2011年的岁末，一场不断升级的密码泄露事件，让2011年的互联网“永不寂寞”。从12月21日到12月29日，短短几天，绝大部分知名网站全部沦陷，无一幸免。CSDN、多玩、178游戏、17173、天涯、当当、京东、卓越……这是黑客引起的、网站领导的网民更改密码“运动”，让全体网民又有了一次自嘲式的狂欢。

　　用户信息在互联网上快速传递，好事者更是更改了他人的用户密码，让一些人永远无法再取回自己的账号，有的老网民甚至被抹去了互联网的最初记忆。

　　这一次，互联网企业的安全短板暴露无遗。互联网公司中有3人来专职负责网站安全的规模都是一种奢侈，5人以上算是豪华配制，10人的安全团队只有3家。

　　一份来自知名券商的报告显示，目前，国内互联网公司的安全支出仅占IT支出的1%，而目前，欧美国家的安全支出占到整个IT支出的8%~10%.

　　面对大规模的用户信息泄露，企业责无旁贷。但“脆弱”的它们根本无法抵抗“黑客”来袭，甚至是无意识的“缴械投降”。

　　问责，问责。在这样的风口浪尖，它们几乎都选择沉默，无一企业坦承自己的安全支出明细。内部，各大互联网公司开始了“自查、自究”风暴，希望能够在2012年来临时，获得那张通往安全的船票。

　　集体沦陷

　　本次黑客公布了约有1亿个用户账号及密码相关信息

　　2011年12月21日，金山毒霸产品经理韩正奇在一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。同时，他把QQ群内要用迅雷专用工具下载的链接，转换成迅雷快传的下载链接，发到一个朋友圈内的QQ群。

　　仅仅几分钟，韩正奇传的文件就在专业安全网站“乌云”（wooyun.org）上出现了截图。迅雷不及掩耳，一份包含了600万用户信息的CSDN用户库在互联网上迅速流传。

　　无论是黑客之间出于“互相炫耀”的心理，还是传说某个商业组织的背后推动，许多原本被装在“安全盒子”里、处于隐秘地方的用户数据库一一被暴晒在阳光下。

　　2011年12月23日，多玩、梦幻西游通过木马泄露。此后，7K7K、178游戏、人人、猫扑、世纪佳缘等等，全国各大知名网站几乎全部沦陷。

　　2011年12月25日，天涯被爆其4000万用户数据泄露，这占到其总体6000万用户的60%.

　　同月26日，当当、京东、凡客等一线电商被推上了风口浪尖。它们爆出用户信息泄露，这其中包括真实姓名、电话号码和收货地址。

　　同月29日，中国工商银行、交通银行、民生银行被爆出客户信息泄露。就连，通往全球的广东省出入境也有444万用户信息疑被泄露。

　　“每个互联网公司的用户和密码都有泄露，只是规模大小。”采访中，一位在安全行业多年的工程师告诉记者，大网站、大公司在安全这件事上也不可信。

　　在密码门事件期间，中国黑客教父goodwell接受媒体采访时称，本次黑客公布了约有1亿个用户账号及密码相关信息，预计“地下黑客”已经掌握了更多的互联网用户账号信息。

　　在使用“密码泄露查询工具”后，不少网民在微博上坦露心声，自己不止一家网站的用户名与密码泄露。出于方便易记，许多网民将用户名与密码统一起来，或者互相关联。有的使用邮箱进行互相关联。

　　一位不愿意透露名字的CSDN用户更是苦不堪言，她的CSDN账户信息被泄露，通过一连串关联，搜狐、Gmai、网易、雅虎等邮箱全部无法登录。这些邮 箱是她登录论坛、SNS、支付宝，以及各种购物网站的方式，“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联，她无法通过密码取回的方式来 取回这些邮箱。于是，“一门攻破，全城皆失”。

　　危险，并不止于此。智能手机闯入生活，手机开始逐步成为大众互联网生活的主要载体。 “手机上的信息泄露将会更严重，除了泄露用户名和密码，还可以泄露位置。”云计算安全厂商星云融创CEO马杰告诉记者。

　　目前，PC上的操作系统比较集中（win90%、MAC接近10%、linux是0.1%）。由于操作系统的“独霸天下”，杀毒软件也会比较完善。但是，手机操作系统种类较多，各种APP应用纷繁杂陈。由于安全软件的不完善，许多黑客就盯上了这一有利时机。

　　“目前，手机上的安全问题并没有全面爆发，但是一旦上网资费大幅下降，手机用户可以‘随时在线’，那么手机黑客产业链也会迅速成熟。”马杰告诉记者，现 在智能手机的CPU统一到arm架构上，芯片有高通、联发科等厂商，操作系统是iOS、Andriod、Windows，它们都在快速融合，这给黑客节省 了“逐个攻破”的成本。

　　“手机扣费、扣流量都是SP时代玩的花样，智能手机还会带来更多的‘黑客’玩法，如查询用户常去的区域、GPS跟踪、手机购物等等。”星云融创营销总监孙大伟告诉记者。

　　“我们会生活在一个透明、没有隐私的世界里。”就像电影《楚门的世界》里那样，我们都生活在他人的“监视”之下，只要别人有这样的想法。

　　企业问责

　　提供互联网服务的公司无论免费，还是付费，在法律上都有责任保护用户信息

　　此次暴露出来的CSDN、天涯等网站的用户信息都采用“明文密码”的方式编写。黑客可以轻而易举地攻击网站，拿到用户数据，而“明文密码”根本用不着破解，用户名和密码可以直接读取出来。

　　“明文方式是极不负责任的做法，企业应该对用户负全责……”知名IT律师赵占领认为，如果企业对密码进行加密，并设有防火墙，在黑客进行攻击时给予了“抵抗”。如果做到了这些，才算尽到了基本的责任。

　　不仅如此，“这些企业没有采取有效的补救措施。”赵占领说，修改密码、取回账户的措施还是用户自己来做的。

　　本报记者采访了10多位密码被泄露的用户，有的“改密码改到手软”；有的冻结了网银，以及一切有过网上交易的银行卡、信用卡；有的“处变不惊”，逢人便说：“改密码有何用，改了还会泄露”；有的更是掷出豪言，“哥我不改了，裸奔就裸奔吧”。

　　据记者了解，泄露的网站主要通过站内信、公告、邮箱等方式来通知用户。但公告通知的范围有限，活跃用户会看到公告，但是不活跃的用户，甚至连自己的用户名与密码都忘记了。

　　对于已经是“公开库”的CSDN与天涯来说，由于用户名与密码已经泄露，会使得许多邮箱无故被盗，往邮箱里发邮件，真正的收件人是黑客，或者好事者。

本文地址：http://www.stuhack.com/seo/xinwen/71148.html

免责声明：本文仅代表作者个人观点，与本站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。