè）数（shù）据（jù）库整个端下（xià）来，价值数百万元到上千万元不等。

拖库成（chéng）功（gōng）后，到手（shǒu）的数据库可以（yǐ）有（yǒu）很多用途（tú），比如直（zhí）接卖（mài）给被刷库网站的竞争对（duì）手。黑（hēi）客还可以利用部分（fèn）互联网用户“多家网（wǎng）站一个用户名一个密码”的习（xí）惯，去（qù）试（shì）探别的网站（zhàn）数据库。这叫“撞库（kù）”，技术上也很容易实（shí）现，只需要编写一个脚（jiǎo）本，自动不断（duàn）用（yòng）已盗（dào）取数据库里的信息去请（qǐng）求登录。由于都是正常请求，被撞的网站也很难（nán）防范，所以也会有网站（zhàn）“躺着中（zhōng）枪（qiāng）”。

安全业内人士称，刷库（kù）之后，黑客拿着数据库去“撞（zhuàng）”有虚拟币系统（tǒng）的游戏网站（zhàn）、腾讯（xùn），以及（jí）网上银（yín）行、支付宝（bǎo）及电子商（shāng）务网站，都是必然会发生的事（shì）情。如果撞到（dào）了（le）重合用户，将其账号内虚拟资产、网银洗劫一空都是再自然不过了。

经（jīng）过多次倒卖（mài）和“洗库”之后，数（shù）据库还能被卖给价值链的（de）末梢买家（jiā）——利用账（zhàng）号（hào）信（xìn）息来发送广告（gào）、垃圾（jī）邮件、垃圾短信的推销公司（sī）。通常情（qíng）况下，数据库的价格越卖越便宜，流传（chuán）的范围也就越（yuè）广，距离曝光也就越（yuè）近。

而在整条黑色产业链中，分（fèn）工也比（bǐ）较明（míng）确。最核（hé）心和（hé）最难的是发掘漏洞，这（zhè）对（duì）技术的要求最（zuì）高（gāo），能发掘漏（lòu）洞的黑客也比较（jiào）少。吕延（yán）辉介绍（shào），在地下黑客中，有人专门负责发掘漏洞，有人专（zhuān）门负（fù）责根（gēn）据漏洞开发（fā）利用工（gōng）具（jù），有人（rén）负（fù）责漏洞利（lì）用工具的销售，有（yǒu）人负责刷库，有（yǒu）人负（fù）责洗库，有人负责数据库（kù）的销售，最后端，还有（yǒu）人利用数据库钓鱼、诈骗、发送垃圾邮件（jiàn）。

有（yǒu）网络安全人士估算，目前互联网（wǎng）的（de）地下黑色产（chǎn）业链（liàn）规模已经（jīng）达到（dào）上千亿（yì）元，而（ér）安全行业的规模目前还只有几百亿元，“就像毒（dú）品的（de）市场规模（mó）反而（ér）大于麻（má）醉药的市（shì）场规模”。

失能（néng）的法律防火墙

周汉华表示，“当网站的资（zī）料和（hé）个人信（xìn）息紧密相连，安（ān）全却没有保障，这种情（qíng）况下，实名（míng）制是相当危险的”

刘辉判断，这次泄密事件将注定会是互联（lián）网发展历史（shǐ）上一件大事。一方面（miàn）是对互联网（wǎng）业务发展模式（shì）的影响；另一（yī）方面，则是互联网（wǎng）行（háng）业安（ān）全规范（fàn）机（jī）制（zhì）的建立已势在必行。

“短期内，互（hù）联网行业的（de）发展会受到一定的影响。”刘辉说，例如（rú）近两年兴起的（de）云计算（suàn）服务，现在提供云服务的互（hù）联网公司必须要重新建立用户的信息，并说服用户上传（chuán）至云端的资料（liào）是安全的。要（yào）说服用户，就需（xū）要相应（yīng）的安全承诺及安全认证机制。

蒋涛也表（biǎo）示，这次（cì）泄密事件相当于给整个互（hù）联（lián）网业上（shàng）了一课。“CSDN也（yě）是专业的IT社区平（píng）台，我们会利用这个平台来加强（qiáng）安全的教育和普及，提升互联网行业的安（ān）全意识（shí）。”他说，除了加强自身（shēn）的安全（quán）性，这是CSDN在2012年要去做的重要（yào）事情（qíng），“互联（lián）网上各（gè）大网站的关联度越来越高，安全已经不是一家两家的问题，而是全行业（yè）的问题（tí）”。

在（zài）全世（shì）界，身（shēn）份的盗用和密码的泄露每天都会出现，但与发达国家不同的是，这次（cì）密码泄露事件发生后，各方几（jǐ）乎束手无策。“大家都不知道怎么（me）去保护（hù）自己的权利，大家就只能看（kàn）着发生，等着下（xià）一次什么（me）时候发生。”中国社会（huì）科学（xué）院研究员周汉（hàn）华对财新（xīn）《新世（shì）纪（jì）》记者说，“我们的问题是（shì）没（méi）有有效的管理手（shǒu）段，没有可以（yǐ）适用的（de）法律。”

在亚太网络法律（lǜ）研究中心主任刘德（dé）良教（jiāo）授（shòu）看来，个人信（xìn）息（xī）在（zài）网（wǎng）络时代（dài）越来越具（jù）有（yǒu）商业价值，这也是目前非法（fǎ）收集、加工、买卖和商业性滥用（yòng）个人信息行为日益泛滥的内在驱动力。针对如此严（yán）重的网络的个人信息安全（quán）威胁，法律的“防火墙”为何失能以及如（rú）何重（chóng）构，成为一个急（jí）需（xū）解决的问题。

上海一位经侦（zhēn）人（rén）员对财新（xīn）《新世纪》记者介绍，他们曾经侦办（bàn）过一个（gè）利用个（gè）人（rén）信息（xī）实施犯罪（zuì）的案子。有人（rén）发现几百万元银行存款莫名消失，于是报（bào）案。此（cǐ）案涉及（jí）几百万条的车主（zhǔ）信息数据库，这些（xiē）信（xìn）息（xī）有黑客攻击得到的，也有银行、保险业（yè）的内（nèi）部人泄露出来的。犯罪分子的作案手法是，通过内部泄露或（huò）者黑客（kè）攻击得（dé）到（dào）包括车主姓名和身份（fèn）证号码（mǎ）的用（yòng）户信息（xī）库（kù），找银行的人查开户信息，这个行话（huà）叫“包行（háng）”，几百块就能做。得（dé）到卡号后，然（rán）后（hòu）猜密码，利用黑客软件和银行卡进行比对。

从刑（xíng）事（shì）法律来（lái）看，2009年《刑法》修正案增加了（le）“非法侵入计算机信息系统罪（zuì）”的（de）条款，“违反（fǎn）国家规（guī）定，侵入计算机信息系统或者采用其他技术手（shǒu）段，获取该（gāi）计算机信息系（xì）统中（zhōng）存储（chǔ）、处理或者（zhě）传输的数据，或者对该计算机信息系统实施非法控（kòng）制，情节严重（chóng）的，处三年以下（xià）有期徒刑或者拘役，并处或者单处罚（fá）金；情节特别严重（chóng）的（de），处三年（nián）以（yǐ）上七年以（yǐ）下有（yǒu）期徒刑，并处罚金”。

同年，全（quán）国人大（dà）常委会还出台《侵权责任法》，规定网（wǎng）络服（fú）务提供者和网络用户利用网络（luò）侵害（hài）他人（rén）民事权益的，应当承（chéng）担侵权责任；网（wǎng）络服（fú）务（wù）提供者知道网络（luò）用户利用其网络服务（wù）侵害（hài）他人民事（shì）权益，未采取必要措施的，与该网络用户承担连带（dài）责任。2000年，全国人大常委会又专（zhuān）门制定了（le）《关于（yú）维护互联（lián）网安全的决定》，重申各（gè）种互联（lián）网违（wéi）法的刑事（shì）责任和民事责任。

在行政监管（guǎn）层面（miàn），除了国务院在1994年制（zhì）定（dìng）的《计算机信息系（xì）统安全保护（hù）条例》，作为全国计算机系统安全保（bǎo）护工作主管（guǎn）部门的公安部，也制定（dìng）了《信息安全等级保护管理办法》以及《计算机信息（xī）系统安全保护等级划分（fèn）准则》《信息（xī）系统安（ān）全等级保护基本要求》《信息系统安全（quán）等级保护测评要求》等30多个标准。

多重（chóng）的法律规（guī）定，为何实施效果不佳？周汉华认（rèn）为，《刑（xíng）法》的适用门槛比较（jiào）高，需要“违反国家（jiā）规定（dìng）”和“情节严重（chóng）”的条件，何况这（zhè）两个条（tiáo）件目前都缺乏相应的（de）标准（zhǔn）。而（ér）《侵权责任（rèn）法》的（de）适用，在网络环境下（xià），当事人举证非常困难（nán），而且存在成（chéng）本投入和收益不对称（chēng）的情况。

周汉（hàn）华（huá）认（rèn）为，《刑法（fǎ）》和《侵权责任（rèn）法》都属于事后救（jiù）济（jì），在网络时代，由于损害的发（fā）生是系（xì）统性的、不可复（fù）原的，所以对网络安全以（yǐ）及（jí）个人（rén）信息（xī）进行（háng）全流程（chéng）的监管（guǎn）才更为有效。目前对于这种（zhǒng）全流程的监管，中国既缺乏专门的法律，也没（méi）有（yǒu）专门的执（zhí）法机关（guān），搜集个（gè）人（rén）资料的（de）企业所应承担的（de）相应的安全责任以及相应的信息流管理行为规范（fàn）都缺失。“这就是为什么要制定（dìng）《个人信息保护法》的原因。”周汉华（huá）称（chēng）。

据财（cái）新《新世纪》记（jì）者了解，早在2003年之时，周汉华曾经受（shòu）当时的国务院信息化办公室委托，主（zhǔ）持《个人信息保护（hù）法（fǎ）》的立法研（yán）究，并且在2005年（nián）形（xíng）成了一份专家意见稿。但时隔多（duō）年，这部法律的立法工作迟迟（chí）未（wèi）被启动。

刘德良教授认为，在当前中国的法律框架下，把个人信息都纳入人（rén）格（gé）权的范畴，而不承认个人信息的商业价值也是个人（rén）的财产；人（rén）格权受到侵害后，原（yuán）则上也不能要求（qiú）财产损害赔偿。因此他提出，对于个人信息的法律保护，应该包（bāo）括（kuò）隐私上的人格利益（yì）和个人信息的商业价（jià）值这双方面，将个人信息的商业价值视（shì）为个（gè）人的财产（chǎn），未（wèi）经允许擅自收集和商业性利用个人隐私，既是（shì）一种侵犯（fàn）人格权的行为，也是一种侵害财（cái）产权（quán）的行为。