“改密碼改到手軟。”

　　在中關(guān)村上班的趙星不幸地成為了CSDN用戶泄密門的受害者，而他在人人網(wǎng)、網(wǎng)易郵箱、新浪微博、天涯社區(qū)……幾乎所有常用的網(wǎng)站用的都是同樣的ID和密碼，“密碼設(shè)成一樣就是想少點(diǎn)麻煩，現(xiàn)在卻成了最大的麻煩。”

　　趙星只是上千萬受害者中的一個(gè)，從2011年12月21日國內(nèi)最大的程序員網(wǎng)站CSDN用戶數(shù)據(jù)泄露后，天涯社區(qū)、開心網(wǎng)、多玩網(wǎng)、百合網(wǎng)、新浪微博等十幾家網(wǎng)站先后卷入其中，曬在網(wǎng)上的用戶信息條數(shù)已過億，成為中國互聯(lián)網(wǎng)史上最大規(guī)模的用戶信息泄露事件。而通過“泄密門”折射出的，則是整個(gè)中國互聯(lián)網(wǎng)企業(yè)自身安全的脆弱和對用戶數(shù)據(jù)安全保護(hù)的輕視。

　　“泄密門”持續(xù)蔓延

　　12月25日，天涯社區(qū)被爆4000萬用戶的賬號密碼郵箱遭泄露。隨后，天涯社區(qū)發(fā)布聲明，承認(rèn)網(wǎng)站信息被盜，但強(qiáng)調(diào)此次被盜的是2009年之前的備份數(shù)據(jù)，2010年之后，天涯升級改造了用戶賬號管理功能。據(jù)悉，天涯社區(qū)目前已就該事件向海南省公安廳和?？谑泄簿謭?bào)警。

　　與此同時(shí)，作為中國最大的社交網(wǎng)絡(luò)平臺之一，“新浪微博”上“密碼被泄”話題受持續(xù)關(guān)注，相關(guān)微博逾千萬條。眾多網(wǎng)友或?yàn)橘~號安全擔(dān)憂，或調(diào)侃天書似的“安全密碼”時(shí)不禁發(fā)問：互聯(lián)網(wǎng)安全這是怎么了?

　　對此，新浪方面在聲明中表示，新浪微博用戶賬號信息采用加密存儲，并未泄露，至于網(wǎng)上傳聞，經(jīng)核實(shí)后，確認(rèn)該份數(shù)據(jù)絕大部分不是新浪微博賬號。但新浪微博相關(guān)負(fù)責(zé)人提醒，目前可供用戶使用的互聯(lián)網(wǎng)服務(wù)很多，基本都通過用戶郵箱注冊。用戶可能在不同的網(wǎng)站注冊時(shí)，經(jīng)常會設(shè)置相同的密碼。這就導(dǎo)致一旦一個(gè)網(wǎng)站的密碼被盜，就可能導(dǎo)致多個(gè)網(wǎng)站的賬號都被盜。“近期發(fā)現(xiàn)的微博賬號被盜現(xiàn)象，很多都是這個(gè)原因?qū)е隆?rdquo;

　　12月26日，電子商務(wù)網(wǎng)站淘寶網(wǎng)、京東商城和美團(tuán)網(wǎng)也被爆受到影響。“互聯(lián)網(wǎng)泄密門”已開始波及電子商務(wù)、團(tuán)購網(wǎng)站。隨著各大網(wǎng)站相繼被“攻破”，一場互聯(lián)網(wǎng)年末恐慌如多米諾骨牌般迅速傳導(dǎo)。

　　在此次泄密事件中，很少有用戶能逃過一劫，尤其是老網(wǎng)民。面對網(wǎng)民們洶涌的查詢“熱情”，不少外泄密碼查詢網(wǎng)站也以調(diào)侃的方式奉勸用戶放棄僥幸心理，直接修改密碼。

　　明文密碼并非“禍?zhǔn)?rdquo;

　　幾百萬、上千萬的用戶賬號和密碼，究竟是如何從網(wǎng)站“流出”的?

　　已承認(rèn)用戶數(shù)據(jù)被盜的CSDN和天涯社區(qū)在對外說明中，除將矛頭指向攻擊網(wǎng)站的黑客外，都同時(shí)提及了“明文密碼”。CSDN和天涯社區(qū)在聲明中稱，因網(wǎng)站早期使用過明文密碼，所以導(dǎo)致用戶信息被盜。

　　“明文密碼就是不加密的密碼。”360網(wǎng)絡(luò)安全專家石曉虹說，最不安全的數(shù)據(jù)保存方式就是直接存儲明文，一旦數(shù)據(jù)庫泄露，黑客就可直接掌握所有的賬號和密碼信息，肆無忌憚地盜取用戶權(quán)益。這次“泄密門”之所以會涉及如此眾多用戶資料，密碼直接存儲明文只是誘因之一，更根本的原因是部分網(wǎng)站對于用戶賬號“重吸引輕保護(hù)”的態(tài)度。

　　隨著中國互聯(lián)網(wǎng)近年來快速發(fā)展，爭奪用戶成為每家網(wǎng)站迅速“長大”的重點(diǎn)。在風(fēng)投資金的催化作用下，巨大的用戶量是網(wǎng)站吸引更多風(fēng)投的資本。因此，網(wǎng)站紛紛簡化注冊過程，以擴(kuò)充注冊用戶數(shù)為第一要?jiǎng)?wù)。但與吸引用戶時(shí)的“揮金如土”不同，很多網(wǎng)站在用戶數(shù)據(jù)安全保護(hù)上的投入?yún)s是“錙銖必較”。

　　“小偷能偷到東西，不是因?yàn)槲覀儼彦X包放在了桌子上，而是因?yàn)榧依锏姆辣I門沒鎖。”一位業(yè)內(nèi)人士的話一針見血地指出，“泄密門”并不是因?yàn)橛脩裘艽a的保存方式，而是因?yàn)榫W(wǎng)站在信息安全保護(hù)上“偷工減料”。

　　“只有在國內(nèi)排行前100的網(wǎng)站，才有專門的安全團(tuán)隊(duì)，剩下的網(wǎng)站幾乎都是"不設(shè)防"。”這位人士透露，互聯(lián)網(wǎng)公司建立自己的安全運(yùn)維團(tuán)隊(duì)資金投入量很大，比如大型B2C購物網(wǎng)站每年的安全投入可達(dá)千萬元級別，普通網(wǎng)站要想免于黑客攻擊每年也要付出幾十萬元的成本。但是目前，許多小公司的安全投入最多幾十萬元，有的只有幾萬元，甚至有的互聯(lián)網(wǎng)公司連基本的公司防火墻都沒有設(shè)置，黑客進(jìn)出自由。

　　一些互聯(lián)網(wǎng)企業(yè)不重視用戶數(shù)據(jù)，是覺得安全對一個(gè)企業(yè)來說是要“花錢但不產(chǎn)生收入”的事情，即使用戶數(shù)據(jù)被盜，對企業(yè)來說也損失不大。因此，在安全防范方面投入非常少，即使在出事之后也不重視，而是想辦法遮掩。[nextpage]

　　千萬用戶數(shù)據(jù)能賣幾百萬元

　　與網(wǎng)站對于用戶信息安全保護(hù)的冷漠態(tài)度相比，活躍于互聯(lián)網(wǎng)各個(gè)角落的黑客對用戶數(shù)據(jù)庫卻很有“熱情”。

　　一位黑客“圈里人”告訴記者，目前黑客行業(yè)最賺錢的營生主要有三種，分別是安放木馬、設(shè)置釣魚網(wǎng)站和盜取數(shù)據(jù)庫信息，相比于前兩項(xiàng)生意，市場上對于數(shù)據(jù)庫信息的需求更多。

　　黑客從網(wǎng)站盜取用戶信息庫后，會把這些用戶信息倒賣、分銷給黑公關(guān)或釣魚集團(tuán)。前者利用這些用戶信息打擊競爭對手或發(fā)放垃圾廣告;后者則利用這些信息傳送木馬、病毒或發(fā)布詐騙信息，甚至直接在網(wǎng)上支付平臺自動批量發(fā)起交易，如果恰好試探出用戶泄露的密碼和網(wǎng)上支付密碼相同，支付賬戶中的余額就可能被黑客全部盜取。

　　“最多的時(shí)候，千萬級的用戶數(shù)據(jù)庫能賣幾百萬元。”這位黑客表示，從盜取到分銷再到獲利，“圈里”都有專人服務(wù)和特定的規(guī)則，早已成為“一條龍”產(chǎn)業(yè)。

　　同時(shí)，他還爆料，地方上一些小的團(tuán)購網(wǎng)站手里也收集了大量用戶資料，隨著這些團(tuán)購網(wǎng)站紛紛倒閉，這些用戶數(shù)據(jù)也成了“孤兒數(shù)據(jù)”，被放在網(wǎng)上公開叫賣。更要命的是，這些數(shù)據(jù)往往還都直接關(guān)聯(lián)著用戶的網(wǎng)銀賬戶和交易信息。

　　專家：立法治理用戶數(shù)據(jù)監(jiān)管缺位

　　面對還在持續(xù)發(fā)酵的“泄密門”，網(wǎng)友們正忙于修改自己的賬號密碼，而陷入其中的CSDN、天涯等網(wǎng)站卻在道了一聲歉后就此緘默。不少網(wǎng)友表示，數(shù)據(jù)是從網(wǎng)站泄露，網(wǎng)站應(yīng)承擔(dān)責(zé)任，并進(jìn)行一定的賠償，但又苦于拿不出相關(guān)證據(jù)和法律條文作支撐。

　　“目前法律對于普通用戶的信息安全保護(hù)還是一片空白。”社科院信息化研究所秘書長、互聯(lián)網(wǎng)專家姜奇平表示，除了國家相關(guān)機(jī)構(gòu)有保密法外，對于企業(yè)的用戶數(shù)據(jù)保護(hù)并沒有相應(yīng)的法律規(guī)定，甚至都沒有一套成形的行業(yè)準(zhǔn)則，各家網(wǎng)站都是各自為政。在沒有一個(gè)權(quán)威第三方的監(jiān)管之下，用戶數(shù)據(jù)安全目前處在一個(gè)“沒人管”的困局，因而這次“泄密門”中的受害用戶維權(quán)困難很大。

　　姜奇平認(rèn)為，“泄密門”事件凸顯出個(gè)人信息時(shí)代法規(guī)的缺失。2005年時(shí)，立法部門就曾推動過個(gè)人信息保護(hù)法的立法進(jìn)程，但一直未能正式出臺。此次“泄密門”給業(yè)界、網(wǎng)民和監(jiān)管部門都提了個(gè)醒，讓大家認(rèn)識到個(gè)人信息安全保護(hù)的重要性。他建議政府盡快立法，從權(quán)利保護(hù)、責(zé)任認(rèn)定、責(zé)任追究和法律保障上對個(gè)人信息予以保護(hù)，將個(gè)人、網(wǎng)站和監(jiān)管機(jī)構(gòu)所應(yīng)承擔(dān)的責(zé)任、義務(wù)厘清。

　　除此以外，姜奇平還建議以經(jīng)濟(jì)手段來打擊黑客，徹底掐斷地下的用戶信息買賣黑市渠道。