网上公开暴露的网络账户密码超过1亿个 - 安防知识网

12月26日，电子商务网站淘宝网、京东商城和美团网也被爆受到影响。“互联网泄密门”已开始波及电子商务、团购网站。随着各大网站相继被“攻破”，一场互联网年末恐慌如多米诺骨牌般迅速传导。

　　“改密码改到手软。”

　　在中关村上班的赵星不幸地成为了CSDN用户泄密门的受害者，而他在人人网、网易邮箱、新浪微博、天涯社区……几乎所有常用的网站用的都是同样的ID和密码，“密码设成一样就是想少点麻烦，现在却成了最大的麻烦。”

　　赵星只是上千万受害者中的一个，从2011年12月21日国内最大的程序员网站CSDN用户数据泄露后，天涯社区、开心网、多玩网、百合网、新浪微博等十几家网站先后卷入其中，晒在网上的用户信息条数已过亿，成为中国互联网史上最大规模的用户信息泄露事件。而通过“泄密门”折射出的，则是整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。

　　“泄密门”持续蔓延

　　12月25日，天涯社区被爆4000万用户的账号密码邮箱遭泄露。随后，天涯社区发布声明，承认网站信息被盗，但强调此次被盗的是2009年之前的备份数据，2010年之后，天涯升级改造了用户账号管理功能。据悉，天涯社区目前已就该事件向海南省公安厅和海口市公安局报警。

　　与此同时，作为中国最大的社交网络平台之一，“新浪微博”上“密码被泄”话题受持续关注，相关微博逾千万条。众多网友或为账号安全担忧，或调侃天书似的“安全密码”时不禁发问：互联网安全这是怎么了?

　　对此，新浪方面在声明中表示，新浪微博用户账号信息采用加密存储，并未泄露，至于网上传闻，经核实后，确认该份数据绝大部分不是新浪微博账号。但新浪微博相关负责人提醒，目前可供用户使用的互联网服务很多，基本都通过用户邮箱注册。用户可能在不同的网站注册时，经常会设置相同的密码。这就导致一旦一个网站的密码被盗，就可能导致多个网站的账号都被盗。“近期发现的微博账号被盗现象，很多都是这个原因导致。”

　　在此次泄密事件中，很少有用户能逃过一劫，尤其是老网民。面对网民们汹涌的查询“热情”，不少外泄密码查询网站也以调侃的方式奉劝用户放弃侥幸心理，直接修改密码。

　　明文密码并非“祸首”

　　几百万、上千万的用户账号和密码，究竟是如何从网站“流出”的?

　　已承认用户数据被盗的CSDN和天涯社区在对外说明中，除将矛头指向攻击网站的黑客外，都同时提及了“明文密码”。CSDN和天涯社区在声明中称，因网站早期使用过明文密码，所以导致用户信息被盗。

　　“明文密码就是不加密的密码。”360网络安全专家石晓虹说，最不安全的数据保存方式就是直接存储明文，一旦数据库泄露，黑客就可直接掌握所有的账号和密码信息，肆无忌惮地盗取用户权益。这次“泄密门”之所以会涉及如此众多用户资料，密码直接存储明文只是诱因之一，更根本的原因是部分网站对于用户账号“重吸引轻保护”的态度。

　　随着中国互联网近年来快速发展，争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下，巨大的用户量是网站吸引更多风投的资本。因此，网站纷纷简化注册过程，以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同，很多网站在用户数据安全保护上的投入却是“锱铢必较”。

　　“小偷能偷到东西，不是因为我们把钱包放在了桌子上，而是因为家里的防盗门没锁。”一位业内人士的话一针见血地指出，“泄密门”并不是因为用户密码的保存方式，而是因为网站在信息安全保护上“偷工减料”。

　　“只有在国内排行前100的网站，才有专门的安全团队，剩下的网站几乎都是"不设防"。”这位人士透露，互联网公司建立自己的安全运维团队资金投入量很大，比如大型B2C购物网站每年的安全投入可达千万元级别，普通网站要想免于黑客攻击每年也要付出几十万元的成本。但是目前，许多小公司的安全投入最多几十万元，有的只有几万元，甚至有的互联网公司连基本的公司防火墙都没有设置，黑客进出自由。

　　一些互联网企业不重视用户数据，是觉得安全对一个企业来说是要“花钱但不产生收入”的事情，即使用户数据被盗，对企业来说也损失不大。因此，在安全防范方面投入非常少，即使在出事之后也不重视，而是想办法遮掩。[nextpage]

　　千万用户数据能卖几百万元

　　与网站对于用户信息安全保护的冷漠态度相比，活跃于互联网各个角落的黑客对用户数据库却很有“热情”。

　　一位黑客“圈里人”告诉记者，目前黑客行业最赚钱的营生主要有三种，分别是安放木马、设置钓鱼网站和盗取数据库信息，相比于前两项生意，市场上对于数据库信息的需求更多。

　　黑客从网站盗取用户信息库后，会把这些用户信息倒卖、分销给黑公关或钓鱼集团。前者利用这些用户信息打击竞争对手或发放垃圾广告;后者则利用这些信息传送木马、病毒或发布诈骗信息，甚至直接在网上支付平台自动批量发起交易，如果恰好试探出用户泄露的密码和网上支付密码相同，支付账户中的余额就可能被黑客全部盗取。

　　“最多的时候，千万级的用户数据库能卖几百万元。”这位黑客表示，从盗取到分销再到获利，“圈里”都有专人服务和特定的规则，早已成为“一条龙”产业。

　　同时，他还爆料，地方上一些小的团购网站手里也收集了大量用户资料，随着这些团购网站纷纷倒闭，这些用户数据也成了“孤儿数据”，被放在网上公开叫卖。更要命的是，这些数据往往还都直接关联着用户的网银账户和交易信息。

　　专家：立法治理用户数据监管缺位

　　面对还在持续发酵的“泄密门”，网友们正忙于修改自己的账号密码，而陷入其中的CSDN、天涯等网站却在道了一声歉后就此缄默。不少网友表示，数据是从网站泄露，网站应承担责任，并进行一定的赔偿，但又苦于拿不出相关证据和法律条文作支撑。

　　“目前法律对于普通用户的信息安全保护还是一片空白。”社科院信息化研究所秘书长、互联网专家姜奇平表示，除了国家相关机构有保密法外，对于企业的用户数据保护并没有相应的法律规定，甚至都没有一套成形的行业准则，各家网站都是各自为政。在没有一个权威第三方的监管之下，用户数据安全目前处在一个“没人管”的困局，因而这次“泄密门”中的受害用户维权困难很大。

　　姜奇平认为，“泄密门”事件凸显出个人信息时代法规的缺失。2005年时，立法部门就曾推动过个人信息保护法的立法进程，但一直未能正式出台。此次“泄密门”给业界、网民和监管部门都提了个醒，让大家认识到个人信息安全保护的重要性。他建议政府尽快立法，从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护，将个人、网站和监管机构所应承担的责任、义务厘清。

　　除此以外，姜奇平还建议以经济手段来打击黑客，彻底掐断地下的用户信息买卖黑市渠道。