然而，潘多拉魔盒已经打开，CSDN数据库的泄露仅仅是个（gè）开始。“没想到后面的事情（qíng）越来越大，已经到了（le）不可收（shōu）拾（shí）的程度。”蒋（jiǎng）涛（tāo）说。

12月（yuè）22日，知名IT博客“月光博客”披露，多玩网数据库泄露超过（guò）800万条信（xìn）息（xī），有大量用户名、明文（wén）密（mì）码、邮箱及部（bù）分加密密码。“经过验证，使用（yòng）该数据库（kù）中的（de）用户名和密码（mǎ）可以正常登录多（duō）玩网。”

同（tóng）日（rì），标注（zhù）为“人人网500万用户资料”的文件开始在网（wǎng）上流传，嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的（de）截图也出现（xiàn）在微博上，涉及的用户（hù）信息（xī）总量超过5000万条（tiáo）。但（dàn）人人网否认用（yòng）户数据遭到泄露，他们在官方微（wēi）博上提醒称，“如（rú）果您的人人网账号密码和CSDN或其他（tā）网站一致，建议（yì）您马上修（xiū）改密（mì）码，以免账号（hào）被盗（dào）。”人人网相（xiàng）关人员在接受采访时表示，提醒用户只是（shì）出于安全考虑。

12月25日（rì），泄密规模进一步扩大，网（wǎng）络上开始流（liú）传（chuán）天涯论坛的用户数（shù）据库，信息总量（liàng）超过（guò）4000万（wàn）条（tiáo）。随后，这一（yī）新闻（wén）被天涯社区官方致歉信证实：由于（yú）历史原因，天涯社区早期使用明（míng）文密码，在2009年11月改成加密密码，但是部分（fèn）老的（de）明文密码库未被清理，黑客泄露的正是2009年11月升级密码保存方式之前所注册的用户。不过天涯社区并（bìng）未在公告中（zhōng）对泄露的用户规模进行确（què）认。天涯社区公关经理初蒙在（zài）接（jiē）受财新《新世纪》记者采访时表示，确认（rèn）用户信息遭泄露后，已经（jīng）向海南省公安厅、海（hǎi）口市（shì）公安（ān）局报案，案件目（mù）前正在（zài）侦查（chá）之中。

12月26日，网上又（yòu）传出新浪微（wēi）博的用户资料疑似（sì）被泄露，并公布了新浪（làng）微博数据下（xià）载地（dì）址。这个疑（yí）似数据库一共有约476万条（tiáo）账户和密码信（xìn）息。

此后，泄密事件继（jì）续发酵升级，传闻（wén）开始波及到电（diàn）子商务及银行系统。12月27日，乌云漏洞（dòng）报告平台披露京东商城的漏洞，“在某些业务上存在用户（hù）权限控制不（bú）当的（de）漏（lòu）洞，导致任（rèn）意用户（hù）登录系（xì）统后，都可以正常（cháng）访问（wèn）到所有（yǒu）用户的信息，包括姓（xìng）名、地址、电话（huà）、Email等。”这一漏洞报告得（dé）到（dào）了京东（dōng）商城方面的响应。

12月28日，“当当网（wǎng）1200万用户信息遭泄露”的说法亦（yì）被（bèi）“小部分”证实（shí）。当当网的公告称（chēng）：“经核实（shí），网络公布（bù）的信（xìn）息数据只有（yǒu）极小部分属实，且均系2011年（nián）6月之前的（de）老（lǎo）数（shù）据，该（gāi）部（bù）分数据是（shì）由于之前遭到网络黑客攻击（jī）被盗取（qǔ）。”

乌云漏洞报告（gào）平（píng）台在12月28日也再次报告称，“支付宝用（yòng）户大量泄露，被用于网络营（yíng）销，泄露总量达1500万（wàn）-2500万之多（duō），泄露事件不（bú）明，里面只有支付（fù）宝（bǎo）用户的账号，没有（yǒu）密码”。支（zhī）付（fù）宝（bǎo）随（suí）后回应称，支付宝账号不是私密信息，在很多地（dì）方都（dōu）可以搜集到，只有账号没有密码，对（duì）用户资金安（ān）全没（méi）有任何威（wēi）胁，“支（zhī）付宝（bǎo）采取金融级的信息安全标准去保（bǎo）护用户信息及资金安全，我们承（chéng）诺没有任何人（rén）能从支付（fù）宝获得（dé）用户的密码等私密信息。过（guò）去没（méi）有，以后也没有，请大家放心”。

但12月29日，更吓（xià）人的消息又在网上（shàng）疯传：交通（tōng）银行、民（mín）生银行分别泄露（lù）用户（hù）资（zī）料7000万和3500万份，“卡（kǎ）号、姓名、密（mì）码都有（yǒu）”，并配有截图。当天下午，交（jiāo）通银行（háng）、民生银行、工（gōng）商银行等分别发布公告（gào）辟谣，称“用户资料外（wài）泄的（de）传闻（wén）纯属谣言”。

当日晚间，又有网友披露（lù）称，广东省公安厅出入境政府服务网（wǎng）网（wǎng）上申请数据泄露，几乎所有提（tí）交（jiāo）网上申（shēn）请用户（hù）的真（zhēn）实姓名、出（chū）生年月、电（diàn）话、护（hù）照号码（mǎ）、港澳通行证（zhèng）号码（mǎ）等信息均可查到，泄（xiè）露的总（zǒng）信息量高达（dá）444万（wàn）条。这一信息被广东（dōng）省公安（ān）厅证实：2011年6月（yuè）24日至2011年12月（yuè）29日（rì）期间，在广东申请出入境的用户（hù）信息遭到泄露。

仅（jǐn）仅一个星期（qī），泄密已经从CSDN一家（jiā）网站的危机演化成为了席卷整个（gè）互联网的大事件。一（yī）时间，各大网站人人（rén）自危，真假数据库屡（lǚ）屡出（chū）现（xiàn）。国家互联网应（yīng）急中心（xīn）对（duì）所曝光的数据进行了（le）抽查核实，发现（xiàn）部分数（shù）据是有效的，经过与相关（guān）网站（zhàn）、论坛联系后，确（què）认（rèn）CSDN社区、天涯社区两（liǎng）家网站发生了用户数据泄露（lù）事件，但泄露原（yuán）因还有待（dài）进一步分析；对于其他网站、论坛（tán），虽然曝光数据中个别条（tiáo）目有效，但不能判定发生了网站、论坛（tán）用户数据泄露（lù）事件。

金（jīn）山网络反病毒工程师李铁军12月30日接受财新《新（xīn）世纪》记（jì）者采访时则表示，根据他们从网（wǎng）上（shàng）下载的数（shù）据库，剔除重复信息之后，有超过1亿（yì）条的用户信息在此（cǐ）次（cì）事件中泄露。

一位不愿具名的网络安全工（gōng）程（chéng）师也向财（cái）新《新世纪》记者证（zhèng）实（shí），经过重合度分（fèn）析、数（shù）据（jù）库格式判断等验证分析，基（jī）本可以断（duàn）定“有十几家网站的数据库比较靠谱，应（yīng）该是真实的”。

大规（guī）模用户数据泄密（mì）后，各种“浑水摸（mō）鱼者”也（yě）随之而来。蒋涛告诉财（cái）新《新世纪》记者，一些人开（kāi）始制造假的数据库来混淆视听；一些网站通（tōng）知所有用户（hù）修改密码（mǎ），以乘机激活“沉睡”用（yòng）户；甚至一些网站把曝光的（de）数据库直接导入自己的数据库，然后发通（tōng）知给用户修改（gǎi）密码，不（bú）费吹灰之（zhī）力即获得上（shàng）千万（wàn）规模的（de）用（yòng）户。当然，对用户影响最直（zhí）接的是各种垃圾邮件、钓鱼邮件多（duō）了起来。

真正令人担心的是，或（huò）许还有更大（dà）规模（mó）的数据（jù）被地下黑客所掌握（wò），只是没（méi）有公布而已。著名网络安（ān）全专家龚蔚（wèi）（goodwell）公（gōng）开表示（shì），这次（cì）曝光的1亿（yì）多条用户账号及密码等相关信息，只（zhī）是黑客所掌握数据的“冰山一角”，预计（jì）有将近4亿-6亿的用户账号信（xìn）息在黑（hēi）客地（dì）下（xià）领域流传。

翻过新年（nián），此波网络（luò）账号信息泄（xiè）密的浪潮仍有余波。1月4日，一位（wèi）网络ID为“网路（lù）游侠”的“白帽黑客（kè）”在自己（jǐ）的博客上发布（bù）了新浪的（de）漏（lòu）洞：新浪iask站点（diǎn）存在SQL注入（rù）漏洞，利用（yòng）漏洞可以读取（qǔ）iask数据库内容，包括（kuò）明文（wén）密码在（zài）内的（de）7000多万新浪（làng）用（yòng）户（hù）信息。由于新浪实行“全站一号登录”，黑客利（lì）用这个漏洞还可以获得新浪微博的相关账号信息。“网（wǎng）路（lù）游侠”以知名魔术师刘谦的微博为例，通过构造数据（jù）库查询语句就轻松获得了刘谦的账号及（jí）密码信息，并（bìng）成功登录。当天晚（wǎn）间，刘（liú）谦（qiān）在微博上（shàng）转发该博客，证实此事。不过，“网路游侠”称，这个漏洞他是在1月（yuè）1日发现，已及时（shí）通（tōng）知新（xīn）浪官方，并在新浪修复了该漏洞后才在博（bó）客上公布文（wén）章，供参考（kǎo）学（xué）习之用。

截至（zhì）发稿，新浪方面（miàn）对此事尚未做出回应。事（shì）实（shí）上，早（zǎo）在2010年10月（yuè），乌云（yún）漏洞平（píng）台就曾报告称新浪iask站点存在SQL注入漏洞的安全问题。

偶然中的（de）必然

“这些（xiē）数据库在黑（hēi）客圈几年前就有了，这一次只（zhī）不过是个（gè）比较（jiào）集中的爆发”

是谁，在（zài）什么时（shí）候，拿（ná）走（zǒu）了这些涉（shè）及用户隐私（sī）的数据？原（yuán）本隐秘在黑客圈（quān）的数据库缘何会（huì）曝光在（zài）公众面（miàn）前？互联网是（shì）否还（hái）有安全可言？此轮网（wǎng）络大泄密，让这些问题（tí）成（chéng）了普通互联网用户最自然的追（zhuī）问（wèn）。

“这（zhè）些数据（jù）库在黑客圈几（jǐ）年前就有（yǒu）了（le），这一次只不过（guò）是个比较集中的爆发。”安全宝（bǎo）CEO马杰对财新《新世纪》记者称，CSDN数据库的曝（pù）光看似偶然，实则必然。“冰冻三尺非（fēi）一（yī）日之寒，互联网行业安（ān）全问题的累积已经太多了，迟早会爆发。”马杰在安全行（háng）业（yè）超过十（shí）年，曾任瑞星研发总（zǒng）经（jīng）理，负责（zé）个人和企业的（de）安（ān）全产品。

这也是网络安（ān）全行（háng）业人员（yuán）近（jìn）乎（hū）一（yī）致的观点。天融信公司高级安全顾问吕延辉向财新《新世纪》记者证实，最早在2008年时，就曾听说有（yǒu）一些网站的数据库在（zài）黑（hēi）客圈流传。

本次密码信息最先被公布的CSDN社区，后来曾组织安全专家进行讨论，得知公司（sī）的数据（jù）库事实上早（zǎo）就在（zài）黑客的手上了。“并（bìng）不是说（shuō）这一刻先（xiān）攻破了CSDN，放（fàng）出数据库（kù），然（rán）后下（xià）一刻攻破了天涯再放出（chū）数据库。而是这些数（shù）据他（tā）们手上一直（zhí）都有，只不过抛出来的（de）时（shí）间（jiān）不一样。”蒋（jiǎng）涛说（shuō）。

天融信（xìn）成都分公司技术（shù）负（fù）责（zé）人邹晓波称，早期的（de）很多网站，都可以通过（guò）服务（wù）器渗透，取得（dé）后台数据库的权（quán）限，直（zhí）接取得数据。“黑（hēi）客圈内人都知道谁被盗（dào）了，他们不一定公布，但是会炫耀，在小范围（wéi）内流传，大部分没有去获利。”

CSDN社区数（shù）据（jù）库的曝（pù）光，曾经被指向一名ID为Hzqedison的（de）金山（shān）公司员工，他（tā）分享数据库下载地址的（de）截（jié）图（tú）最早在网上流传。12月（yuè）22日，CSDN数据库外（wài）泄（xiè）一事被（bèi）广泛（fàn）关注的时（shí）候，Hzqedison在新浪微博表示（shì）道歉。随后，金（jīn）山公司（sī）也发表（biǎo）声（shēng）明，金山员工并非网络上传言的（de）黑客，并（bìng）非最早对外发布密码库的（de）第一人。

Hzqedison解（jiě）释了事情的经过：“12月21日，我在一个聊天群里看到CSDN数据（jù）库的（de）迅雷下（xià）载地址（zhǐ），就离线下载了（le）该文件来检查自己账号（hào）是否被（bèi）泄露。为了让同事们也检查，才做了分享贴到（dào）同事群（qún）里。5分钟（zhōng）后，该地址截（jié）图被发（fā）到了乌云（yún）漏洞（dòng）报告（gào）平台上，得知后我立即（jí）删（shān）除了迅雷分享地址。因为删除很及时，该地址只有几（jǐ）名（míng）同事下载过，而且从未（wèi）将数据库文件外泄。”

李铁军告（gào）诉财新《新世纪》记者，据他（tā）了（le）解，当时该（gāi）金山（shān）员工（gōng）上传CSDN数据库时，是“秒（miǎo）传”的，说明这个数据（jù）库文件在迅雷下载服（fú）务器中早已存在（zài）。

“是（shì）谁最早上传（chuán）了（le）这些数据库，现（xiàn）在已经很难确（què）定（dìng）。”李铁军（jun1）说，除了CSDN的（de）数据库，还有其他网站的数据库一起在网上（shàng）流传。因为CSDN的影响（xiǎng）力比（bǐ）较大，所以就传（chuán）开了。

事（shì）实上（shàng），CSDN数据（jù）库曝（pù）光之前已有征兆。李铁军告诉财新《新（xīn）世（shì）纪》记（jì）者，他在12月14日前后，即泄密事（shì）件发生的前一周，就已经注意到有很多网友在新浪微博上反映账号被盗（dào），“这（zhè）是（shì）黑客（kè）在用（yòng）数据库去试探新浪的数据库，有些就撞（zhuàng）到（dào）了”。

马杰分析，这（zhè）次曝光的网站（zhàn）数（shù）据（jù）库应该（gāi）是最（zuì）近几年间（jiān）连续（xù）不断被刷库的。“安全圈也知道，这几年地下黑客圈在刷（shuā）库，也知道一些数据库在黑客（kè）圈（quān）流传。”

所谓刷库，是指黑（hēi）客入（rù）侵（qīn）网站服务器之后窃取用户数据（jù）库（kù）的行为（wéi），互联网业内也称其（qí）为“拖库”，取其谐音（yīn），也形象（xiàng）称之为（wéi）“脱裤”

看（kàn）上去，金（jīn）山员工“偶然”的发（fā）现和分享（xiǎng），加上地下黑客累积经年的刷库行为，以及数（shù）据（jù）库在圈子中（zhōng）的一轮轮扩散，最终（zhōng）促成了这次网（wǎng）站数（shù）据库大规模的曝光。

但是，这里面依然隐藏（cáng）着两个问题。第一，金（jīn）山（shān）员工如何能“偶（ǒu）然（rán）”发现原本在地下黑客圈流（liú）传的数据（jù）库？第（dì）二，仅是CSDN的数据库曝光，缘何能引发（fā）一连（lián）串的数（shù）据（jù）库浮出水面（miàn）？

地（dì）下黑客（kè）圈传输或交换文件，一（yī）般都是点对点（diǎn）的传输，有时甚至通过邮寄移（yí）动硬盘或光盘来（lái）实现。但随着被刷的数据库越来越多（duō），转手的次数越来（lái）越多，参与的人数也越（yuè）来越（yuè）多，出错和（hé）曝光的概率（lǜ）就越来越大。

乌云漏洞报告平台（tái）的创建人（rén）剑心分析说，由于不同黑（hēi）客掌握的数据库各有不同，刷出（chū）来的数据（jù）库（kù）会在黑客（kè）圈中交换，这样就会一轮一轮的扩（kuò）散。很有可能是某个人在转手传（chuán）播的过程（chéng）中，由于文（wén）件太大，无法实现网络上点（diǎn）对点的传输，不得不（bú）利（lì）用（yòng）迅雷、网盘（pán）一类（lèi）的工具进行上传和下（xià）载。在这过程中，工（gōng）具会（huì）把这些（xiē）文件（jiàn）泄露出来，甚至会在搜索“数据”等（děng）关（guān）键词（cí）时出现推荐。这样扩散（sàn）的（de）范围就（jiù）更大，进入与黑（hēi）客圈有交流（liú）的安全圈（quān）也就不足为奇（qí）了。

至于网站用（yòng）户密（mì）码（mǎ）连续被报（bào）丢失（shī）的现象，吕延辉解（jiě）释说，一些数据（jù）库曝光之后，黑客手中（zhōng）那些与之雷同（tóng）的数据库（kù）就没有价值了。并且（qiě），引发公（gōng）众关注后，基本所有网站都会通知用户修改（gǎi）密码，政府（fǔ）相（xiàng）关部门可能（néng）还（hái）会介入，那么其（qí）他的一些非核心数据库的价值也（yě）就更低了。

吕延辉表示，可以看出来，这次曝光的数据库都是在地（dì）下（xià）黑客（kè）圈转手很多次的，本身（shēn）价值也不大，再加上CSDN数（shù）据库的曝光，其他数据库的（de）含金量进一（yī）步降低，那些（xiē）手上有库的（de）人抛（pāo）出来也不奇怪，这才形成了一连串的规模（mó）效应（yīng）。

脆弱的网站安全

泄密事件，将众多网站在安（ān）全方面的脆（cuì）弱暴（bào）露无遗。知名网（wǎng）络安全专（zhuān）家、安天（tiān）实验室首席技术架（jià）构师江海客（kè）直言（yán），这是一个安全崩盘的时代。

安全圈内资深（shēn）人（rén）士的共识（shí）是，被黑客攻击和（hé）刷库，各（gè）大网站几乎是无一幸免，只是程度和范（fàn）围的不同（tóng）。在（zài）做安全行业的人看来，目前大部分（fèn）网（wǎng）站的安全性都（dōu）不（bú）足。“这一次表面（miàn）上看是（shì）明（míng）文密码库的问题（tí），但（dàn）实际上多数网站从根本上都没有重（chóng）视自身的信息安全。”天（tiān）融信公司副总裁刘（liú）辉（huī）对（duì）财新《新世纪》记者表示，网站把绝大部（bù）分资金投入到日常运营中（zhōng），只（zhī）有（yǒu）被攻击或吃过教训后，才（cái）想起来安全的（de）重要性。

“一（yī）些网站之所以容易（yì）被（bèi）‘脱裤’，很大一部分原因就是因（yīn）为本（běn）身就（jiù）穿得太少了。”刘辉说，很多（duō）经营性网（wǎng）站甚（shèn）至都没有专门的网络安全工程（chéng）师。

CSDN社（shè）区（qū）数据（jù）库在此次事件中最（zuì）先曝光。蒋涛也（yě）坦言，“原来对安全的认（rèn）识还停留在相对低的水平（píng）上，觉得自己的数据不是什么关键数据，别人拿去也没（méi）什（shí）么用。”

但（dàn）这次一连串的数据库泄密事件（jiàn）证明（míng），互联网存在很（hěn）大（dà）的关联性，特别是拥有大量用（yòng）户的网站（zhàn），更不是一个孤立的存在，很（hěn）多用户的（de）邮箱、账号都与别的系统相（xiàng）关联，一旦有事，就（jiù）会造（zào）成跨网站（zhàn）的连锁反（fǎn）应。另外，由于安全问题出在了服务器端，普通用户基本没有（yǒu）办法防范，数据（jù）库（kù）被刷后曝光（guāng）出（chū）来，用户只能被动的修改密（mì）码。

马（mǎ）杰则指出（chū），现在互联网从原来提供（gòng）内容为主，到现（xiàn）在有（yǒu）很多的网上购物与（yǔ）社交，网（wǎng）站的重要性进（jìn）入了另外一（yī）个层面，但（dàn）安全现状停步不前（qián）。“现在网站数据中所包含信息的（de）价值（zhí）在（zài）上升，但（dàn）安全防护的（de）措施（shī）并没有（yǒu）加强。”他说。

另一方面，专业做网（wǎng）站功能、应（yīng）用和服务的人，与专业（yè）做安全的人，在（zài）技（jì）术思维上也（yě）存在巨大差异。“一（yī）个（gè）B2C网（wǎng）站的程序员，做了（le）一个系统，花（huā）了几个月的功夫，自（zì）己觉得没（méi）什（shí）么（me）问题（tí），然后请专业做安全的人去找漏（lòu）洞，结果做不到十分钟（zhōng）就破解（jiě）了。”李铁军举例说，二者没有高下之分（fèn），只是职（zhí）业的特征决（jué）定了（le）思路（lù）上的差异。

思路上的差异，加（jiā）上安全意识的不到位，导（dǎo）致了网（wǎng）站安全的（de）脆弱。CSDN、天涯社区至今仍未披露数据库外（wài）泄的（de）具体原因。马杰告诉（sù）财新《新世纪》记者，从技术上讲，有很多（duō）种方（fāng）法可以刷库（kù），“就像一个很（hěn）大的房子，可以爬窗户（hù）、撬（qiào）门，或者从烟（yān）囱进（jìn）来，甚至挖（wā）个地道进来，就看黑客想花多大的功夫和精力”。

通常（cháng）来说，黑客都是通过（guò）发现网站或（huò）应用软（ruǎn）件的漏洞进（jìn）入服（fú）务器，然后想办法提升权（quán）限，就可以把数据库下载下来。对一（yī）些防护比较弱的（de）网站，甚至都不用进入网（wǎng）站就能（néng）刷库。安全行（háng）业（yè）资深人士TK说：“只（zhī）要分两步，第一步找到一个SQL注入点，执行一条备份命令，备份到一个目录去（qù）；第二步，从目（mù）录把数据（jù）下（xià）载回来（lái）。根本不需要获（huò）得网站（zhàn）的（de）权限（xiàn），只要有SQL注入（rù）的漏洞，就可以爆库（kù）了。”

剑心告诉财新（xīn）《新世纪》记者，决（jué）定在（zài）12月30日临时关闭乌（wū）云平台的其中一条原因，就是担（dān）心后续几天爆出的网站漏洞会（huì）越来越多，引（yǐn）起互联网用户的恐慌。乌（wū）云漏洞报告（gào）平台是由一群互（hù）联网安全研（yán）究人员自发组织（zhī）的（de）信息安全沟通平台，研究人员在上（shàng）面（miàn）提交厂商（shāng）的安全问题，也披露（lù）一（yī）些通（tōng）用（yòng）的安全咨询和（hé）安全使（shǐ）用。有超过500个“白帽（mào）子（zǐ）”安全研究人员（yuán）和120多个厂商参与平台，反馈和处理了接近4000个（gè）安全问题。在泄密事件引发大（dà）范围关注后，乌云平台因曾多次发布相关安全漏洞预警而（ér）被关注。

剑心也（yě）证实说，目前国内除（chú）极少（shǎo）数大型网站外，可能都被黑客刷过库，包（bāo）括（kuò）网易（yì）、搜（sōu）狐在内的门户，一些漏洞都是在乌云平台上被证实的。此外，近年来快（kuài）速（sù）膨胀的电子（zǐ）商务网站（zhàn），在剑心（xīn）看来（lái），安全性更是糟（zāo）糕，乌（wū）云平台已经多次证实（shí）并报（bào）告了他们（men）的漏洞。这其中（zhōng）就（jiù）包（bāo）括11月（yuè）10日所（suǒ）报告的（de）当当网漏洞，可（kě）以抓取（qǔ）超（chāo）过4000万条用户信（xìn）息。

相对而言，金融系（xì）统的（de）安全性较（jiào）强。银行通常会采（cǎi）用硬加（jiā）密的技术，既不仅依（yī）靠登（dēng）录密码和交易密码，还需有一个外在于（yú）密码系统的物理密钥，比如发（fā）送（sòng）到手机的（de）动态口令或U盾密钥，其安全性要高于（yú）单靠密码的“软加密”方式。但是，随着第三方支（zhī）付、代收费（fèi）、代缴费等业务的展开，银（yín）行系统需要开放的接口也越来越多，对银行系统的安全（quán）提出了（le）更高的要求。

除网站的安全（quán）性差外，本次泄密事件中备受诟病的还有明文密码库（kù）。所谓明（míng）文密码库，即（jí）在对用户（hù）密（mì）码信（xìn）息存储时未进（jìn）行加密处理，黑客获得数据（jù）库后，所有的用户（hù）名、密码一目了然，更（gèng）加容易利用。

蒋（jiǎng）涛（tāo）解（jiě）释称，各家（jiā）网（wǎng）站的明（míng）文密码库都（dōu）有复杂的历史原因，CSDN是在2010年9月之（zhī）后才采用了密文存（cún）储。“这不是一家的问题，而是（shì）行业性的问题（tí）。”

但是，加密存储也并不一定意味着安全。多位受访的（de）网络安全专家告诉财新《新（xīn）世纪》记者，现（xiàn）在相（xiàng）对简（jiǎn）单的MD5加密方（fāng）法已经不（bú）安全，黑客（kè）圈建立（lì）了庞大的MD5值的（de）“字（zì）典（diǎn）库”，通（tōng）过“查（chá）字典”的方（fāng）式很快就能破解还原（yuán）。

马杰建议，在进行密文存（cún）储时（shí），还需要对加密算法做一些改变（biàn），或多次加密，安（ān）全性能才会有所（suǒ）提升。尽管（guǎn）通（tōng）过“彩虹表”碰撞（zhuàng）等方法不存在破（pò）解不了的情况，但至少会大大增加破（pò）解的成本和时间，降低数据库对黑客的吸引（yǐn）力。

乌云平台（tái）撰文（wén）称，最好的安（ān）全应该是自始至终就（jiù）有（yǒu）人为安全负责，将安全（quán）落实到公司的流程制度规范（fàn）以（yǐ）及基础（chǔ）技术（shù）架构里去，形成（chéng）完（wán）善（shàn）的安全（quán）体系，并且（qiě）持（chí）续更新迭代，“如（rú）果以前没（méi）有（yǒu）这（zhè）方面制（zhì）度，就从现在开始建（jiàn）设；如果（guǒ）没有团队，就（jiù）可以先找一些公司（sī）或者外部顾问。但是（shì）记住，不要（yào）幻想一（yī）次性的投入就（jiù）可以抵抗利益驱动（dòng）长久进化的黑色（sè）产业链”。

黑色产业链

有人负（fù）责发掘漏洞，有人（rén）负（fù）责（zé）根据漏洞开发利（lì）用工具，有人（rén）负责漏洞利（lì）用工具（jù）的（de）销售，有人负责刷库，有人（rén）负责（zé）洗库，有人（rén）负责销售，还有人利用数据库钓鱼、诈骗、发（fā）送垃圾邮件

大规模的泄密（mì）事件（jiàn），也使得互（hù）联网江湖中最为隐秘（mì）的（de）黑（hēi）色（sè）产（chǎn）业（yè）链再度引人关注。“熊猫烧香（xiāng）”病毒让公（gōng）众知道了病毒黑色产业链，而此次（cì）的泄密事件则（zé）指向了（le）数据交易（yì）的黑色产（chǎn）业链。

马杰告诉财新《新世纪》记者（zhě），最近几（jǐ）年，“黑帽子（zǐ）”黑客圈（quān）内的盈利模式发生了（le）一些变（biàn）化。最早是“挂马”比较挣（zhèng）钱（qián），通过（guò）发现（xiàn）漏（lòu）洞SQL注入，然（rán）后想办（bàn）法获得（dé）网站权限，在网页上挂上木马程序，中了木马程（chéng）序的机器就（jiù）成为“肉（ròu）鸡”，通过木马控制“肉鸡”来赚钱。比（bǐ）如（rú）说盗号、弹窗、导流量等。

“早几年（nián）木马猖獗的时候，一个（gè）服务器能控（kòng）制几（jǐ）万台的‘肉鸡’。即使只是IE自动（dòng）跳转到某一（yī）页面，每年也能带来可观（guān）的流量和（hé）收（shōu）入。”李铁军说，还有（yǒu）黑客（kè）利用系统漏洞和木马进行“钓（diào）鱼诈骗”，从个人客户一端入侵网银系统，进行非法转账（zhàng）等。

后来，“挂（guà）马”和“钓（diào）鱼”被（bèi）各大（dà）安全公（gōng）司打击得非常厉（lì）害，特别（bié）是免费（fèi）杀毒软件在个人终端的（de）普及。而这个时候，地下黑客发现，刷库（kù）是（shì）个更快、更直接的赚钱方法（fǎ）。

最近几（jǐ）年，围绕数据交易的黑色产业链（liàn）正在逐（zhú）步形成。在地下黑客圈内，一些大型网站的（de）数据库被（bèi）明码标价，一个（gè）数据库整个端下来，价值数（shù）百万元到上千万元不等（děng）。

拖库（kù）成功后，到手的数据库可以有很多用途，比如直接卖给被（bèi）刷库（kù）网站的竞争对（duì）手。黑（hēi）客还可以利用部分互联网用（yòng）户“多家网站一个用户名一个（gè）密码”的（de）习惯，去试（shì）探别（bié）的网站数据库。这叫（jiào）“撞库”，技（jì）术（shù）上也很容（róng）易实现，只需要编写一个脚本（běn），自动不断用已（yǐ）盗（dào）取数据（jù）库里（lǐ）的信息去请求登（dēng）录。由于都是正常请求，被（bèi）撞的网站也（yě）很难防（fáng）范，所以也（yě）会有网站“躺（tǎng）着中枪”。

安（ān）全业内人士称，刷库之后，黑客拿着数据（jù）库（kù）去“撞”有虚拟币（bì）系统的游戏网站、腾（téng）讯，以及网上银行、支付宝及电子（zǐ）商务网站（zhàn），都是必（bì）然会发生的事情。如果撞（zhuàng）到了重合用户（hù），将其账号内（nèi）虚（xū）拟资产、网（wǎng）银洗劫（jié）一空都（dōu）是再自然不过了。

经过（guò）多次（cì）倒卖和（hé）“洗库”之后，数据库还（hái）能被卖给（gěi）价（jià）值链（liàn）的末梢买家——利用账（zhàng）号信息（xī）来发送广告、垃圾邮（yóu）件、垃圾短信的（de）推销公司。通常情况下，数据库（kù）的价格越卖越便宜，流传的范围也就越广，距离曝光（guāng）也就越近（jìn）。

而在整条黑色产业链中，分工也比较明确。最（zuì）核心和（hé）最难的是发掘漏洞，这对技（jì）术的（de）要求最高，能发（fā）掘漏洞的黑客（kè）也比较（jiào）少（shǎo）。吕延辉介绍，在地下黑客中，有人专（zhuān）门（mén）负责发掘漏洞，有（yǒu）人专门（mén）负责根据漏洞开发利用工具，有人负责漏洞利用（yòng）工（gōng）具的销售，有人负责刷库，有（yǒu）人负（fù）责洗库，有人负责数据库的销售，最后端，还有人利用数据库钓鱼、诈骗（piàn）、发送（sòng）垃圾邮件。

有网络安全人（rén）士估（gū）算，目前互联网的地下黑色产业（yè）链（liàn）规模已经达到（dào）上千亿元，而安全行业（yè）的规模目前还只有几百亿元（yuán），“就像毒品的市场规（guī）模反而大于麻醉药的（de）市场规（guī）模”。

失能的法律防火墙

周汉（hàn）华表（biǎo）示，“当（dāng）网站的资料和（hé）个（gè）人信息紧密相（xiàng）连，安全（quán）却（què）没有（yǒu）保障，这种情况（kuàng）下，实名制是相当危险（xiǎn）的”

刘辉判断（duàn），这（zhè）次泄密事件将注定会是互联网发展历史上一（yī）件（jiàn）大事（shì）。一方面（miàn）是对互联网业（yè）务发展模式的影（yǐng）响；另一方面，则是互联网行业（yè）安全（quán）规范机制的建立已势在（zài）必行（háng）。

“短期内，互联网行业的发展会（huì）受到一定的影（yǐng）响。”刘辉（huī）说，例如近两年兴起的（de）云计算服务，现在（zài）提供云（yún）服务的互（hù）联（lián）网公（gōng）司（sī）必须要重新（xīn）建立用户的（de）信息，并说（shuō）服用户上（shàng）传至云端的资料是（shì）安全的。要说（shuō）服用户，就需要相应的安全承诺及安全认证机（jī）制。

蒋（jiǎng）涛（tāo）也（yě）表示，这（zhè）次泄（xiè）密事件相当于给整个互联（lián）网业上了一课。“CSDN也是专业的IT社区（qū）平台（tái），我们（men）会利用这（zhè）个平台来加强安全的教育和（hé）普及（jí），提升互（hù）联网行业的安全意识。”他说，除了加（jiā）强（qiáng）自（zì）身的安全性（xìng），这是CSDN在2012年（nián）要（yào）去做的重要事情，“互（hù）联网上各（gè）大网站的（de）关联度越来越高，安全已经不是一（yī）家两家的问题，而是全行业（yè）的问题”。

在全世（shì）界，身份的盗用和密码的（de）泄露每天都会出现，但与发达（dá）国家不同的是，这次密（mì）码泄露事件发生后，各方几（jǐ）乎（hū）束手无策。“大家（jiā）都不知道怎么去保（bǎo）护自己的权利，大家就只能看着发生（shēng），等着下一次什么时候（hòu）发生。”中国社会科学（xué）院研究员周汉华对财（cái）新《新（xīn）世纪》记者说，“我们（men）的（de）问题是没（méi）有有效的管理手段，没有可（kě）以（yǐ）适用的法律（lǜ）。”

在（zài）亚太网络法律研（yán）究中心主（zhǔ）任（rèn）刘德良教授看来，个人信（xìn）息在网络时代越来（lái）越具有商业（yè）价值，这也是目前非法收集、加工、买卖和商业（yè）性滥用个（gè）人信息行（háng）为日益泛滥（làn）的内在驱动力。针（zhēn）对如此严重的网络的个人信息安全威胁，法律的（de）“防火墙”为何（hé）失能以及如何（hé）重构，成为一个急（jí）需解决的问题（tí）。

上海一位经侦（zhēn）人员对财新《新世纪》记者介绍，他（tā）们曾经侦办过（guò）一（yī）个（gè）利用个（gè）人信息实施犯（fàn）罪的案子（zǐ）。有人发（fā）现（xiàn）几百万元银行存款（kuǎn）莫名消失，于（yú）是（shì）报案。此（cǐ）案涉及几百万条的车主信息数据库，这些信息有黑客攻击得到（dào）的，也有银行（háng）、保险业（yè）的内部人泄露出来的。犯（fàn）罪分子的作案手法是，通过（guò）内部泄露或者黑客攻击得（dé）到包括车主姓名和（hé）身份证号码的用户信息库（kù），找银行的人查（chá）开户信息，这个行话叫（jiào）“包行（háng）”，几百块（kuài）就能做（zuò）。得到卡（kǎ）号（hào）后，然后猜密码，利用黑客软件（jiàn）和银行（háng）卡进行比对（duì）。

从刑事法律来看，2009年《刑法》修正案增加了“非法侵入计算（suàn）机信（xìn）息系统罪”的（de）条款，“违（wéi）反国家规定，侵入计算机信息系统或者采用其他技术手段，获（huò）取该计算机信息系统中存储、处理或者传（chuán）输的（de）数（shù）据，或者对该计算（suàn）机信息系统实施非法控（kòng）制，情（qíng）节严重（chóng）的（de），处三年（nián）以下有期徒刑或者拘（jū）役，并处（chù）或（huò）者单处罚金；情节特别严重的，处三（sān）年以上（shàng）七年以下有期徒刑，并处罚金”。

同年（nián），全国人大（dà）常委会还（hái）出台《侵权（quán）责任法（fǎ）》，规定网络服务提供者和（hé）网络用户利用网络侵害（hài）他人民事权益的，应当（dāng）承（chéng）担侵权责任；网络服务提供者知道网络用户利用（yòng）其（qí）网络服务侵害他人（rén）民（mín）事权益，未采取必要措施的，与该网络（luò）用（yòng）户承担连带责任。2000年，全国人（rén）大常（cháng）委会又（yòu）专（zhuān）门制（zhì）定了《关于维护互联网安全的决定》，重申各种互联（lián）网违法的刑事（shì）责任和民事责任。

在行政监管层面，除（chú）了国务（wù）院在1994年（nián）制定的《计算机信息系统安全（quán）保护条例》，作为全国计算（suàn）机系统安（ān）全保护工作（zuò）主管部门的公安（ān）部（bù），也制定了《信息安（ān）全等级保（bǎo）护管理办（bàn）法》以及《计算机信息系统安全保护等级划分准则（zé）》《信息系（xì）统安全等级保护（hù）基本要求》《信（xìn）息系统安全等级保护（hù）测评要求》等30多个标准。

多重的法（fǎ）律（lǜ）规定（dìng），为（wéi）何实施（shī）效果不（bú）佳？周汉华认为（wéi），《刑法》的适用门（mén）槛比（bǐ）较高，需要“违（wéi）反国家规定”和（hé）“情节（jiē）严（yán）重”的条（tiáo）件，何况这两个条件目（mù）前都（dōu）缺乏相应的标准。而《侵权责任法》的适用，在网络（luò）环境下（xià），当事人举证非常困难，而且存在成（chéng）本（běn）投入和（hé）收（shōu）益（yì）不对称的情况。

周汉华认为，《刑法》和（hé）《侵权责任法》都（dōu）属于事后救（jiù）济，在（zài）网（wǎng）络时代，由（yóu）于损害的发生是系统性的、不可复（fù）原的（de），所以对网（wǎng）络安全（quán）以及个人信息进行全流程（chéng）的监（jiān）管（guǎn）才更（gèng）为有效（xiào）。目前对（duì）于这种全流程的监管，中国既缺乏专门的法律，也没（méi）有专门的（de）执法机关，搜集个人资料（liào）的企（qǐ）业所应承担（dān）的相应的安全责任以及（jí）相应的信息流管理行为规范都缺失（shī）。“这就是为（wéi）什（shí）么要（yào）制定《个人信息保护法》的原因。”周汉（hàn）华称。

据财（cái）新《新世纪（jì）》记者了解，早在（zài）2003年之时，周汉华曾（céng）经受（shòu）当时的国务院信息化办（bàn）公室委（wěi）托，主持《个人信息保（bǎo）护法》的立法研究，并（bìng）且在2005年形（xíng）成了一份专（zhuān）家意见稿。但（dàn）时隔多（duō）年，这部法律的立法工作（zuò）迟迟未（wèi）被启（qǐ）动。

刘德良教（jiāo）授认为（wéi），在当前中国的法律框架下，把（bǎ）个人信息都纳入人格权（quán）的范（fàn）畴，而不承认个人信息的（de）商（shāng）业价（jià）值也是个人的财产；人格（gé）权（quán）受到侵（qīn）害后，原则上（shàng）也（yě）不能要求财产（chǎn）损害赔偿。因此他（tā）提出，对于个人信息（xī）的法（fǎ）律保护（hù），应（yīng）该包括隐私上的人格利益和（hé）个（gè）人信息的（de）商（shāng）业价值这双方面，将个（gè）人信息的商（shāng）业价值（zhí）视为个人的财产（chǎn），未经（jīng）允（yǔn）许擅自收集和（hé）商业性（xìng）利用个人隐私（sī），既是（shì）一种侵犯人格权（quán）的行为，也是一种侵害财产权的行（háng）为。