艾龍

伴隨數(shù)據(jù)泄密事件而來的，是一場席卷中國互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全危機(jī)，其波及面之廣、影響之深都是前所未有的。工業(yè)和信息化部稱，這次事件“嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益，危害互聯(lián)網(wǎng)安全”。更有論者認(rèn)為，此次數(shù)據(jù)泄露事件應(yīng)該上升到國家安全的高度。

“密碼颶風(fēng)”席卷中國互聯(lián)網(wǎng)

泄密的網(wǎng)站包括天涯社區(qū)、人人網(wǎng)等中國各大知名網(wǎng)站，用戶數(shù)超過1億，泄露的信息包括賬號、明文密碼、MD5加密密碼、電子郵件、家庭住址、電話、真實(shí)姓名等敏感信息。更為嚴(yán)重的是，泄露的范圍已經(jīng)從社交類網(wǎng)站擴(kuò)展到電商行業(yè)，乃至更為寬泛的領(lǐng)域。

2011年12月21日，是中國互聯(lián)網(wǎng)應(yīng)該銘記的日子。

這一天，國內(nèi)知名程序員網(wǎng)站CSDN的用戶資料數(shù)據(jù)庫在網(wǎng)上曝光。隨之而來的，是席卷中國互聯(lián)網(wǎng)的一場密碼颶風(fēng)，至今為止，事件尚處于爆發(fā)階段，神秘的泄密人也沒有露面，更沒有誰能確切說出最終會(huì)是什么樣的局面……

讓我們簡要梳理一下事件的前因后果。

12月4日，黑客“臭小子”在國內(nèi)安全問題反饋平臺(tái)“烏云”上宣稱，自己掌握了139、百合網(wǎng)、開心網(wǎng)等多家大型網(wǎng)站的用戶數(shù)據(jù)庫，包括管理賬號密碼、郵箱密碼等等，但并沒有引起足夠的重視。

12月21日，CSDN社區(qū)的640萬用戶賬戶、密碼、郵箱資料遭到泄露；網(wǎng)民發(fā)現(xiàn)，CSDN數(shù)據(jù)庫的大小和“臭小子”貼圖中的280507KB大小完全一致。事態(tài)開始嚴(yán)重起來。

密碼庫事件爆發(fā)后1個(gè)半小時(shí)左右，金山毒霸產(chǎn)品經(jīng)理韓某“hzqedison”把CSDN用戶數(shù)據(jù)庫傳到了迅雷快傳（會(huì)員分享），根據(jù)金山公司的說法，“將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查，不慎被外人所獲知”。

“蝴蝶效應(yīng)”以超出人們預(yù)料的速度開始形成，事情變得不可收拾。

12月22日～28日，中國各大知名網(wǎng)站全面淪陷。根據(jù)網(wǎng)上各類報(bào)道綜合以及“中國黑客教父”龔蔚的不完全統(tǒng)計(jì)，波及的網(wǎng)站包括多玩游戲（800萬，括號內(nèi)為用戶數(shù)，下同。如無特別說明，則用戶數(shù)不詳）、人人網(wǎng)（500萬）、夢幻西游、7K7K游戲、178.com網(wǎng)站（188萬）、UUU9（700萬）、網(wǎng)易土木在線、天涯社區(qū)（4000萬）、北京麒麟網(wǎng)信息科技有限公司（900萬）、某知名婚戀網(wǎng)站（526萬）、Ispeak.CN（168萬）myspace、塞班論壇（140萬）、太平洋電腦（200萬）、木螞蟻（13萬）766.COM（12萬）、ys168（30萬）……

泄露信息包括賬號、明文密碼、MD5加密密碼、電子郵件、角色名稱、所在服務(wù)器、最后登陸時(shí)間、最后登陸IP、昵稱、數(shù)據(jù)庫排序ID、家庭住址、電話、真實(shí)姓名以及其他相關(guān)數(shù)據(jù)。

更為嚴(yán)重的是，泄露的范圍已經(jīng)從社交類網(wǎng)站擴(kuò)展到電商行業(yè)，乃至更為寬泛的領(lǐng)域。

除了卓越、凡客中招之外，12月27日，京東商城曝出存在“用戶權(quán)限控制不當(dāng)”的漏洞，“任意用戶登錄系統(tǒng)后，都可以正常訪問到所有用戶的信息，包括：姓名、地址、電話、E－mail等。”

12月28日，“烏云”再次發(fā)布漏洞預(yù)警，稱支付寶和當(dāng)當(dāng)網(wǎng)資料被盜，當(dāng)當(dāng)網(wǎng)1200萬全字段用戶資料已經(jīng)泄露，支付寶被泄用戶達(dá)到1500－2500萬，但隨后這些公司均予以否認(rèn)。

同一天，圓通速遞公司網(wǎng)頁被篡改，空蕩蕩的網(wǎng)頁上只有一句話：“JUSTFORFUN”（就是為了好玩）；金山毒霸也被曝存在泄密漏洞，金山方面回應(yīng)，正在查證數(shù)據(jù)來源。

12月29日，有網(wǎng)友爆料，交通銀行、民生銀行及工商銀行的用戶數(shù)據(jù)已經(jīng)泄露。三大銀行的態(tài)度是堅(jiān)決辟謠，全面否認(rèn)。

與此同時(shí)，廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)的網(wǎng)上申請數(shù)據(jù)也被泄露，泄密信息包括編號、真實(shí)姓名、護(hù)照號碼、港澳通行證號碼，申請日期、狀態(tài)，以及用戶的出生年月、郵寄地址、證件有效期、出入事由等等。當(dāng)天晚上，廣東省公安廳通過官方微博＠平安南粵證實(shí)了此事，并表示“技術(shù)漏洞已修補(bǔ)完畢”。

根據(jù)龔蔚的說法，事件還遠(yuǎn)未結(jié)束，本次泄露及公布的數(shù)量與實(shí)際被黑客掌握的用戶賬號數(shù)相比只是冰山一角，“預(yù)計(jì)重大事件將在2012年爆發(fā)，規(guī)模影響中國幾億的移動(dòng)終端用戶?！?/p>

修改密碼不過是心理安慰

修改密碼能起到的補(bǔ)救作用是有限的，其實(shí)不過是心理安慰——對用戶的心理安慰，以及網(wǎng)站自身的自我安慰。至于打口水戰(zhàn)或者推諉責(zé)任，更是不負(fù)責(zé)任的表現(xiàn)。

此次事件也折射出不同網(wǎng)站對待用戶的態(tài)度。

除了少數(shù)網(wǎng)站勇于承擔(dān)，或者說在鐵定事實(shí)面前不得不承認(rèn)之外，一般網(wǎng)站的態(tài)度就是先否認(rèn)，盡量脫開干系，實(shí)在擺脫不了的話，才扭扭捏捏地承認(rèn)，并且強(qiáng)調(diào)自己是無辜的，是“躺著中槍”，是“被順手牽羊”。

12月21日晚間，CSDN在其官方網(wǎng)站發(fā)布公告《致CSDN會(huì)員的公開道歉信》：“我們非常抱歉，近日發(fā)生了CSDN用戶數(shù)據(jù)庫泄露事件，您的用戶密碼可能被公開。我們懇切地請您修改CSDN相關(guān)密碼。如果您在其他網(wǎng)站也使用同一密碼，請一定同時(shí)修改相關(guān)網(wǎng)站的密碼?！?/p>

CSDN解釋：“2009年4月之前是明文密碼，2009年4月之后是加密的，但部分明文密碼未及時(shí)清理；2010年8月底清理掉了所有明文密碼。所以，從2010年9月開始注冊的賬戶全部都是安全的，9月之前的則有可能不安全?！?/p>

對于數(shù)據(jù)庫泄露原因，CSDN并無確切回應(yīng)，聲稱“正在調(diào)查中”。

即便如此，網(wǎng)友并不買賬。“36氪”社區(qū)網(wǎng)友“學(xué)徒姚佐”稱：“看見2010年注冊的也有中招的，明顯官方在撒謊?！?/p>

如果說CSDN明文存儲(chǔ)密碼的做法讓人大跌眼鏡，那么，在沒有查清楚數(shù)據(jù)庫泄露原因的情況下，就讓用戶修改賬號密碼的做法無異于掩耳盜鈴。

修改密碼到底能起到什么作用呢？來看看三大頂級黑客是怎么說的。

“畢竟很多公眾是用通用密碼的，一個(gè)淪陷了所有賬戶都暴露了?！敝袊t客聯(lián)盟創(chuàng)始人林勇一語道破修改密碼的補(bǔ)救作用。

除此之外，修改密碼的真正作用，可能就是心理安慰了——對用戶的心理安慰，以及網(wǎng)站自身的自我安慰。

個(gè)中原因在于，黑客需要的是這些大型網(wǎng)站的數(shù)據(jù)庫，用戶的密碼對他們來說并不重要。如果是明文密碼，自然撿了個(gè)便宜，但就算是所謂的“MD5不可逆算法”，其實(shí)對黑客來說，也是輕而易舉之事。360安全專家石曉虹對本報(bào)記者說：“由于黑客已經(jīng)收集了大量明文密碼，并以此構(gòu)建了龐大的在線密碼字典（彩虹表），常規(guī)的hash值經(jīng)過密碼字典匹配后，93％以上會(huì)被破解?！?/p>

龔蔚認(rèn)為：“泄密門事件，目前還沒有一個(gè)網(wǎng)站給出明確的黑客入侵手法分析，或者泄密事件的安全分析報(bào)告。一味的要用戶更改密碼，可見繼續(xù)忽悠是他們慣性邏輯，密碼換來換去的有屁用，保險(xiǎn)箱都被人偷了，還不知道怎么被人偷的，還要我換美金存里面，說這樣就會(huì)安全。”

甚至，用戶修改密碼可能還會(huì)有負(fù)面影響。中國鷹派聯(lián)盟創(chuàng)始人老鷹（萬濤）對本報(bào)記者說：“整體的安全環(huán)境不改善，修改密碼無非是增加更多的用戶信息……”

不幸的是，要求用戶修改密碼幾乎成了所有被泄密網(wǎng)站的通用做法。

而且，道歉的網(wǎng)站也不多。比如天涯社區(qū)，最開始否認(rèn)，后來承認(rèn)并且道歉，“在得知用戶隱私遭黑客泄露以后，天涯網(wǎng)已經(jīng)啟動(dòng)應(yīng)急預(yù)案，通過站內(nèi)短信、Email等一切有效聯(lián)系手段通知用戶盡快修改個(gè)人密碼，同時(shí)也已經(jīng)向公安機(jī)關(guān)進(jìn)行了報(bào)案?！?/p>

道歉的還有金山毒霸及其員工：“做錯(cuò)事要承認(rèn)錯(cuò)誤，但網(wǎng)上稱我最早在迅雷泄露了用戶數(shù)據(jù)，這不是事實(shí)，是污蔑……”

但CSDN策劃部總監(jiān)譚茂馬上反唇相譏：“傳播泄密資料已經(jīng)犯法了，提醒用戶不要下載這才是安全公司的起碼準(zhǔn)則，不知道金山公司將此泄密資料放在網(wǎng)上傳播是何目的？”

打口水仗的還有CSDN與人人網(wǎng)。蔣濤表示：“關(guān)于密碼泄密，我們第一時(shí)間公開道歉并通知用戶，其他人沉默或否認(rèn)，但都通知用戶修改密碼。最惡劣的是某上市公司不但否認(rèn)且賴賬CSDN，被暴庫的476萬用戶數(shù)據(jù)和CSDN的重合度只有0.65％，怎么碰撞？更蹊蹺的是，隨后新浪微博被曝474萬數(shù)據(jù)，有92％和他的庫重復(fù)，這家公司真是善于混淆視聽?！?/p>

對廣大網(wǎng)民來說，關(guān)心的重點(diǎn)在于賬戶的安全，至于打口水戰(zhàn)或者推諉責(zé)任，那不是轉(zhuǎn)移視線，挺沒趣的嗎？

網(wǎng)絡(luò)信息安全應(yīng)提升到足夠高度

網(wǎng)絡(luò)信息安全應(yīng)該提升到國家戰(zhàn)略安全的高度?？偸恰巴鲅颉敝蟛艁怼把a(bǔ)牢”，總是要求用戶做這做那，是解決不了任何問題的。但目前的局面是，大多數(shù)網(wǎng)站并不重視網(wǎng)絡(luò)安全技術(shù)。

12月28日，工業(yè)和信息化部發(fā)布《關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告》。通告將泄露事件定性為“嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益，危害互聯(lián)網(wǎng)安全”的惡性事件，“我部對竊取和泄露用戶信息的行為表示強(qiáng)烈譴責(zé)?！?/p>

《通告》要求各互聯(lián)網(wǎng)站“高度重視用戶信息安全工作，把用戶信息保護(hù)作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設(shè)的重要工作抓好抓實(shí)。”并且，“各互聯(lián)網(wǎng)站要引以為戒，開展全面的安全自查，及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞。要加強(qiáng)系統(tǒng)安全防護(hù)，落實(shí)相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)，提高系統(tǒng)防入侵、防竊取、防攻擊能力。”

事實(shí)上，這次事件已經(jīng)不僅僅局限于用戶信息的小范圍。有評論認(rèn)為，“泄密門”危機(jī)應(yīng)上升到國家安全高度：“不只是一起無關(guān)緊要的網(wǎng)絡(luò)安全事件，當(dāng)它已經(jīng)直接威脅到每個(gè)公民的經(jīng)濟(jì)安全，就應(yīng)該提高到國家安全的高度來重視。世界上一些先進(jìn)國家很早就開始強(qiáng)調(diào)網(wǎng)絡(luò)信息安全戰(zhàn)略，將網(wǎng)絡(luò)信息安全提升到國家戰(zhàn)略安全層次。”

“從出發(fā)點(diǎn)來說，也不算什么惡作劇?！比f濤否定了此次事件屬于黑客娛樂，帶有惡作劇性質(zhì)的說法，“直接效果是揭露了冰山的面目，間接的效果和過程是個(gè)蝴蝶效應(yīng)……風(fēng)暴向何處已經(jīng)超出了黑客圈子的估計(jì)和智慧?！贬槍τ嘘P(guān)可能會(huì)對“網(wǎng)絡(luò)實(shí)名制”產(chǎn)生不利影響的觀點(diǎn)，他認(rèn)為：“要人們履行義務(wù)（實(shí)名），請同時(shí)保障權(quán)利（隱私安全），而顯然后者現(xiàn)在是一塌糊涂。需要提醒的是，問題可不出在黑客這邊?！?/p>

龔蔚認(rèn)為國內(nèi)網(wǎng)站普遍對網(wǎng)絡(luò)安全缺乏尊重：“網(wǎng)站應(yīng)該怎么做才安全？我告訴他兩個(gè)字：‘尊重。對安全事件的尊重、對安全管理人員的尊重，對黑客技術(shù)的尊重，對保護(hù)用戶安全的尊重，你應(yīng)該是去尊重這種技術(shù)的，態(tài)度決定了結(jié)果?！?/p>

但目前的局面是，大多數(shù)網(wǎng)站并不尊重技術(shù)。某安全公司檢測顯示，“國內(nèi)83％的網(wǎng)站存在安全漏洞，其中34％屬于高危級別，極易遭到黑客入侵”。

總是“亡羊”之后才來“補(bǔ)牢”，總是要求用戶做這做那，不過是一些網(wǎng)站的應(yīng)付之舉。也許，明智的做法是，在危機(jī)來臨之前就解決問題，而不是等危機(jī)爆發(fā)了來個(gè)漂亮的危機(jī)公關(guān)，或者是將責(zé)任全盤推到黑客身上。

“我不認(rèn)為這是一個(gè)黑客行為”

——專訪中國紅客聯(lián)盟創(chuàng)始人林勇

林勇（Lion）簡介：中國紅客聯(lián)盟創(chuàng)始人。2011年9月22日，被譽(yù)為“中國黑帽子大會(huì)”的COG2011信息安全論壇在上海召開，lion榮獲COG信息安全社會(huì)影響力獎(jiǎng)。他重組了中國紅客聯(lián)盟，新網(wǎng)站于2011年11月1日開放。

網(wǎng)絡(luò)導(dǎo)報(bào)記者（以下簡稱“記者”）：根據(jù)你對這次上億用戶密碼泄露事件的判斷，你認(rèn)為它會(huì)是什么人或者組織所為？

林勇（以下簡稱“林”）：不清楚?，F(xiàn)在也不好亂猜測。

記者：按照《COG黑客自律公約》的界定，“社會(huì)普通公眾的隱私權(quán)，尤其是兒童與未成年人應(yīng)當(dāng)?shù)玫奖Ｗo(hù)。以買賣社會(huì)普通公眾隱私信息為目的的活動(dòng)不是黑客行為?！蹦敲?，這次泄露事件屬于黑客行為嗎？

林：這次密碼泄露，依據(jù)小道消息說是有人為了炫耀放出來的。黑客圈子內(nèi)部交換數(shù)據(jù)比較正常，但放出數(shù)據(jù)來估計(jì)是受到anonymous組織（一個(gè)組織松散的全球黑客組織）的影響。我本人認(rèn)為這些放數(shù)據(jù)出來的人沒有一些道德底線，做人做事還是要有原則的。我不認(rèn)為這是一個(gè)黑客行為。

記者：即便這些數(shù)據(jù)庫已經(jīng)被賣了多次，但公布出來，也會(huì)形成巨大的輿論沖擊。這里面是否會(huì)有一些其他的利益訴求？

林：不排除這些人在下一盤大棋。

記者：有的網(wǎng)站說這次被盜的數(shù)據(jù)為“2009年之前的備份數(shù)據(jù)”，是這樣嗎？

林：這次泄漏的數(shù)據(jù)應(yīng)該是09年到2011年積累的數(shù)據(jù)。攻擊所利用的漏洞我估計(jì)大多是java structs2和discuz x2的漏洞。可以說是目前浮出水面的最大的一次網(wǎng)絡(luò)安全事件，但實(shí)際上這只是冰山一角。

記者：龔蔚說明年可能會(huì)有更大的爆發(fā)，涉及到數(shù)億移動(dòng)互聯(lián)網(wǎng)用戶。這是不是就是你說的“冰山一角”？

林：暴露的只是冰山一角。也不多說了。

記者：在不知道黑客入侵手法的情況下，被泄密的網(wǎng)站要求用戶更改密碼以求安全，你認(rèn)為這樣做除了心理安慰之外，有實(shí)際效果嗎？

林：畢竟很多人是用通用密碼的，一個(gè)淪陷了所有賬戶都暴露了。網(wǎng)站遇到攻擊后，提醒用戶改密碼還是很有必要的。當(dāng)然，改密碼不只是被攻擊的這個(gè)網(wǎng)站的密碼要改，很多的賬戶密碼都要更改。建議不重要的賬戶可以用通用密碼，重要的email、淘寶之類的一定要設(shè)置單獨(dú)密碼。

記者：如果說這些黑客的目標(biāo)在于大型網(wǎng)站的數(shù)據(jù)庫，那么，對此事負(fù)責(zé)的顯然只是這些網(wǎng)站。網(wǎng)站致歉就足夠了嗎？

林：出了事的企業(yè)一定要開展全面排查，找出攻擊源頭，修補(bǔ)相關(guān)漏洞，并加強(qiáng)安全防范措施。同時(shí)，數(shù)據(jù)一定要采用強(qiáng)加密方式保存，這次很多明文密碼泄露，可以看出這些企業(yè)對用戶是很不負(fù)責(zé)任的。這不是一個(gè)道歉就能說得過去的。

記者：是的，道歉沒用。這件事情似乎強(qiáng)加給了黑客一些羞辱。那這個(gè)事件對黑客圈子來說，是否也會(huì)有一些影響？比如，找到那個(gè)公布信息的源頭？今后打擊這方面的行為？

林：對黑客圈子的影響絕對是有的。國家剛公布2012年要開展為期一年的打擊黑客專項(xiàng)行動(dòng)，這下剛好撞槍口上了。我們也在猜測其背后的實(shí)際目的。我們希望國家能加大打擊力度，讓更多的人走上正途，凈化一下這個(gè)圈子。

記者：你對這件事是不是感到很憤怒？有人說泄露數(shù)據(jù)的這個(gè)人壞了行規(guī)，黑客圈要清理門戶。

林：兩方面吧。一是感到震驚，買賣公眾數(shù)據(jù)確實(shí)是很不道德的。這東西我知道很早在流傳，但沒想到有人敢放出來，這損害的是公眾利益。第二，從積極方面講，我覺得這是對網(wǎng)絡(luò)安全行業(yè)的促進(jìn)，經(jīng)過這次事件的洗禮，網(wǎng)絡(luò)安全在很多企業(yè)將占有一席之地。

記者：網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)全球性話題。有人說，這次密碼泄露事件是針對實(shí)行網(wǎng)絡(luò)實(shí)名制的？

林：這次密碼泄露事件不排除是對實(shí)名制的挑戰(zhàn)。實(shí)施實(shí)名制應(yīng)該建立在安全保障的前提下。在網(wǎng)絡(luò)安全還沒得到充分重視，一些網(wǎng)站的保護(hù)措施還不夠的背景下，如果盲目實(shí)行實(shí)名制，還再讓“人”如入無人之境的話，到時(shí)候泄露的就不只是一堆密碼和郵箱了。

記者：老鷹也很擔(dān)心這一點(diǎn)？

林：網(wǎng)絡(luò)安全應(yīng)該是開展互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)保障。特別是以后進(jìn)入云的時(shí)代，所有數(shù)據(jù)都在網(wǎng)上的情況下，網(wǎng)絡(luò)安全會(huì)更加重要。而目前的情況是，網(wǎng)絡(luò)安全得不到企業(yè)的重視，網(wǎng)絡(luò)安全人才在企業(yè)也得不到重視。

企業(yè)不重視安全，對網(wǎng)絡(luò)安全投入不夠，造成網(wǎng)絡(luò)應(yīng)用漏洞很多，讓人有機(jī)可趁；網(wǎng)絡(luò)安全技術(shù)人員得不到重視，在企業(yè)的地位和收入不高。生活的壓力，讓很多人鋌而走險(xiǎn)，投入了“黑產(chǎn)”的懷抱，結(jié)果造成網(wǎng)絡(luò)安全圈子的混亂局面。所以，要改變這種現(xiàn)狀需要多方努力。很希望看到國家加大這方面投入。

記者：數(shù)據(jù)的力量非常強(qiáng)大，也非?？膳?！如果安全做好了，就可以馴服它，讓它發(fā)揮正面作用了。

林：這是對互聯(lián)網(wǎng)企業(yè)敲響的一次警鐘，也是網(wǎng)絡(luò)安全這個(gè)行業(yè)發(fā)展的一個(gè)契機(jī)。這個(gè)事件的根源在于，有些人盯上了這些企業(yè)的數(shù)據(jù)庫，因?yàn)樗鼈兡軗Q到錢。有利益的驅(qū)使，就必然有人去冒險(xiǎn)。現(xiàn)在暴露的只是賬戶密碼和郵箱，如果將來泄露的是姓名、性別、電話、家庭住址、身份證號、銀行賬號呢？

記者：銀行卡一般是六位數(shù)的密碼，那不是更容易破解嗎？或者說，銀行系統(tǒng)有更安全的保障措施？

林：那得看加密手段了。直接聯(lián)網(wǎng)猜，3次機(jī)會(huì)，6位數(shù)字的密碼還算安全。但如果讓黑客拿到數(shù)據(jù)庫就麻煩了，特別是網(wǎng)銀賬戶。