泄密事件:網絡安全不能靠心理安慰

艾龍

伴隨數據泄密事件而來的，是一場席卷中國互聯網的網絡安全危機，其波及面之廣、影響之深都是前所未有的。工業和信息化部稱，這次事件“嚴重侵害了互聯網用戶的合法權益，危害互聯網安全”。更有論者認為，此次數據泄露事件應該上升到國家安全的高度。

“密碼颶風”席卷中國互聯網

泄密的網站包括天涯社區、人人網等中國各大知名網站，用戶數超過1億，泄露的信息包括賬號、明文密碼、MD5加密密碼、電子郵件、家庭住址、電話、真實姓名等敏感信息。更為嚴重的是，泄露的范圍已經從社交類網站擴展到電商行業，乃至更為寬泛的領域。

2011年12月21日，是中國互聯網應該銘記的日子。

這一天，國內知名程序員網站CSDN的用戶資料數據庫在網上曝光。隨之而來的，是席卷中國互聯網的一場密碼颶風，至今為止，事件尚處于爆發階段，神秘的泄密人也沒有露面，更沒有誰能確切說出最終會是什么樣的局面……

讓我們簡要梳理一下事件的前因后果。

12月4日，黑客“臭小子”在國內安全問題反饋平臺“烏云”上宣稱，自己掌握了139、百合網、開心網等多家大型網站的用戶數據庫，包括管理賬號密碼、郵箱密碼等等，但并沒有引起足夠的重視。

12月21日，CSDN社區的640萬用戶賬戶、密碼、郵箱資料遭到泄露；網民發現，CSDN數據庫的大小和“臭小子”貼圖中的280507KB大小完全一致。事態開始嚴重起來。

密碼庫事件爆發后1個半小時左右，金山毒霸產品經理韓某“hzqedison”把CSDN用戶數據庫傳到了迅雷快傳（會員分享），根據金山公司的說法，“將部分網上流傳密碼庫分發給同事自查，不慎被外人所獲知”。

“蝴蝶效應”以超出人們預料的速度開始形成，事情變得不可收拾。

12月22日～28日，中國各大知名網站全面淪陷。根據網上各類報道綜合以及“中國黑客教父”龔蔚的不完全統計，波及的網站包括多玩游戲（800萬，括號內為用戶數，下同。如無特別說明，則用戶數不詳）、人人網（500萬）、夢幻西游、7K7K游戲、178.com網站（188萬）、UUU9（700萬）、網易土木在線、天涯社區（4000萬）、北京麒麟網信息科技有限公司（900萬）、某知名婚戀網站（526萬）、Ispeak.CN（168萬）myspace、塞班論壇（140萬）、太平洋電腦（200萬）、木螞蟻（13萬）766.COM（12萬）、ys168（30萬）……

泄露信息包括賬號、明文密碼、MD5加密密碼、電子郵件、角色名稱、所在服務器、最后登陸時間、最后登陸IP、昵稱、數據庫排序ID、家庭住址、電話、真實姓名以及其他相關數據。

更為嚴重的是，泄露的范圍已經從社交類網站擴展到電商行業，乃至更為寬泛的領域。

除了卓越、凡客中招之外，12月27日，京東商城曝出存在“用戶權限控制不當”的漏洞，“任意用戶登錄系統后，都可以正常訪問到所有用戶的信息，包括：姓名、地址、電話、E－mail等。”

12月28日，“烏云”再次發布漏洞預警，稱支付寶和當當網資料被盜，當當網1200萬全字段用戶資料已經泄露，支付寶被泄用戶達到1500－2500萬，但隨后這些公司均予以否認。

同一天，圓通速遞公司網頁被篡改，空蕩蕩的網頁上只有一句話：“JUSTFORFUN”（就是為了好玩）；金山毒霸也被曝存在泄密漏洞，金山方面回應，正在查證數據來源。

12月29日，有網友爆料，交通銀行、民生銀行及工商銀行的用戶數據已經泄露。三大銀行的態度是堅決辟謠，全面否認。

與此同時，廣東省公安廳出入境政務服務網的網上申請數據也被泄露，泄密信息包括編號、真實姓名、護照號碼、港澳通行證號碼，申請日期、狀態，以及用戶的出生年月、郵寄地址、證件有效期、出入事由等等。當天晚上，廣東省公安廳通過官方微博＠平安南粵證實了此事，并表示“技術漏洞已修補完畢”。

根據龔蔚的說法，事件還遠未結束，本次泄露及公布的數量與實際被黑客掌握的用戶賬號數相比只是冰山一角，“預計重大事件將在2012年爆發，規模影響中國幾億的移動終端用戶。”

修改密碼不過是心理安慰

修改密碼能起到的補救作用是有限的，其實不過是心理安慰——對用戶的心理安慰，以及網站自身的自我安慰。至于打口水戰或者推諉責任，更是不負責任的表現。

此次事件也折射出不同網站對待用戶的態度。

除了少數網站勇于承擔，或者說在鐵定事實面前不得不承認之外，一般網站的態度就是先否認，盡量脫開干系，實在擺脫不了的話，才扭扭捏捏地承認，并且強調自己是無辜的，是“躺著中槍”，是“被順手牽羊”。

12月21日晚間，CSDN在其官方網站發布公告《致CSDN會員的公開道歉信》：“我們非常抱歉，近日發生了CSDN用戶數據庫泄露事件，您的用戶密碼可能被公開。我們懇切地請您修改CSDN相關密碼。如果您在其他網站也使用同一密碼，請一定同時修改相關網站的密碼。”

CSDN解釋：“2009年4月之前是明文密碼，2009年4月之后是加密的，但部分明文密碼未及時清理；2010年8月底清理掉了所有明文密碼。所以，從2010年9月開始注冊的賬戶全部都是安全的，9月之前的則有可能不安全。”

對于數據庫泄露原因，CSDN并無確切回應，聲稱“正在調查中”。

即便如此，網友并不買賬。“36氪”社區網友“學徒姚佐”稱：“看見2010年注冊的也有中招的，明顯官方在撒謊。”

如果說CSDN明文存儲密碼的做法讓人大跌眼鏡，那么，在沒有查清楚數據庫泄露原因的情況下，就讓用戶修改賬號密碼的做法無異于掩耳盜鈴。

修改密碼到底能起到什么作用呢？來看看三大頂級黑客是怎么說的。

“畢竟很多公眾是用通用密碼的，一個淪陷了所有賬戶都暴露了。”中國紅客聯盟創始人林勇一語道破修改密碼的補救作用。

除此之外，修改密碼的真正作用，可能就是心理安慰了——對用戶的心理安慰，以及網站自身的自我安慰。

個中原因在于，黑客需要的是這些大型網站的數據庫，用戶的密碼對他們來說并不重要。如果是明文密碼，自然撿了個便宜，但就算是所謂的“MD5不可逆算法”，其實對黑客來說，也是輕而易舉之事。360安全專家石曉虹對本報記者說：“由于黑客已經收集了大量明文密碼，并以此構建了龐大的在線密碼字典（彩虹表），常規的hash值經過密碼字典匹配后，93％以上會被破解。”

龔蔚認為：“泄密門事件，目前還沒有一個網站給出明確的黑客入侵手法分析，或者泄密事件的安全分析報告。一味的要用戶更改密碼，可見繼續忽悠是他們慣性邏輯，密碼換來換去的有屁用，保險箱都被人偷了，還不知道怎么被人偷的，還要我換美金存里面，說這樣就會安全。”

甚至，用戶修改密碼可能還會有負面影響。中國鷹派聯盟創始人老鷹（萬濤）對本報記者說：“整體的安全環境不改善，修改密碼無非是增加更多的用戶信息……”

不幸的是，要求用戶修改密碼幾乎成了所有被泄密網站的通用做法。

而且，道歉的網站也不多。比如天涯社區，最開始否認，后來承認并且道歉，“在得知用戶隱私遭黑客泄露以后，天涯網已經啟動應急預案，通過站內短信、Email等一切有效聯系手段通知用戶盡快修改個人密碼，同時也已經向公安機關進行了報案。”

道歉的還有金山毒霸及其員工：“做錯事要承認錯誤，但網上稱我最早在迅雷泄露了用戶數據，這不是事實，是污蔑……”

但CSDN策劃部總監譚茂馬上反唇相譏：“傳播泄密資料已經犯法了，提醒用戶不要下載這才是安全公司的起碼準則，不知道金山公司將此泄密資料放在網上傳播是何目的？”

打口水仗的還有CSDN與人人網。蔣濤表示：“關于密碼泄密，我們第一時間公開道歉并通知用戶，其他人沉默或否認，但都通知用戶修改密碼。最惡劣的是某上市公司不但否認且賴賬CSDN，被暴庫的476萬用戶數據和CSDN的重合度只有0.65％，怎么碰撞？更蹊蹺的是，隨后新浪微博被曝474萬數據，有92％和他的庫重復，這家公司真是善于混淆視聽。”

對廣大網民來說，關心的重點在于賬戶的安全，至于打口水戰或者推諉責任，那不是轉移視線，挺沒趣的嗎？

網絡信息安全應提升到足夠高度

網絡信息安全應該提升到國家戰略安全的高度。總是“亡羊”之后才來“補牢”，總是要求用戶做這做那，是解決不了任何問題的。但目前的局面是，大多數網站并不重視網絡安全技術。

12月28日，工業和信息化部發布《關于近期部分互聯網站信息泄露事件的通告》。通告將泄露事件定性為“嚴重侵害了互聯網用戶的合法權益，危害互聯網安全”的惡性事件，“我部對竊取和泄露用戶信息的行為表示強烈譴責。”

《通告》要求各互聯網站“高度重視用戶信息安全工作，把用戶信息保護作為關系行業健康發展和企業誠信建設的重要工作抓好抓實。”并且，“各互聯網站要引以為戒，開展全面的安全自查，及時發現和修復安全漏洞。要加強系統安全防護，落實相關網絡安全防護標準，提高系統防入侵、防竊取、防攻擊能力。”

事實上，這次事件已經不僅僅局限于用戶信息的小范圍。有評論認為，“泄密門”危機應上升到國家安全高度：“不只是一起無關緊要的網絡安全事件，當它已經直接威脅到每個公民的經濟安全，就應該提高到國家安全的高度來重視。世界上一些先進國家很早就開始強調網絡信息安全戰略，將網絡信息安全提升到國家戰略安全層次。”

“從出發點來說，也不算什么惡作劇。”萬濤否定了此次事件屬于黑客娛樂，帶有惡作劇性質的說法，“直接效果是揭露了冰山的面目，間接的效果和過程是個蝴蝶效應……風暴向何處已經超出了黑客圈子的估計和智慧。”針對有關可能會對“網絡實名制”產生不利影響的觀點，他認為：“要人們履行義務（實名），請同時保障權利（隱私安全），而顯然后者現在是一塌糊涂。需要提醒的是，問題可不出在黑客這邊。”

龔蔚認為國內網站普遍對網絡安全缺乏尊重：“網站應該怎么做才安全？我告訴他兩個字：‘尊重。對安全事件的尊重、對安全管理人員的尊重，對黑客技術的尊重，對保護用戶安全的尊重，你應該是去尊重這種技術的，態度決定了結果。”

但目前的局面是，大多數網站并不尊重技術。某安全公司檢測顯示，“國內83％的網站存在安全漏洞，其中34％屬于高危級別，極易遭到黑客入侵”。

總是“亡羊”之后才來“補牢”，總是要求用戶做這做那，不過是一些網站的應付之舉。也許，明智的做法是，在危機來臨之前就解決問題，而不是等危機爆發了來個漂亮的危機公關，或者是將責任全盤推到黑客身上。

“我不認為這是一個黑客行為”

——專訪中國紅客聯盟創始人林勇

林勇（Lion）簡介：中國紅客聯盟創始人。2011年9月22日，被譽為“中國黑帽子大會”的COG2011信息安全論壇在上海召開，lion榮獲COG信息安全社會影響力獎。他重組了中國紅客聯盟，新網站于2011年11月1日開放。

網絡導報記者（以下簡稱“記者”）：根據你對這次上億用戶密碼泄露事件的判斷，你認為它會是什么人或者組織所為？

林勇（以下簡稱“林”）：不清楚。現在也不好亂猜測。

記者：按照《COG黑客自律公約》的界定，“社會普通公眾的隱私權，尤其是兒童與未成年人應當得到保護。以買賣社會普通公眾隱私信息為目的的活動不是黑客行為。”那么，這次泄露事件屬于黑客行為嗎？

林：這次密碼泄露，依據小道消息說是有人為了炫耀放出來的。黑客圈子內部交換數據比較正常，但放出數據來估計是受到anonymous組織（一個組織松散的全球黑客組織）的影響。我本人認為這些放數據出來的人沒有一些道德底線，做人做事還是要有原則的。我不認為這是一個黑客行為。

記者：即便這些數據庫已經被賣了多次，但公布出來，也會形成巨大的輿論沖擊。這里面是否會有一些其他的利益訴求？

林：不排除這些人在下一盤大棋。

記者：有的網站說這次被盜的數據為“2009年之前的備份數據”，是這樣嗎？

林：這次泄漏的數據應該是09年到2011年積累的數據。攻擊所利用的漏洞我估計大多是java structs2和discuz x2的漏洞。可以說是目前浮出水面的最大的一次網絡安全事件，但實際上這只是冰山一角。

記者：龔蔚說明年可能會有更大的爆發，涉及到數億移動互聯網用戶。這是不是就是你說的“冰山一角”？

林：暴露的只是冰山一角。也不多說了。

記者：在不知道黑客入侵手法的情況下，被泄密的網站要求用戶更改密碼以求安全，你認為這樣做除了心理安慰之外，有實際效果嗎？

林：畢竟很多人是用通用密碼的，一個淪陷了所有賬戶都暴露了。網站遇到攻擊后，提醒用戶改密碼還是很有必要的。當然，改密碼不只是被攻擊的這個網站的密碼要改，很多的賬戶密碼都要更改。建議不重要的賬戶可以用通用密碼，重要的email、淘寶之類的一定要設置單獨密碼。

記者：如果說這些黑客的目標在于大型網站的數據庫，那么，對此事負責的顯然只是這些網站。網站致歉就足夠了嗎？

林：出了事的企業一定要開展全面排查，找出攻擊源頭，修補相關漏洞，并加強安全防范措施。同時，數據一定要采用強加密方式保存，這次很多明文密碼泄露，可以看出這些企業對用戶是很不負責任的。這不是一個道歉就能說得過去的。

記者：是的，道歉沒用。這件事情似乎強加給了黑客一些羞辱。那這個事件對黑客圈子來說，是否也會有一些影響？比如，找到那個公布信息的源頭？今后打擊這方面的行為？

林：對黑客圈子的影響絕對是有的。國家剛公布2012年要開展為期一年的打擊黑客專項行動，這下剛好撞槍口上了。我們也在猜測其背后的實際目的。我們希望國家能加大打擊力度，讓更多的人走上正途，凈化一下這個圈子。

記者：你對這件事是不是感到很憤怒？有人說泄露數據的這個人壞了行規，黑客圈要清理門戶。

林：兩方面吧。一是感到震驚，買賣公眾數據確實是很不道德的。這東西我知道很早在流傳，但沒想到有人敢放出來，這損害的是公眾利益。第二，從積極方面講，我覺得這是對網絡安全行業的促進，經過這次事件的洗禮，網絡安全在很多企業將占有一席之地。

記者：網絡安全已經成為一個全球性話題。有人說，這次密碼泄露事件是針對實行網絡實名制的？

林：這次密碼泄露事件不排除是對實名制的挑戰。實施實名制應該建立在安全保障的前提下。在網絡安全還沒得到充分重視，一些網站的保護措施還不夠的背景下，如果盲目實行實名制，還再讓“人”如入無人之境的話，到時候泄露的就不只是一堆密碼和郵箱了。

記者：老鷹也很擔心這一點？

林：網絡安全應該是開展互聯網業務的基礎保障。特別是以后進入云的時代，所有數據都在網上的情況下，網絡安全會更加重要。而目前的情況是，網絡安全得不到企業的重視，網絡安全人才在企業也得不到重視。

企業不重視安全，對網絡安全投入不夠，造成網絡應用漏洞很多，讓人有機可趁；網絡安全技術人員得不到重視，在企業的地位和收入不高。生活的壓力，讓很多人鋌而走險，投入了“黑產”的懷抱，結果造成網絡安全圈子的混亂局面。所以，要改變這種現狀需要多方努力。很希望看到國家加大這方面投入。

記者：數據的力量非常強大，也非常可怕！如果安全做好了，就可以馴服它，讓它發揮正面作用了。

林：這是對互聯網企業敲響的一次警鐘，也是網絡安全這個行業發展的一個契機。這個事件的根源在于，有些人盯上了這些企業的數據庫，因為它們能換到錢。有利益的驅使，就必然有人去冒險。現在暴露的只是賬戶密碼和郵箱，如果將來泄露的是姓名、性別、電話、家庭住址、身份證號、銀行賬號呢？

記者：銀行卡一般是六位數的密碼，那不是更容易破解嗎？或者說，銀行系統有更安全的保障措施？

林：那得看加密手段了。直接聯網猜，3次機會，6位數字的密碼還算安全。但如果讓黑客拿到數據庫就麻煩了，特別是網銀賬戶。