“你改密碼了沒(méi)有？”不是調(diào)侃,不是搞笑，這樣的問(wèn)候語(yǔ)是正在發(fā)生的事實(shí)。自從12月21日開(kāi)發(fā)者技術(shù)社區(qū)CSDN的600萬(wàn)用戶(hù)密碼外泄被曝光以來(lái)，多家國(guó)內(nèi)知名網(wǎng)站接踵而至，不同程度地被卷入了“密碼外泄”的傳言泥潭。一時(shí)間，網(wǎng)絡(luò)上風(fēng)聲鶴唳草木皆兵，隨便登錄一個(gè)常去的網(wǎng)站，往往劈頭就會(huì)撞上“重新設(shè)置密碼”的醒目提示。我們不妨用一句“老滾5”游戲中的流行語(yǔ)來(lái)描述這種現(xiàn)狀—“我從來(lái)不知道密碼也要天天修改，直到我的膝蓋中了一箭！”而這突如其來(lái)的第一箭，就是CSDN社區(qū)的600萬(wàn)“被裸奔”賬戶(hù)。

技術(shù)社區(qū)被“爆庫(kù)”？

12月21日晚間，網(wǎng)上突然爆出一條消息：CSDN社區(qū)承認(rèn)有約600萬(wàn)用戶(hù)密碼遭到外泄，且絕大部分是早年留存的明文密碼。

一石激起千層浪。

CSDN何許網(wǎng)站也？這四個(gè)字母是中國(guó)軟件開(kāi)發(fā)聯(lián)盟（Chinese software develop net）的縮寫(xiě)，也是中國(guó)最大的開(kāi)發(fā)者技術(shù)社區(qū)。

某網(wǎng)友用一個(gè)想象出的場(chǎng)景來(lái)描述當(dāng)晚的情形—在某計(jì)算機(jī)專(zhuān)業(yè)的大學(xué)生寢室里，一個(gè)男生大叫道：“兄弟們，最新的日本某女星片子已經(jīng)下好，大家快過(guò)來(lái)看啊，相當(dāng)精彩??！”然而，這個(gè)寢室里的其他同學(xué)似乎對(duì)這哥們的再三邀請(qǐng)聽(tīng)而不聞。因?yàn)榇蠹叶荚诿硷w色舞地談?wù)撝鳦SDN的明文密碼和用戶(hù)賬號(hào)泄露的事情，并在網(wǎng)上搜索下載CSDN那600萬(wàn)的用戶(hù)數(shù)據(jù)……

“那一晚，全中國(guó)的程序員都在瘋狂地改密碼?！本W(wǎng)友“謝昊”的這條微博并不夸張。

因?yàn)镃SDN的特殊地位，部分網(wǎng)友認(rèn)為這簡(jiǎn)直是莫大的諷刺：“都什么年代了，還用明文密碼？”“一群技術(shù)青年竟然在一個(gè)如此沒(méi)技術(shù)含量的平臺(tái)上交流了那么多年！”

然而，隨后的一連串連鎖反應(yīng)顯示，這600萬(wàn)數(shù)據(jù)的外泄也許只不過(guò)是露出海面的冰山一角。

600萬(wàn)密碼折射的隱患

按照CSDN社區(qū)《公開(kāi)道歉信》中的說(shuō)法，由于時(shí)間久遠(yuǎn)的關(guān)系，一小部分用戶(hù)密碼確實(shí)采用了明文儲(chǔ)存。然而，這600萬(wàn)密碼泄漏折射出的問(wèn)題，絕不只有明文儲(chǔ)存而已。

在“開(kāi)源中國(guó)”社區(qū)上，有網(wǎng)友針對(duì)網(wǎng)絡(luò)上流傳的CSDN外泄數(shù)據(jù)包進(jìn)行了分析，得出的結(jié)論讓人吃驚：

有近45萬(wàn)的用戶(hù)使用123456789和12345678做密碼。有近40萬(wàn)的用戶(hù)使用自己的生日做密碼。有近15萬(wàn)的用戶(hù)使用自己的手機(jī)號(hào)做密碼。有近25萬(wàn)的用戶(hù)使用自己的QQ號(hào)做密碼。設(shè)置成弱密碼的用戶(hù)占了590萬(wàn)，也就是那種就算你用MD5或是SHA算法加密也能很快就被暴力破解出來(lái)的密碼。

只有8 000多個(gè)用戶(hù)的密碼長(zhǎng)度大于8個(gè)字符，并包括了大寫(xiě)字母、小寫(xiě)字母和數(shù)字，而且不在字典表里。

即使在程序員云集的CSDN社區(qū)，他們?cè)O(shè)置的密碼也并沒(méi)有多高的安全系數(shù)。而且，太多人習(xí)慣用與個(gè)人信息相關(guān)的數(shù)字充當(dāng)密碼，一旦賬戶(hù)被破解或泄露，隨之陷入危險(xiǎn)的還可能有用戶(hù)的手機(jī)號(hào)、QQ號(hào)甚至出生日期！

一般人的賬號(hào)密碼認(rèn)準(zhǔn)后基本不會(huì)變。也就是說(shuō)，拿到CSDN社區(qū)的這份被盜資料后，就可以隨意登陸別人的郵箱、QQ、微博以及豆瓣，甚至破解出銀行密碼。

網(wǎng)友“林磊”做了一下實(shí)驗(yàn)：“剛剛下載了那個(gè)文件，解壓后200多兆的文本。在里面搜了一下，自己的賬號(hào)果然在里面，用戶(hù)名、密碼、郵箱全部都在。頓時(shí)一陣無(wú)名火起，讓我們還怎么相信這些網(wǎng)站！”

“太丟人！”IT人“魚(yú)翅”一言以概之，“這次泄漏事件一出，就等于宣告程序員干不過(guò)黑客。”

“多米諾效應(yīng)”爆發(fā)

CSDN僅僅是一個(gè)原點(diǎn)，可能引發(fā)席卷整個(gè)互聯(lián)網(wǎng)的連鎖反應(yīng)，更多普通網(wǎng)民發(fā)現(xiàn)自己開(kāi)始被卷入其中。一周之內(nèi)，天涯社區(qū)、新浪微博、騰訊QQ、京東商城、人人網(wǎng)、開(kāi)心網(wǎng)、多玩游戲網(wǎng)、7k7k、世紀(jì)佳緣、珍愛(ài)網(wǎng)、美團(tuán)網(wǎng)、美空網(wǎng)和百合網(wǎng)等多家知名網(wǎng)站紛紛卷入“密碼泄露”的傳言。截至發(fā)稿時(shí)，來(lái)自奇虎360的最新監(jiān)測(cè)顯示，目前網(wǎng)上公開(kāi)暴露的網(wǎng)絡(luò)賬戶(hù)密碼已超過(guò)1億個(gè)。

就在這一周里，互聯(lián)網(wǎng)安全專(zhuān)家趙明（化名）在與網(wǎng)友的討論中得到一個(gè)迅雷下載鏈接。正當(dāng)他下載這個(gè)文件時(shí)，《迅雷》軟件右側(cè)的相關(guān)推薦里列出了7k7k網(wǎng)2 000萬(wàn)、多玩游戲網(wǎng)800萬(wàn)的數(shù)據(jù)包，他立刻同時(shí)下載。之后，這個(gè)列表還在不斷擴(kuò)大，天涯社區(qū)、嘟嘟牛、178和人人網(wǎng)等網(wǎng)站都已經(jīng)進(jìn)入推薦清單。

盡管人人網(wǎng)、開(kāi)心網(wǎng)和7k7k等不少網(wǎng)站均對(duì)“被黑”一說(shuō)予以否認(rèn)，稱(chēng)從未使用明文密碼，但仍然提示“在CSDN或者其他論壇等使用相同賬號(hào)密碼則存在風(fēng)險(xiǎn)，請(qǐng)盡快修改”。密碼外泄的“流感”一時(shí)引得網(wǎng)上人人自危，互聯(lián)網(wǎng)安全公司紛紛拉響紅色警報(bào)。

“我在天涯的賬號(hào)已經(jīng)被黑，無(wú)法登錄?！?2月26日，著名編劇寧財(cái)神在微博上宣布自己的天涯賬戶(hù)被盜，無(wú)法使用。除了寧財(cái)神，龍貓蓓、A弄月公子、蕊小蕊、東方_chi等眾多新浪微博用戶(hù)都稱(chēng)發(fā)現(xiàn)自己的天涯賬號(hào)于近幾日被盜。

更嚴(yán)重的是，密碼被盜后，賬戶(hù)被黑客用來(lái)惡意發(fā)帖或進(jìn)行詐騙。新浪微博用戶(hù)“成都電臺(tái)陳露”表示，他的天涯賬號(hào)被盜后，居然被人用來(lái)在天涯的“情感天地”大發(fā)廣告！

事情到此還沒(méi)有結(jié)束，12月27日，網(wǎng)易163郵箱也傳出了“被黑”的消息。郵箱管理界面中被綁定了陌生的QQ號(hào)碼，有人認(rèn)為這是被攻擊的后門(mén)賬號(hào)。雖然網(wǎng)易隨后發(fā)出辟謠，表示此事子虛烏有，但看在已經(jīng)人心惶惶的網(wǎng)友眼中，自然很難做到無(wú)動(dòng)于衷。和錢(qián)直接掛鉤的京東商城更是被爆出用戶(hù)信息大面積泄露，內(nèi)容包括姓名、地址、電話(huà)和Email等，被泄露后的用戶(hù)形同網(wǎng)上裸奔。

面對(duì)接踵而來(lái)的“多米諾效應(yīng)”，各網(wǎng)站聞風(fēng)而動(dòng)，提示“盡快更改密碼”的安民告示幾乎隨處可見(jiàn)，各出招數(shù)應(yīng)對(duì)這波風(fēng)潮。

天涯社區(qū)就在網(wǎng)站首頁(yè)掛出了公告，澄清稱(chēng)“泄露數(shù)據(jù)低于網(wǎng)上盛傳的4 000萬(wàn)”，并稱(chēng)已就此事向公安機(jī)關(guān)報(bào)案。

新浪微博在宣布密碼并未泄露后，很快推出了短信報(bào)警、登錄保護(hù)和賬號(hào)鎖定等功能。

網(wǎng)易宣布其自主研發(fā)的人臉識(shí)別系統(tǒng)已經(jīng)取得核心技術(shù)突破，明年上半年將用在郵箱等產(chǎn)品上（要求用戶(hù)在終端擁有攝像頭，通過(guò)攝像頭捕捉人臉信息進(jìn)行比對(duì)），并逐漸推廣。

騰訊方面發(fā)布聲明稱(chēng)，已對(duì)泄密的QQ郵箱賬號(hào)限制登錄。請(qǐng)這部分用戶(hù)登錄時(shí)根據(jù)提示，在QQ安全中心使用密保工具箱來(lái)修改密碼。同時(shí)建議用戶(hù)定期修改密碼，盡量不要在多個(gè)重要賬戶(hù)中使用雷同密碼，避免賬號(hào)被盜。

人人網(wǎng)表示，對(duì)于密碼風(fēng)險(xiǎn)特別高的用戶(hù)，該網(wǎng)站將暫時(shí)凍結(jié)賬號(hào)的使用，以待其聯(lián)系客服加強(qiáng)安全措施方可正常使用。

支付寶則向媒體表示，由于其功能對(duì)保密的要求比一般的互聯(lián)網(wǎng)社區(qū)網(wǎng)站更高，支付寶早就推出了專(zhuān)門(mén)的密碼安全控件。該安全控件實(shí)現(xiàn)了在SSL加密傳輸基礎(chǔ)上對(duì)用戶(hù)的關(guān)鍵信息進(jìn)行再次多重加密。

同時(shí)，很多網(wǎng)游公司在登錄時(shí)也都新加入了輸入驗(yàn)證碼一項(xiàng)，以加強(qiáng)安全。

金山員工是始作俑者？

事情走到這一步，知名網(wǎng)站紛紛卷入。但事件的源頭到底是怎么一回事？曾有網(wǎng)友爆出，最早在迅雷公開(kāi)提供數(shù)據(jù)庫(kù)下載的人為金山公司員工。

早在CSDN社區(qū)密碼遭泄的第二天，也就是12月22日，網(wǎng)上傳播的圖像顯示，有QQ用戶(hù)曾于21日下午2時(shí)許，在QQ群內(nèi)發(fā)布CSDN數(shù)據(jù)包的迅雷快傳鏈接。12月23日凌晨，一名ID為hzqedison的新浪微博用戶(hù)承認(rèn)，其本人是該文件的上傳者，并表示道歉。

為了洗清嫌疑，涉嫌“泄密”的當(dāng)事人韓斌（化名）曾向媒體講述事情的全過(guò)程。

韓斌表示，12月21日下午2時(shí)許，他在一個(gè)網(wǎng)絡(luò)安全相關(guān)的QQ群內(nèi)，看到了CSDN用戶(hù)賬號(hào)密碼的迅雷下載文件。由于他本人也是一名技術(shù)人員，并且是CSDN注冊(cè)用戶(hù)，因此他馬上將該文件下載，以查閱自己的賬號(hào)是否被盜。

“果然在里面查到了我的賬號(hào)！我的很多同事也是這個(gè)網(wǎng)站的注冊(cè)會(huì)員，我想把這份東西共享給他們，如果他們查到自己的賬號(hào)被泄，好快去更改密碼。于是我把QQ群內(nèi)要用迅雷專(zhuān)用工具下載的鏈接，轉(zhuǎn)化成了迅雷快傳的下載鏈接，并且發(fā)到了一個(gè)朋友圈內(nèi)的QQ群里?！?/p>

令韓斌大吃一驚的是，僅僅過(guò)了不到十分鐘，他所發(fā)布的相關(guān)內(nèi)容就被人截圖，并發(fā)布在了專(zhuān)業(yè)安全網(wǎng)站“烏云”（wooyun. org）上?！皳?jù)我猜測(cè)，我把東西發(fā)在QQ群里后，又有人在不同的QQ群內(nèi)轉(zhuǎn)播，所以才會(huì)傳播出去?！表n斌說(shuō)。

“我當(dāng)天就刪掉了迅雷上的文件，但沒(méi)想到事情會(huì)影響得這么大，很快有人策劃新聞，也有水軍來(lái)轉(zhuǎn)發(fā)、罵我。現(xiàn)在連我父母都打電話(huà)問(wèn)我，我只能告訴他們我確實(shí)沒(méi)有做過(guò)這樣的事。我很愛(ài)我的工作，真的不想失去它?！表n斌的話(huà)語(yǔ)斷斷續(xù)續(xù)，聲音微微發(fā)顫。

12月26日，金山網(wǎng)絡(luò)發(fā)表聲明，承認(rèn)韓斌確為其公司員工，但同時(shí)表示，該員工并非在網(wǎng)絡(luò)上被“千夫所指”的黑客，也不是最早泄露用戶(hù)數(shù)據(jù)的人。

“事件絕對(duì)不是金山引起的，我們已經(jīng)掌握了始作俑者的部分資料?！苯鹕骄W(wǎng)絡(luò)公關(guān)部門(mén)相關(guān)負(fù)責(zé)人說(shuō)。

撲朔迷離的“真相”

隨后，又有網(wǎng)友發(fā)現(xiàn)，早在12月4日，就有ID為“臭小子”的用戶(hù)在前述的專(zhuān)業(yè)安全網(wǎng)站“烏云”上發(fā)布了一份“中國(guó)各大站點(diǎn)數(shù)據(jù)庫(kù)曝光”的漏洞概要，截圖中也包括最早被泄露的CSDN相關(guān)數(shù)據(jù)庫(kù)。只是在當(dāng)時(shí)，這份截圖并沒(méi)有引起廣泛的關(guān)注。

那么，這才是本次風(fēng)波真正的源頭？遺憾的是，自從12月23日，“臭小子”在百度空間上發(fā)表名為《網(wǎng)上那些事和我無(wú)關(guān)！》的博客公告之后，始終沒(méi)有再出現(xiàn)在公眾的面前。即使在那篇博客中，他也只說(shuō)“在這里我表示歉意，里面的數(shù)據(jù)庫(kù)我真的沒(méi)有，數(shù)據(jù)庫(kù)真的不是我搞的，我也沒(méi)有搞過(guò)?！?/p>

山重水復(fù)疑無(wú)路，料不到的是柳暗花明又一村。12月28日，CSDN創(chuàng)始人蔣濤公開(kāi)指出遭遇上市公司栽贓，并公布被曝庫(kù)數(shù)據(jù)重合度對(duì)比，其目標(biāo)直指人人網(wǎng)。

在連續(xù)發(fā)表的微博中，蔣濤還寫(xiě)道，密碼泄密事件發(fā)生迄今，僅CSDN第一時(shí)間公開(kāi)道歉并通知用戶(hù)，其他人沉默或否認(rèn)。他還表示，一些網(wǎng)站還趁機(jī)渾水摸魚(yú)，將這些公開(kāi)庫(kù)的數(shù)據(jù)直接導(dǎo)入自己用戶(hù)庫(kù)，也發(fā)通知給用戶(hù)改密碼，此外，釣魚(yú)網(wǎng)站和垃圾郵件都活躍了起來(lái)。

截至本刊發(fā)稿時(shí)止，事件的真相暫時(shí)還沒(méi)有水落石出，但后果卻是可以預(yù)想的。一位不愿具名的安全行業(yè)資深人士指出，泄密事件將造成持續(xù)連鎖反應(yīng)。“以前有公司要給網(wǎng)民發(fā)垃圾郵件，還要去購(gòu)買(mǎi)有效用戶(hù)的信息，現(xiàn)在他們完全不用買(mǎi)了。我估計(jì)在未來(lái)一段時(shí)間內(nèi)，中國(guó)網(wǎng)民將會(huì)接收到大量的垃圾郵件。此外，也會(huì)有部分用戶(hù)存在銀行密碼被盜用的危險(xiǎn)?！?/p>