【案例重現(xiàn)】

2011年12月下旬，大陸互聯(lián)網(wǎng)史上最大規(guī)模的一次用戶資料洩漏事件集中爆發(fā)，多家網(wǎng)路安全機(jī)構(gòu)發(fā)佈紅色預(yù)警稱，CSDN、人人網(wǎng)、貓撲、178遊戲網(wǎng)等多家互聯(lián)網(wǎng)站遭駭客惡意公開資料庫(kù)。鑒於目前已有超過(guò)5000萬(wàn)個(gè)用戶帳號(hào)和密碼在網(wǎng)上公開擴(kuò)散，特別是部分線民習(xí)慣為郵箱、微博、遊戲、網(wǎng)上支付、購(gòu)物等帳號(hào)設(shè)置相同的密碼，呼籲廣大線民盡快修改重要帳號(hào)的密碼，而上述被捲入洩密風(fēng)波的網(wǎng)站也已向用戶敲響警鐘。

在CSDN.NET和天涯傳出密碼流出之後，很多網(wǎng)友表示「改密碼改到手軟」，然而網(wǎng)站方面，真誠(chéng)反思整改者有，渾水摸魚、以鄰為壑者也有。

有專家揭露，此次被公開的資料庫(kù)，其實(shí)只是部分早就洩露、在駭客交易市場(chǎng)流傳很久的老舊資料庫(kù)，駭客實(shí)際掌握的資料庫(kù)遠(yuǎn)不止於此。網(wǎng)路公司早知資料庫(kù)被盜，現(xiàn)在才道歉和採(cǎi)取措施，足見用戶利益在其心中的位置之低。

在這個(gè)資訊世紀(jì)，資訊已主導(dǎo)著人們的整個(gè)生活及社會(huì)的整個(gè)生產(chǎn)運(yùn)轉(zhuǎn)，如何保障資訊的安全成為全社會(huì)全人類應(yīng)該深索的課題。

「密碼危機(jī)」

聞之色變

這場(chǎng)令人聞之色變的「密碼危機(jī)」，源於2011年12月21日。當(dāng)天上午，有駭客在網(wǎng)上公開了開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫(kù)，包括600餘萬(wàn)個(gè)註冊(cè)郵箱帳號(hào)和與之對(duì)應(yīng)的明文密碼，在業(yè)界引發(fā)軒然大波。

CSDN通過(guò)微博緊急回應(yīng)稱，目前洩密原因尚未查明，已向公安機(jī)關(guān)報(bào)案，公安機(jī)關(guān)也正在調(diào)查相關(guān)線索。同時(shí)，CSDN也已經(jīng)對(duì)現(xiàn)有2000萬(wàn)註冊(cè)用戶的帳號(hào)密碼資料庫(kù)全部採(cǎi)取了密文保護(hù)和備份。

這場(chǎng)風(fēng)波的蝴蝶效應(yīng)第二天就立即顯現(xiàn)。12月22日，人人網(wǎng)、178遊戲網(wǎng)等5家網(wǎng)站用戶數(shù)據(jù)庫(kù)又相繼被公開，以打包壓縮文件的形式放在網(wǎng)盤中公然供人下載，幾百萬(wàn)用戶的帳號(hào)密碼在其中一覽無(wú)遺，這讓不少用戶感到如坐針氈。隨後，更有貓撲等數(shù)十家大型網(wǎng)站被曝已經(jīng)遭駭客「爆庫(kù)」，面臨同樣的命運(yùn)。

金山毒霸也於12月22日發(fā)佈了紅色預(yù)警，其負(fù)責(zé)人表示，此次有多達(dá)千萬(wàn)用戶資料被洩露，其中不乏一些名人的資料，是大陸互聯(lián)網(wǎng)史上最大規(guī)模的一次用戶資料洩露事件。

3天後「洩密門」再度升級(jí)，大陸最早的社交網(wǎng)站天涯社區(qū)也「慘遭毒手」，據(jù)知情人士透露，4000萬(wàn)用戶密碼全部洩露。洩密事件發(fā)生後，天涯社區(qū)發(fā)佈《針對(duì)用戶數(shù)據(jù)外泄的聲明》和《對(duì)用戶的致歉信》。天涯社區(qū)在道歉信中承認(rèn)用戶資料已洩露，稱「近日由於遭受駭客攻擊，有多家網(wǎng)站的部分用戶數(shù)據(jù)庫(kù)外泄，天涯也是受害網(wǎng)站之一」。

蝴蝶效應(yīng)

源於駭客「拖庫(kù)」

究竟駭客是如何順滕摸瓜竊得如此多大網(wǎng)站密碼的？360專家石曉虹分析稱，一家網(wǎng)站伺服器被駭客攻破，成百上千萬(wàn)用戶的常用郵箱和密碼洩露後，很容易導(dǎo)致網(wǎng)上支付等其他重要帳號(hào)也一併失竊。此前爆發(fā)的微博、MSN大面積盜號(hào)事件，其攻擊方式均為駭客「拖庫(kù)」後試探盜號(hào)的。「目前，駭客竊取網(wǎng)站資料庫(kù)的危害已遠(yuǎn)遠(yuǎn)超過(guò)盜號(hào)木馬?！?/p>

為了便於記憶，大部分用戶存在一個(gè)密碼（多是密文、部分網(wǎng)站是明文）通行多個(gè)網(wǎng)站的習(xí)慣，甚至使用相同的郵箱註冊(cè)不同網(wǎng)路服務(wù)，並且使用完全一樣的登錄密碼，這就好比用一把鑰匙就能打開所有的門。因此駭客們只要拿到一個(gè)網(wǎng)站的用戶資料，就可以打開大多數(shù)其他網(wǎng)站的服務(wù)，這使得本次洩露事件的危害性進(jìn)一步擴(kuò)大。

已被證實(shí)的是，駭客並沒有入侵用戶本地的電腦，此事件和用戶電腦本身的安全無(wú)關(guān)，完全是與網(wǎng)站對(duì)於用戶的個(gè)人資訊安全保護(hù)不善而導(dǎo)致。

「如果您的人人網(wǎng)帳號(hào)密碼和CSDN或其他網(wǎng)站一致，建議您馬上修改密碼，以免帳號(hào)被盜?！谷巳司W(wǎng)官方微博發(fā)表聲明稱。不過(guò)，人人網(wǎng)方面並未打算對(duì)此事承擔(dān)任何責(zé)任。其官方稱，人人網(wǎng)從上線開始就沒有記錄明文密碼，不存在過(guò)錯(cuò)，受影響的用戶均因在CSDN或者其他論壇等使用相同帳號(hào)密碼。開心網(wǎng)亦已向用戶群發(fā)郵件，警告稱近日互聯(lián)網(wǎng)進(jìn)入了安全事故的高發(fā)期，坦言「經(jīng)常更換密碼對(duì)於您的帳戶安全非常重要」。

工信部要求網(wǎng)站自查

網(wǎng)路安全不容小視

為幫助用戶找回已被盜帳戶，天涯社區(qū)在公告中稱，可使用取回密碼功能，通過(guò)註冊(cè)郵箱、認(rèn)證手機(jī)或申訴的方式取回被盜密碼；或者撥打其客服電話，由工作人員進(jìn)行驗(yàn)證之後取回帳戶密碼。

對(duì)於此補(bǔ)救措施網(wǎng)路安全專家表示，各遭洩密的互聯(lián)網(wǎng)企業(yè)可互相作為借鑒；同時(shí)，專家也指出，各大網(wǎng)站基本都推出了用戶帳戶體系，多數(shù)線民也會(huì)在各網(wǎng)站留下註冊(cè)資訊和即時(shí)資訊，當(dāng)駭客越來(lái)越習(xí)慣從公司後臺(tái)下手竊取用戶資料，保障資訊安全的挑戰(zhàn)越來(lái)越大，建議線民及時(shí)修改被疑洩密網(wǎng)站的登錄密碼等個(gè)人資料。專家建議，用戶應(yīng)設(shè)置較為複雜的密碼，且在不同網(wǎng)站盡量採(cǎi)用不同的註冊(cè)資訊，以免發(fā)生連鎖被盜事件。

而針對(duì)此次互聯(lián)網(wǎng)站資訊大規(guī)模洩露事件，工信部發(fā)佈通告，強(qiáng)烈譴責(zé)竊取和洩露用戶資訊行為，並展開調(diào)查。工信部要求，發(fā)生用戶資訊洩露的網(wǎng)站要做好善後工作，盡快通過(guò)網(wǎng)站公告、電子郵件、電話、短信等方式向用戶發(fā)出警示，提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼；未發(fā)生用戶資訊洩露的網(wǎng)站，要加強(qiáng)安全監(jiān)測(cè)，必要時(shí)提醒用戶修改密碼；同時(shí)提醒廣大互聯(lián)網(wǎng)用戶，密切關(guān)注相關(guān)網(wǎng)站發(fā)佈的公告，並根據(jù)網(wǎng)站安全提示修改密碼，提高密碼的安全強(qiáng)度並定期修改。

「洩密門」倒逼互聯(lián)網(wǎng)

重建行業(yè)倫理

洩密事件發(fā)生後，一些網(wǎng)站借機(jī)渾水摸魚，打起了那些「裸奔」用戶的主意，「有些網(wǎng)站把公開庫(kù)的數(shù)據(jù)直接導(dǎo)入自己的用戶庫(kù)，也發(fā)通知給用戶更改密碼，來(lái)獲取用戶」；更有一些「灌水」公司，居然拿被竊用戶的帳號(hào)去發(fā)「水帖」，刷「僵屍粉」；而一些存在競(jìng)爭(zhēng)關(guān)係的公司，則互相指責(zé)抹黑對(duì)方。

此次洩密事件很大程度上源於「人禍」——一些網(wǎng)站為了商業(yè)利益，而犧牲用戶的利益。比如，對(duì)用戶密碼進(jìn)行加密存儲(chǔ)，應(yīng)是商業(yè)網(wǎng)站的運(yùn)營(yíng)常識(shí)，然而，為了方便操作、節(jié)省成本，一些網(wǎng)站竟長(zhǎng)期使用明文密碼，以至輕易遭竊；再如，用戶註冊(cè)時(shí)禁用簡(jiǎn)單密碼的網(wǎng)站並不普遍，有的網(wǎng)站不設(shè)置密保提問(wèn)，甚至連驗(yàn)證碼也沒有。

其實(shí)，實(shí)現(xiàn)上述操作並不難，要的只是一個(gè)將用戶利益放在首位的理念而已。對(duì)於已遭洩密的網(wǎng)站，要盡快通過(guò)各種方式提醒用戶修改密碼；對(duì)於倖免的網(wǎng)站，則要加強(qiáng)安全監(jiān)測(cè)，盡快升級(jí)硬體，提升反洩密能力。

如今，電子商務(wù)、線上支付、移動(dòng)支付等網(wǎng)路手段越來(lái)越重要，如果洩密擴(kuò)大，帶來(lái)的恐怕將不僅是心理上的恐慌，更是經(jīng)濟(jì)上的重創(chuàng)。從此角度講，對(duì)網(wǎng)企來(lái)說(shuō)，保護(hù)用戶就是保護(hù)自己；對(duì)政府來(lái)說(shuō)，維護(hù)健康的互聯(lián)網(wǎng)行業(yè)，也是在維護(hù)健康的經(jīng)濟(jì)。

那麼，就此次洩密事件看，工信部?jī)H僅譴責(zé)和要求恐怕還不夠，還應(yīng)及時(shí)出臺(tái)更具體切實(shí)的舉措及行業(yè)條例，推進(jìn)相關(guān)立法，明確各方保護(hù)互聯(lián)網(wǎng)個(gè)人資訊的責(zé)任，用法律逼迫網(wǎng)站安全技術(shù)升級(jí)；同時(shí)也應(yīng)讓那些不負(fù)責(zé)任的網(wǎng)站，依法受到懲罰。

大陸關(guān)於個(gè)人資訊保護(hù)的首個(gè)國(guó)家標(biāo)準(zhǔn)仍在制定階段。而現(xiàn)階段，網(wǎng)路漏洞的監(jiān)控與管理仍需靠電商網(wǎng)站、互聯(lián)網(wǎng)企的自覺。如果說(shuō)此次洩密事件也能「壞事變好事」的話，那就是將網(wǎng)企漠視用戶資訊安全的短板徹底暴露出來(lái)，倒逼網(wǎng)企重建行業(yè)倫理，將保護(hù)用戶的資訊安全權(quán)作為基本生存準(zhǔn)則。

為了便於記憶，大部分用戶存在一個(gè)密碼（多是密文、部分網(wǎng)站是明文）通行多個(gè)網(wǎng)站的習(xí)慣，甚至使用相同的郵箱註冊(cè)不同網(wǎng)路服務(wù)，並且使用完全一樣的登錄密碼，這就好比用一把鑰匙就能打開所有的門。