5000萬用戶遭洩密 互聯網應如何重塑行業倫理?

【案例重現】

2011年12月下旬，大陸互聯網史上最大規模的一次用戶資料洩漏事件集中爆發，多家網路安全機構發佈紅色預警稱，CSDN、人人網、貓撲、178遊戲網等多家互聯網站遭駭客惡意公開資料庫。鑒於目前已有超過5000萬個用戶帳號和密碼在網上公開擴散，特別是部分線民習慣為郵箱、微博、遊戲、網上支付、購物等帳號設置相同的密碼，呼籲廣大線民盡快修改重要帳號的密碼，而上述被捲入洩密風波的網站也已向用戶敲響警鐘。

在CSDN.NET和天涯傳出密碼流出之後，很多網友表示「改密碼改到手軟」，然而網站方面，真誠反思整改者有，渾水摸魚、以鄰為壑者也有。

有專家揭露，此次被公開的資料庫，其實只是部分早就洩露、在駭客交易市場流傳很久的老舊資料庫，駭客實際掌握的資料庫遠不止於此。網路公司早知資料庫被盜，現在才道歉和採取措施，足見用戶利益在其心中的位置之低。

在這個資訊世紀，資訊已主導著人們的整個生活及社會的整個生產運轉，如何保障資訊的安全成為全社會全人類應該深索的課題。

「密碼危機」

聞之色變

這場令人聞之色變的「密碼危機」，源於2011年12月21日。當天上午，有駭客在網上公開了開發者技術社區CSDN網站的用戶數據庫，包括600餘萬個註冊郵箱帳號和與之對應的明文密碼，在業界引發軒然大波。

CSDN通過微博緊急回應稱，目前洩密原因尚未查明，已向公安機關報案，公安機關也正在調查相關線索。同時，CSDN也已經對現有2000萬註冊用戶的帳號密碼資料庫全部採取了密文保護和備份。

這場風波的蝴蝶效應第二天就立即顯現。12月22日，人人網、178遊戲網等5家網站用戶數據庫又相繼被公開，以打包壓縮文件的形式放在網盤中公然供人下載，幾百萬用戶的帳號密碼在其中一覽無遺，這讓不少用戶感到如坐針氈。隨後，更有貓撲等數十家大型網站被曝已經遭駭客「爆庫」，面臨同樣的命運。

金山毒霸也於12月22日發佈了紅色預警，其負責人表示，此次有多達千萬用戶資料被洩露，其中不乏一些名人的資料，是大陸互聯網史上最大規模的一次用戶資料洩露事件。

3天後「洩密門」再度升級，大陸最早的社交網站天涯社區也「慘遭毒手」，據知情人士透露，4000萬用戶密碼全部洩露。洩密事件發生後，天涯社區發佈《針對用戶數據外泄的聲明》和《對用戶的致歉信》。天涯社區在道歉信中承認用戶資料已洩露，稱「近日由於遭受駭客攻擊，有多家網站的部分用戶數據庫外泄，天涯也是受害網站之一」。

蝴蝶效應

源於駭客「拖庫」

究竟駭客是如何順滕摸瓜竊得如此多大網站密碼的？360專家石曉虹分析稱，一家網站伺服器被駭客攻破，成百上千萬用戶的常用郵箱和密碼洩露後，很容易導致網上支付等其他重要帳號也一併失竊。此前爆發的微博、MSN大面積盜號事件，其攻擊方式均為駭客「拖庫」後試探盜號的。「目前，駭客竊取網站資料庫的危害已遠遠超過盜號木馬。」

為了便於記憶，大部分用戶存在一個密碼（多是密文、部分網站是明文）通行多個網站的習慣，甚至使用相同的郵箱註冊不同網路服務，並且使用完全一樣的登錄密碼，這就好比用一把鑰匙就能打開所有的門。因此駭客們只要拿到一個網站的用戶資料，就可以打開大多數其他網站的服務，這使得本次洩露事件的危害性進一步擴大。

已被證實的是，駭客並沒有入侵用戶本地的電腦，此事件和用戶電腦本身的安全無關，完全是與網站對於用戶的個人資訊安全保護不善而導致。

「如果您的人人網帳號密碼和CSDN或其他網站一致，建議您馬上修改密碼，以免帳號被盜。」人人網官方微博發表聲明稱。不過，人人網方面並未打算對此事承擔任何責任。其官方稱，人人網從上線開始就沒有記錄明文密碼，不存在過錯，受影響的用戶均因在CSDN或者其他論壇等使用相同帳號密碼。開心網亦已向用戶群發郵件，警告稱近日互聯網進入了安全事故的高發期，坦言「經常更換密碼對於您的帳戶安全非常重要」。

工信部要求網站自查

網路安全不容小視

為幫助用戶找回已被盜帳戶，天涯社區在公告中稱，可使用取回密碼功能，通過註冊郵箱、認證手機或申訴的方式取回被盜密碼；或者撥打其客服電話，由工作人員進行驗證之後取回帳戶密碼。

對於此補救措施網路安全專家表示，各遭洩密的互聯網企業可互相作為借鑒；同時，專家也指出，各大網站基本都推出了用戶帳戶體系，多數線民也會在各網站留下註冊資訊和即時資訊，當駭客越來越習慣從公司後臺下手竊取用戶資料，保障資訊安全的挑戰越來越大，建議線民及時修改被疑洩密網站的登錄密碼等個人資料。專家建議，用戶應設置較為複雜的密碼，且在不同網站盡量採用不同的註冊資訊，以免發生連鎖被盜事件。

而針對此次互聯網站資訊大規模洩露事件，工信部發佈通告，強烈譴責竊取和洩露用戶資訊行為，並展開調查。工信部要求，發生用戶資訊洩露的網站要做好善後工作，盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示，提醒用戶修改在本網站或其他網站使用的相同用戶名和密碼；未發生用戶資訊洩露的網站，要加強安全監測，必要時提醒用戶修改密碼；同時提醒廣大互聯網用戶，密切關注相關網站發佈的公告，並根據網站安全提示修改密碼，提高密碼的安全強度並定期修改。

「洩密門」倒逼互聯網

重建行業倫理

洩密事件發生後，一些網站借機渾水摸魚，打起了那些「裸奔」用戶的主意，「有些網站把公開庫的數據直接導入自己的用戶庫，也發通知給用戶更改密碼，來獲取用戶」；更有一些「灌水」公司，居然拿被竊用戶的帳號去發「水帖」，刷「僵屍粉」；而一些存在競爭關係的公司，則互相指責抹黑對方。

此次洩密事件很大程度上源於「人禍」——一些網站為了商業利益，而犧牲用戶的利益。比如，對用戶密碼進行加密存儲，應是商業網站的運營常識，然而，為了方便操作、節省成本，一些網站竟長期使用明文密碼，以至輕易遭竊；再如，用戶註冊時禁用簡單密碼的網站並不普遍，有的網站不設置密保提問，甚至連驗證碼也沒有。

其實，實現上述操作並不難，要的只是一個將用戶利益放在首位的理念而已。對於已遭洩密的網站，要盡快通過各種方式提醒用戶修改密碼；對於倖免的網站，則要加強安全監測，盡快升級硬體，提升反洩密能力。

如今，電子商務、線上支付、移動支付等網路手段越來越重要，如果洩密擴大，帶來的恐怕將不僅是心理上的恐慌，更是經濟上的重創。從此角度講，對網企來說，保護用戶就是保護自己；對政府來說，維護健康的互聯網行業，也是在維護健康的經濟。

那麼，就此次洩密事件看，工信部僅僅譴責和要求恐怕還不夠，還應及時出臺更具體切實的舉措及行業條例，推進相關立法，明確各方保護互聯網個人資訊的責任，用法律逼迫網站安全技術升級；同時也應讓那些不負責任的網站，依法受到懲罰。

大陸關於個人資訊保護的首個國家標準仍在制定階段。而現階段，網路漏洞的監控與管理仍需靠電商網站、互聯網企的自覺。如果說此次洩密事件也能「壞事變好事」的話，那就是將網企漠視用戶資訊安全的短板徹底暴露出來，倒逼網企重建行業倫理，將保護用戶的資訊安全權作為基本生存準則。

為了便於記憶，大部分用戶存在一個密碼（多是密文、部分網站是明文）通行多個網站的習慣，甚至使用相同的郵箱註冊不同網路服務，並且使用完全一樣的登錄密碼，這就好比用一把鑰匙就能打開所有的門。