2011年的歲末，一場不斷升級的密碼泄露事件，讓2011年的互聯(lián)網(wǎng)“永不寂寞”。從12月21日到12月29日，短短幾天，絕大部分知名網(wǎng)站全部淪陷，無一幸免。CSDN、多玩、178游戲、17173、天涯、當(dāng)當(dāng)、京東、卓越……

這是黑客引起的、網(wǎng)站領(lǐng)導(dǎo)的網(wǎng)民更改密碼“運(yùn)動”，讓全體網(wǎng)民又有了一次自嘲式的狂歡。

用戶信息在互聯(lián)網(wǎng)上快速傳遞，好事者更是更改了他人的用戶密碼，讓一些人永遠(yuǎn)無法再取回自己的賬號，有的老網(wǎng)民甚至被抹去了互聯(lián)網(wǎng)的最初記憶。

這一次，互聯(lián)網(wǎng)企業(yè)的安全短板暴露無遺。互聯(lián)網(wǎng)公司中有3人來專職負(fù)責(zé)網(wǎng)站安全的規(guī)模都是一種奢侈，5人以上算是豪華配制，10人的安全團(tuán)隊只有3家。

一份來自知名券商的報告顯示，目前，國內(nèi)互聯(lián)網(wǎng)公司的安全支出僅占IT支出的1%，而目前，歐美國家的安全支出占到整個IT支出的8%~10%。

面對大規(guī)模的用戶信息泄露，企業(yè)責(zé)無旁貸。但“脆弱”的它們根本無法抵抗“黑客”來襲，甚至是無意識的“繳械投降”。

問責(zé)，問責(zé)。在這樣的風(fēng)口浪尖，它們幾乎都選擇沉默，無一企業(yè)坦承自己的安全支出明細(xì)。內(nèi)部，各大互聯(lián)網(wǎng)公司開始了“自查、自究”風(fēng)暴，希望能夠在2012年來臨時，獲得那張通往安全的船票。

集體淪陷

本次黑客公布了約有1億個用戶賬號及密碼相關(guān)信息

2011年12月21日，金山毒霸產(chǎn)品經(jīng)理韓正奇在一個網(wǎng)絡(luò)安全相關(guān)的QQ群內(nèi)下載了一份CSDN用戶賬號密碼文件。同時，他把QQ群內(nèi)要用迅雷專用工具下載的鏈接，轉(zhuǎn)換成迅雷快傳的下載鏈接，發(fā)到一個朋友圈內(nèi)的QQ群。

僅僅幾分鐘，韓正奇?zhèn)鞯奈募驮趯I(yè)安全網(wǎng)站“烏云”(wooyun.org)上出現(xiàn)了截圖。迅雷不及掩耳，一份包含了600萬用戶信息的CSDN用戶庫在互聯(lián)網(wǎng)上迅速流傳。

無論是黑客之間出于“互相炫耀”的心理，還是傳說某個商業(yè)組織的背后推動，許多原本被裝在“安全盒子”里、處于隱秘地方的用戶數(shù)據(jù)庫一一被暴曬在陽光下。

2011年12月23日，多玩、夢幻西游通過木馬泄露。此后，7K7K、178游戲、人人、貓撲、世紀(jì)佳緣等等，全國各大知名網(wǎng)站幾乎全部淪陷。

同月26日，當(dāng)當(dāng)、京東、凡客等一線電商被推上了風(fēng)口浪尖。它們爆出用戶信息泄露，這其中包括真實姓名、電話號碼和收貨地址。

同月29日，中國工商銀行、交通銀行、民生銀行被爆出客戶信息泄露。就連，通往全球的廣東省出入境也有444萬用戶信息疑被泄露。

“每個互聯(lián)網(wǎng)公司的用戶和密碼都有泄露，只是規(guī)模大小。”采訪中，一位在安全行業(yè)多年的工程師告訴記者，大網(wǎng)站、大公司在安全這件事上也不可信。

在密碼門事件期間，中國黑客教父goodwell接受媒體采訪時稱，本次黑客公布了約有1億個用戶賬號及密碼相關(guān)信息，預(yù)計“地下黑客”已經(jīng)掌握了更多的互聯(lián)網(wǎng)用戶賬號信息。

在使用“密碼泄露查詢工具”后，不少網(wǎng)民在微博上坦露心聲，自己不止一家網(wǎng)站的用戶名與密碼泄露。出于方便易記，許多網(wǎng)民將用戶名與密碼統(tǒng)一起來，或者互相關(guān)聯(lián)。有的使用郵箱進(jìn)行互相關(guān)聯(lián)。

一位不愿意透露名字的CSDN用戶更是苦不堪言，她的CSDN賬戶信息被泄露，通過一連串關(guān)聯(lián)，搜狐、Gmai、網(wǎng)易、雅虎等郵箱全部無法登錄。這些郵箱是她登錄論壇、SNS、支付寶，以及各種購物網(wǎng)站的方式，“綁定”了她所有的互聯(lián)網(wǎng)生活。由于各個郵箱之間錯綜復(fù)雜的關(guān)聯(lián)，她無法通過密碼取回的方式來取回這些郵箱。于是，“一門攻破，全城皆失”。

危險，并不止于此。智能手機(jī)闖入生活，手機(jī)開始逐步成為大眾互聯(lián)網(wǎng)生活的主要載體。 “手機(jī)上的信息泄露將會更嚴(yán)重，除了泄露用戶名和密碼，還可以泄露位置?！痹朴嬎惆踩珡S商星云融創(chuàng)CEO馬杰告訴記者。

目前，PC上的操作系統(tǒng)比較集中(win90%、MAC接近10%、linux是0.1%)。由于操作系統(tǒng)的“獨霸天下”，殺毒軟件也會比較完善。但是，手機(jī)操作系統(tǒng)種類較多，各種APP應(yīng)用紛繁雜陳。由于安全軟件的不完善，許多黑客就盯上了這一有利時機(jī)。

“目前，手機(jī)上的安全問題并沒有全面爆發(fā)，但是一旦上網(wǎng)資費大幅下降，手機(jī)用戶可以‘隨時在線’，那么手機(jī)黑客產(chǎn)業(yè)鏈也會迅速成熟?！瘪R杰告訴記者，現(xiàn)在智能手機(jī)的CPU統(tǒng)一到ARM架構(gòu)上，芯片有高通、聯(lián)發(fā)科等廠商，操作系統(tǒng)是iOS、Andriod、Windows，它們都在快速融合，這給黑客節(jié)省了“逐個攻破”的成本。

“手機(jī)扣費、扣流量都是SP時代玩的花樣，智能手機(jī)還會帶來更多的‘黑客’玩法，如查詢用戶常去的區(qū)域、GPS跟蹤、手機(jī)購物等等。”星云融創(chuàng)營銷總監(jiān)孫大偉告訴記者。

“我們會生活在一個透明、沒有隱私的世界里。”就像電影《楚門的世界》里那樣，我們都生活在他人的“監(jiān)視”之下，只要別人有這樣的想法。

企業(yè)問責(zé)

提供互聯(lián)網(wǎng)服務(wù)的公司無論免費，還是付費，在法律上都有責(zé)任保護(hù)用戶信息

此次暴露出來的CSDN、天涯等網(wǎng)站的用戶信息都采用“明文密碼”的方式編寫。黑客可以輕而易舉地攻擊網(wǎng)站，拿到用戶數(shù)據(jù)，而“明文密碼”根本用不著破解，用戶名和密碼可以直接讀取出來。

“明文方式是極不負(fù)責(zé)任的做法，企業(yè)應(yīng)該對用戶負(fù)全責(zé)。?！敝鸌T律師趙占領(lǐng)認(rèn)為，如果企業(yè)對密碼進(jìn)行加密，并設(shè)有防火墻，在黑客進(jìn)行攻擊時給予了“抵抗”。如果做到了這些，才算盡到了基本的責(zé)任。

不僅如此，“這些企業(yè)沒有采取有效的補(bǔ)救措施。”趙占領(lǐng)說，修改密碼、取回賬戶的措施還是用戶自己來做的。

本報記者采訪了10多位密碼被泄露的用戶，有的“改密碼改到手軟”;有的凍結(jié)了網(wǎng)銀，以及一切有過網(wǎng)上交易的銀行卡、信用卡;有的“處變不驚”，逢人便說：“改密碼有何用，改了還會泄露”;有的更是擲出豪言，“哥我不改了，裸奔就裸奔吧”。

據(jù)記者了解，泄露的網(wǎng)站主要通過站內(nèi)信、公告、郵箱等方式來通知用戶。但公告通知的范圍有限，活躍用戶會看到公告，但是不活躍的用戶，甚至連自己的用戶名與密碼都忘記了。

對于已經(jīng)是“公開庫”的CSDN與天涯來說，由于用戶名與密碼已經(jīng)泄露，會使得許多郵箱無故被盜，往郵箱里發(fā)郵件，真正的收件人是黑客，或者好事者。

CSDN總裁蔣濤坦承，泄露之后，補(bǔ)救工作不容易。信息泄露后，他立刻找到網(wǎng)易、QQ、263、新浪等郵件服務(wù)商進(jìn)行郵箱通知，爭取讓真正的用戶能夠收到修改密碼的通知。

馬杰告訴記者，機(jī)器無法識別登錄的用戶是被盜用戶，還是黑客。雖然可以通過訪問行為的對比，來判斷這個用戶是不是之前那個用戶，以此來追蹤可疑的行為，但操作起來費時費力、可行性不大。

在法律上，網(wǎng)站的密碼是被黑客竊取，雖然企業(yè)不必?fù)?dān)負(fù)刑事責(zé)任，但也需要擔(dān)負(fù)民事責(zé)任，或者受到行政處罰?！壁w占領(lǐng)指出，用戶只需要證明自己的用戶名與密碼被盜，并且還是網(wǎng)站的過錯，就能夠進(jìn)行民事訴訟，即便密碼泄露沒有造成經(jīng)濟(jì)損失。

但有的用戶覺得自己使用的是“免費”產(chǎn)品，從道德上，沒有理由將這些網(wǎng)站對簿公堂。有的網(wǎng)站甚至在“注冊協(xié)議”中更是借用“免費”的旗號，將一些基本的法律義務(wù)推脫干凈。

“免費也是一種‘服務(wù)合同’關(guān)系，QQ、MSN是‘授權(quán)使用’的關(guān)系，在法律上都存在合約。”趙占領(lǐng)指出，提供互聯(lián)網(wǎng)服務(wù)的公司無論免費，還是付費，在法律上都有責(zé)任保護(hù)用戶信息。

但現(xiàn)實是，絕大多數(shù)網(wǎng)民都自認(rèn)倒霉，無意維權(quán)。“用戶往往損失了幾十元，但如果要維權(quán)，則需要花費幾百元，甚至上千元的成本?！壁w占領(lǐng)說，這其中還不包括時間成本。

目前，歐美、日本對個人隱私的立法比較完備。無論是“被動”，還是“主動”，一旦網(wǎng)站泄漏了用戶信息，網(wǎng)站將面臨重額的經(jīng)濟(jì)處罰。

2011年4月，索尼PS3有7700萬用戶信息遭竊，后來索尼正式道歉并對用戶做出補(bǔ)償。有預(yù)計稱，索尼將賠償245億美元。

2004年，日本雅虎約有460萬用戶的個人信息外漏，日本雅虎向每位用戶“賠償”6美元的購物券，這才息事寧人。

“安全廠商應(yīng)該加強(qiáng)對員工的管理?！瘪R杰告訴記者，一般，安全公司與員工簽訂合約時都有個協(xié)議，保證在任職期間，不從事任何有違反公眾安全的事情，不從事黑客的行為。

安全支出不足1%

“國內(nèi)公司在安全上的投入的確比較少。”一位在國內(nèi)知名互聯(lián)網(wǎng)公司負(fù)責(zé)安全的技術(shù)總監(jiān)坦承。

從論壇、BBS到SNS、電商，各個網(wǎng)站對安全的IT支出都很少。在給本報的書面回復(fù)中，天涯相關(guān)負(fù)責(zé)人透露，天涯的安全支出是100萬。京東、當(dāng)當(dāng)、多玩、CSDN等公司都對自己的安全支出諱莫如深。

據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù)，目前中國互聯(lián)網(wǎng)公司的信息安全支出，在整體IT支出中的比例不到1%，歐美的比例是8%~10%。而國內(nèi)，對安全性要求比較高的金融行業(yè)，其安全支出在整個IT支出中占到10%。

互聯(lián)網(wǎng)行業(yè)的安全投入“囊中羞澀”，甚至無法跟上業(yè)務(wù)的發(fā)展步伐。據(jù)一位行業(yè)人士透露，目前大型B2C購物網(wǎng)站每年的安全投入不過幾百萬，有的甚至只有幾十萬。但實際上，這些公司每年的安全運(yùn)維投入需要達(dá)到千萬元級別，小一點的網(wǎng)站也需要幾百萬。

一位互聯(lián)網(wǎng)安全工程師告訴記者：“大多數(shù)互聯(lián)網(wǎng)網(wǎng)站通過外部的掃描工具就可以發(fā)現(xiàn)有明顯的漏洞?！彼麘蛑o道，百度這樣的網(wǎng)站都被“黑”過，其他網(wǎng)站自然是慘不忍睹。

來自360的報告也印證了這一點。360網(wǎng)站安全檢測平臺的分析顯示，“國內(nèi)83%以上的網(wǎng)站存在各種安全漏洞，大部分網(wǎng)站基礎(chǔ)防護(hù)能力薄弱;國內(nèi)中小型網(wǎng)站普遍沒有專職的安全工程師維護(hù)，光靠服務(wù)器配置防火墻和入侵檢測設(shè)備，無法有效防御黑客的入侵?！?/p>

“目前，只有騰訊、阿里、百度有10位專職安全工程師，安全防護(hù)能力較強(qiáng)。其他的互聯(lián)網(wǎng)上市公司也只有3位~5位專職工程師，有的甚至沒有?！鼻拔乃龅幕ヂ?lián)網(wǎng)工程師告訴記者，在互聯(lián)網(wǎng)企業(yè)有5位安全工程師，都算是豪華陣容，相當(dāng)奢侈。

具體來看，“目前，國內(nèi)只有幾家網(wǎng)站有中高級別的專業(yè)安全防護(hù)能力、只有瀏覽量在前100的網(wǎng)站有自己專業(yè)的初級安全、運(yùn)維人員，前1000的網(wǎng)站有安全產(chǎn)品或服務(wù)的采購，大部分網(wǎng)站都沒有專業(yè)的安全團(tuán)隊。”這位互聯(lián)網(wǎng)安全工程師說道。

“不少網(wǎng)站有著僥幸心理?！币晃话踩髽I(yè)技術(shù)總監(jiān)告訴記者，IT技術(shù)人才基本集中在IT圈，IT圈覺得自己不去攻擊別的行業(yè)就不錯了，根本沒想過自己會被攻擊。

出于這樣自信的“潛意識”，在規(guī)?？焖贁U(kuò)張的直接驅(qū)動下，網(wǎng)站往往將IT支出放在系統(tǒng)擴(kuò)容上，在電商類網(wǎng)站尤其如此。在IT支出的硬件、軟件、服務(wù)/人員三項中，目前，絕大部分支出還集中于硬件，其他兩項支出比較少，有的甚至比例更低。

從另一方面來看，建立自己的安全運(yùn)維團(tuán)隊，需要很大的投入，這也讓互聯(lián)網(wǎng)公司望而卻步。馬杰告訴記者，企業(yè)級的安全防護(hù)設(shè)備價格高，一臺設(shè)備一般需要幾十萬，甚至幾百萬。并且，這些網(wǎng)站需要閑置出90%的資源，才能保證峰值時能夠訪問正常。為此投入的金錢就像個“無底洞”。此外，維護(hù)的費用支出也相當(dāng)高，這其中主要人力成本，一般一位工程師年薪需要十幾萬元到二十萬元不等，一個網(wǎng)站至少需要3位專業(yè)安全工程師。

“互聯(lián)網(wǎng)公司對自身的安全內(nèi)部結(jié)構(gòu)認(rèn)識有缺陷?！瘪R杰認(rèn)為，安全最基本的原則應(yīng)該是假設(shè)網(wǎng)站被黑，黑客侵入進(jìn)來，那么如何控制受損的范圍。網(wǎng)站也應(yīng)知道，哪一個區(qū)域不能放明文，而應(yīng)該放到與網(wǎng)站服務(wù)器之外，進(jìn)行物理隔離。但實際上，不少網(wǎng)站做安全并沒有從“這個假設(shè)”出發(fā)。

“現(xiàn)在，很多網(wǎng)站的運(yùn)維工程師也做著一部分初級安全維護(hù)的事情，但遠(yuǎn)遠(yuǎn)不夠。”馬杰認(rèn)為，安全與運(yùn)維并不相同。安全是動態(tài)的，面對的不是正常的訪問、攻擊、資料的竊取等活動。而運(yùn)維的目的是保證服務(wù)器能夠被正常訪問。許多互聯(lián)網(wǎng)公司將運(yùn)維人員當(dāng)作安全人員來使用，孰不知，安全需要專業(yè)團(tuán)隊。

IT支出“薄如蟬翼”，使得網(wǎng)站的安全性大打折扣，這才讓用戶信息的大規(guī)模泄漏成為可能。

“這一次互聯(lián)網(wǎng)公司可以僥幸逃過，未來則不一定?！壁w占領(lǐng)告訴記者，目前，工業(yè)和信息化部正在起草個人信息保護(hù)條例，未來從法律、法規(guī)上來保護(hù)用戶的權(quán)利。事發(fā)之后，政府還可以進(jìn)行行政處罰。

2011年12月28日，工業(yè)和信息化部發(fā)布通告稱，用戶信息泄露事件嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益，危害互聯(lián)網(wǎng)安全。工信部對竊取和泄露用戶信息的行為表示強(qiáng)烈譴責(zé)。同時，要求各互聯(lián)網(wǎng)站要開展全面的安全自查。

來源:21世紀(jì)經(jīng)濟(jì)報道 作者:強(qiáng)子

• 

  廣告合作

• 

  QQ群號：4114653