艾龍

伴隨數(shù)據(jù)泄密事件而來的，是一場席卷中國互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全危機，其波及面之廣、影響之深都是前所未有的。工業(yè)和信息化部稱，這次事件“嚴重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益，危害互聯(lián)網(wǎng)安全”。更有論者認為，此次數(shù)據(jù)泄露事件應(yīng)該上升到國家安全的高度。

“密碼颶風”席卷中國互聯(lián)網(wǎng)

泄密的網(wǎng)站包括天涯社區(qū)、人人網(wǎng)等中國各大知名網(wǎng)站，用戶數(shù)超過1億，泄露的信息包括賬號、明文密碼、MD5加密密碼、電子郵件、家庭住址、電話、真實姓名等敏感信息。更為嚴重的是，泄露的范圍已經(jīng)從社交類網(wǎng)站擴展到電商行業(yè)，乃至更為寬泛的領(lǐng)域。

2011年12月21日，是中國互聯(lián)網(wǎng)應(yīng)該銘記的日子。

這一天，國內(nèi)知名程序員網(wǎng)站CSDN的用戶資料數(shù)據(jù)庫在網(wǎng)上曝光。隨之而來的，是席卷中國互聯(lián)網(wǎng)的一場密碼颶風，至今為止，事件尚處于爆發(fā)階段，神秘的泄密人也沒有露面，更沒有誰能確切說出最終會是什么樣的局面……

讓我們簡要梳理一下事件的前因后果。

12月4日，黑客“臭小子”在國內(nèi)安全問題反饋平臺“烏云”上宣稱，自己掌握了139、百合網(wǎng)、開心網(wǎng)等多家大型網(wǎng)站的用戶數(shù)據(jù)庫，包括管理賬號密碼、郵箱密碼等等，但并沒有引起足夠的重視。

12月21日，CSDN社區(qū)的640萬用戶賬戶、密碼、郵箱資料遭到泄露；網(wǎng)民發(fā)現(xiàn)，CSDN數(shù)據(jù)庫的大小和“臭小子”貼圖中的280507KB大小完全一致。事態(tài)開始嚴重起來。

密碼庫事件爆發(fā)后1個半小時左右，金山毒霸產(chǎn)品經(jīng)理韓某“hzqedison”把CSDN用戶數(shù)據(jù)庫傳到了迅雷快傳（會員分享），根據(jù)金山公司的說法，“將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查，不慎被外人所獲知”。

“蝴蝶效應(yīng)”以超出人們預(yù)料的速度開始形成，事情變得不可收拾。

12月22日～28日，中國各大知名網(wǎng)站全面淪陷。根據(jù)網(wǎng)上各類報道綜合以及“中國黑客教父”龔蔚的不完全統(tǒng)計，波及的網(wǎng)站包括多玩游戲（800萬，括號內(nèi)為用戶數(shù)，下同。如無特別說明，則用戶數(shù)不詳）、人人網(wǎng)（500萬）、夢幻西游、7K7K游戲、178.com網(wǎng)站（188萬）、UUU9（700萬）、網(wǎng)易土木在線、天涯社區(qū)（4000萬）、北京麒麟網(wǎng)信息科技有限公司（900萬）、某知名婚戀網(wǎng)站（526萬）、Ispeak.CN（168萬）myspace、塞班論壇（140萬）、太平洋電腦（200萬）、木螞蟻（13萬）766.COM（12萬）、ys168（30萬）……

泄露信息包括賬號、明文密碼、MD5加密密碼、電子郵件、角色名稱、所在服務(wù)器、最后登陸時間、最后登陸IP、昵稱、數(shù)據(jù)庫排序ID、家庭住址、電話、真實姓名以及其他相關(guān)數(shù)據(jù)。

更為嚴重的是，泄露的范圍已經(jīng)從社交類網(wǎng)站擴展到電商行業(yè)，乃至更為寬泛的領(lǐng)域。

除了卓越、凡客中招之外，12月27日，京東商城曝出存在“用戶權(quán)限控制不當”的漏洞，“任意用戶登錄系統(tǒng)后，都可以正常訪問到所有用戶的信息，包括：姓名、地址、電話、E－mail等?！?/p>

12月28日，“烏云”再次發(fā)布漏洞預(yù)警，稱支付寶和當當網(wǎng)資料被盜，當當網(wǎng)1200萬全字段用戶資料已經(jīng)泄露，支付寶被泄用戶達到1500－2500萬，但隨后這些公司均予以否認。

同一天，圓通速遞公司網(wǎng)頁被篡改，空蕩蕩的網(wǎng)頁上只有一句話：“JUSTFORFUN”（就是為了好玩）；金山毒霸也被曝存在泄密漏洞，金山方面回應(yīng)，正在查證數(shù)據(jù)來源。

12月29日，有網(wǎng)友爆料，交通銀行、民生銀行及工商銀行的用戶數(shù)據(jù)已經(jīng)泄露。三大銀行的態(tài)度是堅決辟謠，全面否認。

與此同時，廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)的網(wǎng)上申請數(shù)據(jù)也被泄露，泄密信息包括編號、真實姓名、護照號碼、港澳通行證號碼，申請日期、狀態(tài)，以及用戶的出生年月、郵寄地址、證件有效期、出入事由等等。當天晚上，廣東省公安廳通過官方微博＠平安南粵證實了此事，并表示“技術(shù)漏洞已修補完畢”。

根據(jù)龔蔚的說法，事件還遠未結(jié)束，本次泄露及公布的數(shù)量與實際被黑客掌握的用戶賬號數(shù)相比只是冰山一角，“預(yù)計重大事件將在2012年爆發(fā)，規(guī)模影響中國幾億的移動終端用戶。”

修改密碼不過是心理安慰

修改密碼能起到的補救作用是有限的，其實不過是心理安慰——對用戶的心理安慰，以及網(wǎng)站自身的自我安慰。至于打口水戰(zhàn)或者推諉責任，更是不負責任的表現(xiàn)。

此次事件也折射出不同網(wǎng)站對待用戶的態(tài)度。

除了少數(shù)網(wǎng)站勇于承擔，或者說在鐵定事實面前不得不承認之外，一般網(wǎng)站的態(tài)度就是先否認，盡量脫開干系，實在擺脫不了的話，才扭扭捏捏地承認，并且強調(diào)自己是無辜的，是“躺著中槍”，是“被順手牽羊”。

12月21日晚間，CSDN在其官方網(wǎng)站發(fā)布公告《致CSDN會員的公開道歉信》：“我們非常抱歉，近日發(fā)生了CSDN用戶數(shù)據(jù)庫泄露事件，您的用戶密碼可能被公開。我們懇切地請您修改CSDN相關(guān)密碼。如果您在其他網(wǎng)站也使用同一密碼，請一定同時修改相關(guān)網(wǎng)站的密碼?！?/p>

CSDN解釋：“2009年4月之前是明文密碼，2009年4月之后是加密的，但部分明文密碼未及時清理；2010年8月底清理掉了所有明文密碼。所以，從2010年9月開始注冊的賬戶全部都是安全的，9月之前的則有可能不安全?！?/p>

對于數(shù)據(jù)庫泄露原因，CSDN并無確切回應(yīng)，聲稱“正在調(diào)查中”。

即便如此，網(wǎng)友并不買賬?！?6氪”社區(qū)網(wǎng)友“學徒姚佐”稱：“看見2010年注冊的也有中招的，明顯官方在撒謊。”

如果說CSDN明文存儲密碼的做法讓人大跌眼鏡，那么，在沒有查清楚數(shù)據(jù)庫泄露原因的情況下，就讓用戶修改賬號密碼的做法無異于掩耳盜鈴。

修改密碼到底能起到什么作用呢？來看看三大頂級黑客是怎么說的。

“畢竟很多公眾是用通用密碼的，一個淪陷了所有賬戶都暴露了?！敝袊t客聯(lián)盟創(chuàng)始人林勇一語道破修改密碼的補救作用。

除此之外，修改密碼的真正作用，可能就是心理安慰了——對用戶的心理安慰，以及網(wǎng)站自身的自我安慰。

個中原因在于，黑客需要的是這些大型網(wǎng)站的數(shù)據(jù)庫，用戶的密碼對他們來說并不重要。如果是明文密碼，自然撿了個便宜，但就算是所謂的“MD5不可逆算法”，其實對黑客來說，也是輕而易舉之事。360安全專家石曉虹對本報記者說：“由于黑客已經(jīng)收集了大量明文密碼，并以此構(gòu)建了龐大的在線密碼字典（彩虹表），常規(guī)的hash值經(jīng)過密碼字典匹配后，93％以上會被破解?！?/p>

龔蔚認為：“泄密門事件，目前還沒有一個網(wǎng)站給出明確的黑客入侵手法分析，或者泄密事件的安全分析報告。一味的要用戶更改密碼，可見繼續(xù)忽悠是他們慣性邏輯，密碼換來換去的有屁用，保險箱都被人偷了，還不知道怎么被人偷的，還要我換美金存里面，說這樣就會安全?！?/p>

甚至，用戶修改密碼可能還會有負面影響。中國鷹派聯(lián)盟創(chuàng)始人老鷹（萬濤）對本報記者說：“整體的安全環(huán)境不改善，修改密碼無非是增加更多的用戶信息……”

不幸的是，要求用戶修改密碼幾乎成了所有被泄密網(wǎng)站的通用做法。

而且，道歉的網(wǎng)站也不多。比如天涯社區(qū)，最開始否認，后來承認并且道歉，“在得知用戶隱私遭黑客泄露以后，天涯網(wǎng)已經(jīng)啟動應(yīng)急預(yù)案，通過站內(nèi)短信、Email等一切有效聯(lián)系手段通知用戶盡快修改個人密碼，同時也已經(jīng)向公安機關(guān)進行了報案?！?/p>

道歉的還有金山毒霸及其員工：“做錯事要承認錯誤，但網(wǎng)上稱我最早在迅雷泄露了用戶數(shù)據(jù)，這不是事實，是污蔑……”

但CSDN策劃部總監(jiān)譚茂馬上反唇相譏：“傳播泄密資料已經(jīng)犯法了，提醒用戶不要下載這才是安全公司的起碼準則，不知道金山公司將此泄密資料放在網(wǎng)上傳播是何目的？”

打口水仗的還有CSDN與人人網(wǎng)。蔣濤表示：“關(guān)于密碼泄密，我們第一時間公開道歉并通知用戶，其他人沉默或否認，但都通知用戶修改密碼。最惡劣的是某上市公司不但否認且賴賬CSDN，被暴庫的476萬用戶數(shù)據(jù)和CSDN的重合度只有0.65％，怎么碰撞？更蹊蹺的是，隨后新浪微博被曝474萬數(shù)據(jù)，有92％和他的庫重復(fù)，這家公司真是善于混淆視聽?！?/p>

對廣大網(wǎng)民來說，關(guān)心的重點在于賬戶的安全，至于打口水戰(zhàn)或者推諉責任，那不是轉(zhuǎn)移視線，挺沒趣的嗎？

網(wǎng)絡(luò)信息安全應(yīng)提升到足夠高度

網(wǎng)絡(luò)信息安全應(yīng)該提升到國家戰(zhàn)略安全的高度。總是“亡羊”之后才來“補牢”，總是要求用戶做這做那，是解決不了任何問題的。但目前的局面是，大多數(shù)網(wǎng)站并不重視網(wǎng)絡(luò)安全技術(shù)。

12月28日，工業(yè)和信息化部發(fā)布《關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告》。通告將泄露事件定性為“嚴重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益，危害互聯(lián)網(wǎng)安全”的惡性事件，“我部對竊取和泄露用戶信息的行為表示強烈譴責?！?/p>

《通告》要求各互聯(lián)網(wǎng)站“高度重視用戶信息安全工作，把用戶信息保護作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設(shè)的重要工作抓好抓實?！辈⑶?，“各互聯(lián)網(wǎng)站要引以為戒，開展全面的安全自查，及時發(fā)現(xiàn)和修復(fù)安全漏洞。要加強系統(tǒng)安全防護，落實相關(guān)網(wǎng)絡(luò)安全防護標準，提高系統(tǒng)防入侵、防竊取、防攻擊能力?！?/p>

事實上，這次事件已經(jīng)不僅僅局限于用戶信息的小范圍。有評論認為，“泄密門”危機應(yīng)上升到國家安全高度：“不只是一起無關(guān)緊要的網(wǎng)絡(luò)安全事件，當它已經(jīng)直接威脅到每個公民的經(jīng)濟安全，就應(yīng)該提高到國家安全的高度來重視。世界上一些先進國家很早就開始強調(diào)網(wǎng)絡(luò)信息安全戰(zhàn)略，將網(wǎng)絡(luò)信息安全提升到國家戰(zhàn)略安全層次。”

“從出發(fā)點來說，也不算什么惡作劇?！比f濤否定了此次事件屬于黑客娛樂，帶有惡作劇性質(zhì)的說法，“直接效果是揭露了冰山的面目，間接的效果和過程是個蝴蝶效應(yīng)……風暴向何處已經(jīng)超出了黑客圈子的估計和智慧?！贬槍τ嘘P(guān)可能會對“網(wǎng)絡(luò)實名制”產(chǎn)生不利影響的觀點，他認為：“要人們履行義務(wù)（實名），請同時保障權(quán)利（隱私安全），而顯然后者現(xiàn)在是一塌糊涂。需要提醒的是，問題可不出在黑客這邊?！?/p>

龔蔚認為國內(nèi)網(wǎng)站普遍對網(wǎng)絡(luò)安全缺乏尊重：“網(wǎng)站應(yīng)該怎么做才安全？我告訴他兩個字：‘尊重。對安全事件的尊重、對安全管理人員的尊重，對黑客技術(shù)的尊重，對保護用戶安全的尊重，你應(yīng)該是去尊重這種技術(shù)的，態(tài)度決定了結(jié)果?！?/p>

但目前的局面是，大多數(shù)網(wǎng)站并不尊重技術(shù)。某安全公司檢測顯示，“國內(nèi)83％的網(wǎng)站存在安全漏洞，其中34％屬于高危級別，極易遭到黑客入侵”。

總是“亡羊”之后才來“補牢”，總是要求用戶做這做那，不過是一些網(wǎng)站的應(yīng)付之舉。也許，明智的做法是，在危機來臨之前就解決問題，而不是等危機爆發(fā)了來個漂亮的危機公關(guān)，或者是將責任全盤推到黑客身上。

“我不認為這是一個黑客行為”

——專訪中國紅客聯(lián)盟創(chuàng)始人林勇

林勇（Lion）簡介：中國紅客聯(lián)盟創(chuàng)始人。2011年9月22日，被譽為“中國黑帽子大會”的COG2011信息安全論壇在上海召開，lion榮獲COG信息安全社會影響力獎。他重組了中國紅客聯(lián)盟，新網(wǎng)站于2011年11月1日開放。

網(wǎng)絡(luò)導(dǎo)報記者（以下簡稱“記者”）：根據(jù)你對這次上億用戶密碼泄露事件的判斷，你認為它會是什么人或者組織所為？

林勇（以下簡稱“林”）：不清楚?，F(xiàn)在也不好亂猜測。

記者：按照《COG黑客自律公約》的界定，“社會普通公眾的隱私權(quán)，尤其是兒童與未成年人應(yīng)當?shù)玫奖Ｗo。以買賣社會普通公眾隱私信息為目的的活動不是黑客行為?！蹦敲?，這次泄露事件屬于黑客行為嗎？

林：這次密碼泄露，依據(jù)小道消息說是有人為了炫耀放出來的。黑客圈子內(nèi)部交換數(shù)據(jù)比較正常，但放出數(shù)據(jù)來估計是受到anonymous組織（一個組織松散的全球黑客組織）的影響。我本人認為這些放數(shù)據(jù)出來的人沒有一些道德底線，做人做事還是要有原則的。我不認為這是一個黑客行為。

記者：即便這些數(shù)據(jù)庫已經(jīng)被賣了多次，但公布出來，也會形成巨大的輿論沖擊。這里面是否會有一些其他的利益訴求？

林：不排除這些人在下一盤大棋。

記者：有的網(wǎng)站說這次被盜的數(shù)據(jù)為“2009年之前的備份數(shù)據(jù)”，是這樣嗎？

林：這次泄漏的數(shù)據(jù)應(yīng)該是09年到2011年積累的數(shù)據(jù)。攻擊所利用的漏洞我估計大多是java structs2和discuz x2的漏洞?？梢哉f是目前浮出水面的最大的一次網(wǎng)絡(luò)安全事件，但實際上這只是冰山一角。

記者：龔蔚說明年可能會有更大的爆發(fā)，涉及到數(shù)億移動互聯(lián)網(wǎng)用戶。這是不是就是你說的“冰山一角”？

林：暴露的只是冰山一角。也不多說了。

記者：在不知道黑客入侵手法的情況下，被泄密的網(wǎng)站要求用戶更改密碼以求安全，你認為這樣做除了心理安慰之外，有實際效果嗎？

林：畢竟很多人是用通用密碼的，一個淪陷了所有賬戶都暴露了。網(wǎng)站遇到攻擊后，提醒用戶改密碼還是很有必要的。當然，改密碼不只是被攻擊的這個網(wǎng)站的密碼要改，很多的賬戶密碼都要更改。建議不重要的賬戶可以用通用密碼，重要的email、淘寶之類的一定要設(shè)置單獨密碼。

記者：如果說這些黑客的目標在于大型網(wǎng)站的數(shù)據(jù)庫，那么，對此事負責的顯然只是這些網(wǎng)站。網(wǎng)站致歉就足夠了嗎？

林：出了事的企業(yè)一定要開展全面排查，找出攻擊源頭，修補相關(guān)漏洞，并加強安全防范措施。同時，數(shù)據(jù)一定要采用強加密方式保存，這次很多明文密碼泄露，可以看出這些企業(yè)對用戶是很不負責任的。這不是一個道歉就能說得過去的。

記者：是的，道歉沒用。這件事情似乎強加給了黑客一些羞辱。那這個事件對黑客圈子來說，是否也會有一些影響？比如，找到那個公布信息的源頭？今后打擊這方面的行為？

林：對黑客圈子的影響絕對是有的。國家剛公布2012年要開展為期一年的打擊黑客專項行動，這下剛好撞槍口上了。我們也在猜測其背后的實際目的。我們希望國家能加大打擊力度，讓更多的人走上正途，凈化一下這個圈子。

記者：你對這件事是不是感到很憤怒？有人說泄露數(shù)據(jù)的這個人壞了行規(guī)，黑客圈要清理門戶。

林：兩方面吧。一是感到震驚，買賣公眾數(shù)據(jù)確實是很不道德的。這東西我知道很早在流傳，但沒想到有人敢放出來，這損害的是公眾利益。第二，從積極方面講，我覺得這是對網(wǎng)絡(luò)安全行業(yè)的促進，經(jīng)過這次事件的洗禮，網(wǎng)絡(luò)安全在很多企業(yè)將占有一席之地。

記者：網(wǎng)絡(luò)安全已經(jīng)成為一個全球性話題。有人說，這次密碼泄露事件是針對實行網(wǎng)絡(luò)實名制的？

林：這次密碼泄露事件不排除是對實名制的挑戰(zhàn)。實施實名制應(yīng)該建立在安全保障的前提下。在網(wǎng)絡(luò)安全還沒得到充分重視，一些網(wǎng)站的保護措施還不夠的背景下，如果盲目實行實名制，還再讓“人”如入無人之境的話，到時候泄露的就不只是一堆密碼和郵箱了。

記者：老鷹也很擔心這一點？

林：網(wǎng)絡(luò)安全應(yīng)該是開展互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)保障。特別是以后進入云的時代，所有數(shù)據(jù)都在網(wǎng)上的情況下，網(wǎng)絡(luò)安全會更加重要。而目前的情況是，網(wǎng)絡(luò)安全得不到企業(yè)的重視，網(wǎng)絡(luò)安全人才在企業(yè)也得不到重視。

企業(yè)不重視安全，對網(wǎng)絡(luò)安全投入不夠，造成網(wǎng)絡(luò)應(yīng)用漏洞很多，讓人有機可趁；網(wǎng)絡(luò)安全技術(shù)人員得不到重視，在企業(yè)的地位和收入不高。生活的壓力，讓很多人鋌而走險，投入了“黑產(chǎn)”的懷抱，結(jié)果造成網(wǎng)絡(luò)安全圈子的混亂局面。所以，要改變這種現(xiàn)狀需要多方努力。很希望看到國家加大這方面投入。

記者：數(shù)據(jù)的力量非常強大，也非?？膳?！如果安全做好了，就可以馴服它，讓它發(fā)揮正面作用了。

林：這是對互聯(lián)網(wǎng)企業(yè)敲響的一次警鐘，也是網(wǎng)絡(luò)安全這個行業(yè)發(fā)展的一個契機。這個事件的根源在于，有些人盯上了這些企業(yè)的數(shù)據(jù)庫，因為它們能換到錢。有利益的驅(qū)使，就必然有人去冒險?，F(xiàn)在暴露的只是賬戶密碼和郵箱，如果將來泄露的是姓名、性別、電話、家庭住址、身份證號、銀行賬號呢？

記者：銀行卡一般是六位數(shù)的密碼，那不是更容易破解嗎？或者說，銀行系統(tǒng)有更安全的保障措施？

林：那得看加密手段了。直接聯(lián)網(wǎng)猜，3次機會，6位數(shù)字的密碼還算安全。但如果讓黑客拿到數(shù)據(jù)庫就麻煩了，特別是網(wǎng)銀賬戶。