泄密事件:网络安全不能靠心理安慰

艾龙

伴随数据泄密事件而来的，是一场席卷中国互联网的网络安全危机，其波及面之广、影响之深都是前所未有的。工业和信息化部称，这次事件“严重侵害了互联网用户的合法权益，危害互联网安全”。更有论者认为，此次数据泄露事件应该上升到国家安全的高度。

“密码飓风”席卷中国互联网

泄密的网站包括天涯社区、人人网等中国各大知名网站，用户数超过1亿，泄露的信息包括账号、明文密码、MD5加密密码、电子邮件、家庭住址、电话、真实姓名等敏感信息。更为严重的是，泄露的范围已经从社交类网站扩展到电商行业，乃至更为宽泛的领域。

2011年12月21日，是中国互联网应该铭记的日子。

这一天，国内知名程序员网站CSDN的用户资料数据库在网上曝光。随之而来的，是席卷中国互联网的一场密码飓风，至今为止，事件尚处于爆发阶段，神秘的泄密人也没有露面，更没有谁能确切说出最终会是什么样的局面……

让我们简要梳理一下事件的前因后果。

12月4日，黑客“臭小子”在国内安全问题反馈平台“乌云”上宣称，自己掌握了139、百合网、开心网等多家大型网站的用户数据库，包括管理账号密码、邮箱密码等等，但并没有引起足够的重视。

12月21日，CSDN社区的640万用户账户、密码、邮箱资料遭到泄露；网民发现，CSDN数据库的大小和“臭小子”贴图中的280507KB大小完全一致。事态开始严重起来。

密码库事件爆发后1个半小时左右，金山毒霸产品经理韩某“hzqedison”把CSDN用户数据库传到了迅雷快传（会员分享），根据金山公司的说法，“将部分网上流传密码库分发给同事自查，不慎被外人所获知”。

“蝴蝶效应”以超出人们预料的速度开始形成，事情变得不可收拾。

12月22日～28日，中国各大知名网站全面沦陷。根据网上各类报道综合以及“中国黑客教父”龚蔚的不完全统计，波及的网站包括多玩游戏（800万，括号内为用户数，下同。如无特别说明，则用户数不详）、人人网（500万）、梦幻西游、7K7K游戏、178.com网站（188万）、UUU9（700万）、网易土木在线、天涯社区（4000万）、北京麒麟网信息科技有限公司（900万）、某知名婚恋网站（526万）、Ispeak.CN（168万）myspace、塞班论坛（140万）、太平洋电脑（200万）、木蚂蚁（13万）766.COM（12万）、ys168（30万）……

泄露信息包括账号、明文密码、MD5加密密码、电子邮件、角色名称、所在服务器、最后登陆时间、最后登陆IP、昵称、数据库排序ID、家庭住址、电话、真实姓名以及其他相关数据。

更为严重的是，泄露的范围已经从社交类网站扩展到电商行业，乃至更为宽泛的领域。

除了卓越、凡客中招之外，12月27日，京东商城曝出存在“用户权限控制不当”的漏洞，“任意用户登录系统后，都可以正常访问到所有用户的信息，包括：姓名、地址、电话、E－mail等。”

12月28日，“乌云”再次发布漏洞预警，称支付宝和当当网资料被盗，当当网1200万全字段用户资料已经泄露，支付宝被泄用户达到1500－2500万，但随后这些公司均予以否认。

同一天，圆通速递公司网页被篡改，空荡荡的网页上只有一句话：“JUSTFORFUN”（就是为了好玩）；金山毒霸也被曝存在泄密漏洞，金山方面回应，正在查证数据来源。

12月29日，有网友爆料，交通银行、民生银行及工商银行的用户数据已经泄露。三大银行的态度是坚决辟谣，全面否认。

与此同时，广东省公安厅出入境政务服务网的网上申请数据也被泄露，泄密信息包括编号、真实姓名、护照号码、港澳通行证号码，申请日期、状态，以及用户的出生年月、邮寄地址、证件有效期、出入事由等等。当天晚上，广东省公安厅通过官方微博＠平安南粤证实了此事，并表示“技术漏洞已修补完毕”。

根据龚蔚的说法，事件还远未结束，本次泄露及公布的数量与实际被黑客掌握的用户账号数相比只是冰山一角，“预计重大事件将在2012年爆发，规模影响中国几亿的移动终端用户。”

修改密码不过是心理安慰

修改密码能起到的补救作用是有限的，其实不过是心理安慰——对用户的心理安慰，以及网站自身的自我安慰。至于打口水战或者推诿责任，更是不负责任的表现。

此次事件也折射出不同网站对待用户的态度。

除了少数网站勇于承担，或者说在铁定事实面前不得不承认之外，一般网站的态度就是先否认，尽量脱开干系，实在摆脱不了的话，才扭扭捏捏地承认，并且强调自己是无辜的，是“躺着中枪”，是“被顺手牵羊”。

12月21日晚间，CSDN在其官方网站发布公告《致CSDN会员的公开道歉信》：“我们非常抱歉，近日发生了CSDN用户数据库泄露事件，您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码。如果您在其他网站也使用同一密码，请一定同时修改相关网站的密码。”

CSDN解释：“2009年4月之前是明文密码，2009年4月之后是加密的，但部分明文密码未及时清理；2010年8月底清理掉了所有明文密码。所以，从2010年9月开始注册的账户全部都是安全的，9月之前的则有可能不安全。”

对于数据库泄露原因，CSDN并无确切回应，声称“正在调查中”。

即便如此，网友并不买账。“36氪”社区网友“学徒姚佐”称：“看见2010年注册的也有中招的，明显官方在撒谎。”

如果说CSDN明文存储密码的做法让人大跌眼镜，那么，在没有查清楚数据库泄露原因的情况下，就让用户修改账号密码的做法无异于掩耳盗铃。

修改密码到底能起到什么作用呢？来看看三大顶级黑客是怎么说的。

“毕竟很多公众是用通用密码的，一个沦陷了所有账户都暴露了。”中国红客联盟创始人林勇一语道破修改密码的补救作用。

除此之外，修改密码的真正作用，可能就是心理安慰了——对用户的心理安慰，以及网站自身的自我安慰。

个中原因在于，黑客需要的是这些大型网站的数据库，用户的密码对他们来说并不重要。如果是明文密码，自然捡了个便宜，但就算是所谓的“MD5不可逆算法”，其实对黑客来说，也是轻而易举之事。360安全专家石晓虹对本报记者说：“由于黑客已经收集了大量明文密码，并以此构建了庞大的在线密码字典（彩虹表），常规的hash值经过密码字典匹配后，93％以上会被破解。”

龚蔚认为：“泄密门事件，目前还没有一个网站给出明确的黑客入侵手法分析，或者泄密事件的安全分析报告。一味的要用户更改密码，可见继续忽悠是他们惯性逻辑，密码换来换去的有屁用，保险箱都被人偷了，还不知道怎么被人偷的，还要我换美金存里面，说这样就会安全。”

甚至，用户修改密码可能还会有负面影响。中国鹰派联盟创始人老鹰（万涛）对本报记者说：“整体的安全环境不改善，修改密码无非是增加更多的用户信息……”

不幸的是，要求用户修改密码几乎成了所有被泄密网站的通用做法。

而且，道歉的网站也不多。比如天涯社区，最开始否认，后来承认并且道歉，“在得知用户隐私遭黑客泄露以后，天涯网已经启动应急预案，通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码，同时也已经向公安机关进行了报案。”

道歉的还有金山毒霸及其员工：“做错事要承认错误，但网上称我最早在迅雷泄露了用户数据，这不是事实，是污蔑……”

但CSDN策划部总监谭茂马上反唇相讥：“传播泄密资料已经犯法了，提醒用户不要下载这才是安全公司的起码准则，不知道金山公司将此泄密资料放在网上传播是何目的？”

打口水仗的还有CSDN与人人网。蒋涛表示：“关于密码泄密，我们第一时间公开道歉并通知用户，其他人沉默或否认，但都通知用户修改密码。最恶劣的是某上市公司不但否认且赖账CSDN，被暴库的476万用户数据和CSDN的重合度只有0.65％，怎么碰撞？更蹊跷的是，随后新浪微博被曝474万数据，有92％和他的库重复，这家公司真是善于混淆视听。”

对广大网民来说，关心的重点在于账户的安全，至于打口水战或者推诿责任，那不是转移视线，挺没趣的吗？

网络信息安全应提升到足够高度

网络信息安全应该提升到国家战略安全的高度。总是“亡羊”之后才来“补牢”，总是要求用户做这做那，是解决不了任何问题的。但目前的局面是，大多数网站并不重视网络安全技术。

12月28日，工业和信息化部发布《关于近期部分互联网站信息泄露事件的通告》。通告将泄露事件定性为“严重侵害了互联网用户的合法权益，危害互联网安全”的恶性事件，“我部对窃取和泄露用户信息的行为表示强烈谴责。”

《通告》要求各互联网站“高度重视用户信息安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。”并且，“各互联网站要引以为戒，开展全面的安全自查，及时发现和修复安全漏洞。要加强系统安全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。”

事实上，这次事件已经不仅仅局限于用户信息的小范围。有评论认为，“泄密门”危机应上升到国家安全高度：“不只是一起无关紧要的网络安全事件，当它已经直接威胁到每个公民的经济安全，就应该提高到国家安全的高度来重视。世界上一些先进国家很早就开始强调网络信息安全战略，将网络信息安全提升到国家战略安全层次。”

“从出发点来说，也不算什么恶作剧。”万涛否定了此次事件属于黑客娱乐，带有恶作剧性质的说法，“直接效果是揭露了冰山的面目，间接的效果和过程是个蝴蝶效应……风暴向何处已经超出了黑客圈子的估计和智慧。”针对有关可能会对“网络实名制”产生不利影响的观点，他认为：“要人们履行义务（实名），请同时保障权利（隐私安全），而显然后者现在是一塌糊涂。需要提醒的是，问题可不出在黑客这边。”

龚蔚认为国内网站普遍对网络安全缺乏尊重：“网站应该怎么做才安全？我告诉他两个字：‘尊重。对安全事件的尊重、对安全管理人员的尊重，对黑客技术的尊重，对保护用户安全的尊重，你应该是去尊重这种技术的，态度决定了结果。”

但目前的局面是，大多数网站并不尊重技术。某安全公司检测显示，“国内83％的网站存在安全漏洞，其中34％属于高危级别，极易遭到黑客入侵”。

总是“亡羊”之后才来“补牢”，总是要求用户做这做那，不过是一些网站的应付之举。也许，明智的做法是，在危机来临之前就解决问题，而不是等危机爆发了来个漂亮的危机公关，或者是将责任全盘推到黑客身上。

“我不认为这是一个黑客行为”

——专访中国红客联盟创始人林勇

林勇（Lion）简介：中国红客联盟创始人。2011年9月22日，被誉为“中国黑帽子大会”的COG2011信息安全论坛在上海召开，lion荣获COG信息安全社会影响力奖。他重组了中国红客联盟，新网站于2011年11月1日开放。

网络导报记者（以下简称“记者”）：根据你对这次上亿用户密码泄露事件的判断，你认为它会是什么人或者组织所为？

林勇（以下简称“林”）：不清楚。现在也不好乱猜测。

记者：按照《COG黑客自律公约》的界定，“社会普通公众的隐私权，尤其是儿童与未成年人应当得到保护。以买卖社会普通公众隐私信息为目的的活动不是黑客行为。”那么，这次泄露事件属于黑客行为吗？

林：这次密码泄露，依据小道消息说是有人为了炫耀放出来的。黑客圈子内部交换数据比较正常，但放出数据来估计是受到anonymous组织（一个组织松散的全球黑客组织）的影响。我本人认为这些放数据出来的人没有一些道德底线，做人做事还是要有原则的。我不认为这是一个黑客行为。

记者：即便这些数据库已经被卖了多次，但公布出来，也会形成巨大的舆论冲击。这里面是否会有一些其他的利益诉求？

林：不排除这些人在下一盘大棋。

记者：有的网站说这次被盗的数据为“2009年之前的备份数据”，是这样吗？

林：这次泄漏的数据应该是09年到2011年积累的数据。攻击所利用的漏洞我估计大多是java structs2和discuz x2的漏洞。可以说是目前浮出水面的最大的一次网络安全事件，但实际上这只是冰山一角。

记者：龚蔚说明年可能会有更大的爆发，涉及到数亿移动互联网用户。这是不是就是你说的“冰山一角”？

林：暴露的只是冰山一角。也不多说了。

记者：在不知道黑客入侵手法的情况下，被泄密的网站要求用户更改密码以求安全，你认为这样做除了心理安慰之外，有实际效果吗？

林：毕竟很多人是用通用密码的，一个沦陷了所有账户都暴露了。网站遇到攻击后，提醒用户改密码还是很有必要的。当然，改密码不只是被攻击的这个网站的密码要改，很多的账户密码都要更改。建议不重要的账户可以用通用密码，重要的email、淘宝之类的一定要设置单独密码。

记者：如果说这些黑客的目标在于大型网站的数据库，那么，对此事负责的显然只是这些网站。网站致歉就足够了吗？

林：出了事的企业一定要开展全面排查，找出攻击源头，修补相关漏洞，并加强安全防范措施。同时，数据一定要采用强加密方式保存，这次很多明文密码泄露，可以看出这些企业对用户是很不负责任的。这不是一个道歉就能说得过去的。

记者：是的，道歉没用。这件事情似乎强加给了黑客一些羞辱。那这个事件对黑客圈子来说，是否也会有一些影响？比如，找到那个公布信息的源头？今后打击这方面的行为？

林：对黑客圈子的影响绝对是有的。国家刚公布2012年要开展为期一年的打击黑客专项行动，这下刚好撞枪口上了。我们也在猜测其背后的实际目的。我们希望国家能加大打击力度，让更多的人走上正途，净化一下这个圈子。

记者：你对这件事是不是感到很愤怒？有人说泄露数据的这个人坏了行规，黑客圈要清理门户。

林：两方面吧。一是感到震惊，买卖公众数据确实是很不道德的。这东西我知道很早在流传，但没想到有人敢放出来，这损害的是公众利益。第二，从积极方面讲，我觉得这是对网络安全行业的促进，经过这次事件的洗礼，网络安全在很多企业将占有一席之地。

记者：网络安全已经成为一个全球性话题。有人说，这次密码泄露事件是针对实行网络实名制的？

林：这次密码泄露事件不排除是对实名制的挑战。实施实名制应该建立在安全保障的前提下。在网络安全还没得到充分重视，一些网站的保护措施还不够的背景下，如果盲目实行实名制，还再让“人”如入无人之境的话，到时候泄露的就不只是一堆密码和邮箱了。

记者：老鹰也很担心这一点？

林：网络安全应该是开展互联网业务的基础保障。特别是以后进入云的时代，所有数据都在网上的情况下，网络安全会更加重要。而目前的情况是，网络安全得不到企业的重视，网络安全人才在企业也得不到重视。

企业不重视安全，对网络安全投入不够，造成网络应用漏洞很多，让人有机可趁；网络安全技术人员得不到重视，在企业的地位和收入不高。生活的压力，让很多人铤而走险，投入了“黑产”的怀抱，结果造成网络安全圈子的混乱局面。所以，要改变这种现状需要多方努力。很希望看到国家加大这方面投入。

记者：数据的力量非常强大，也非常可怕！如果安全做好了，就可以驯服它，让它发挥正面作用了。

林：这是对互联网企业敲响的一次警钟，也是网络安全这个行业发展的一个契机。这个事件的根源在于，有些人盯上了这些企业的数据库，因为它们能换到钱。有利益的驱使，就必然有人去冒险。现在暴露的只是账户密码和邮箱，如果将来泄露的是姓名、性别、电话、家庭住址、身份证号、银行账号呢？

记者：银行卡一般是六位数的密码，那不是更容易破解吗？或者说，银行系统有更安全的保障措施？

林：那得看加密手段了。直接联网猜，3次机会，6位数字的密码还算安全。但如果让黑客拿到数据库就麻烦了，特别是网银账户。