中國(guó)互聯(lián)網(wǎng)最大規(guī)模的用戶(hù)資料泄露事件正在進(jìn)行時(shí)，自12月21日有黑客在網(wǎng)上公開(kāi)了開(kāi)發(fā)者技術(shù)社區(qū)CSDN用戶(hù)數(shù)據(jù)庫(kù)包括600余萬(wàn)個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼以來(lái)，上周末，又新增了十余家國(guó)內(nèi)知名網(wǎng)站涉入密碼外泄的消息。你的密碼改了嗎？已成為眾多網(wǎng)民最流行的相互問(wèn)候語(yǔ)。

事件回放

12月21日，黑客在網(wǎng)上公開(kāi)了CSDN網(wǎng)站用戶(hù)數(shù)據(jù)庫(kù)。12月21日晚間，CSDN在其官網(wǎng)上發(fā)表聲明承認(rèn)有約600萬(wàn)用戶(hù)密碼遭到外泄，且絕大部分是早年留存的明文密碼。

CSDN僅僅是一個(gè)開(kāi)始，緊接著在國(guó)內(nèi)著名的漏洞報(bào)告平臺(tái)wooyun曝出一組截圖，截圖中顯示，其中包括人人網(wǎng)、開(kāi)心網(wǎng)、多玩、世紀(jì)佳緣、珍愛(ài)網(wǎng)、美空網(wǎng)、百合網(wǎng)等數(shù)十家國(guó)內(nèi)知名網(wǎng)站數(shù)據(jù)庫(kù)可以通過(guò)訊雷下載。

25日，wooyun又曝出國(guó)內(nèi)知名社區(qū)天涯論壇4000萬(wàn)用戶(hù)賬號(hào)密碼郵箱明文保存的數(shù)據(jù)遭泄露。當(dāng)晚，天涯論壇在其官方微博發(fā)表聲明和致歉信稱(chēng)：“近日由于遭受黑客攻擊，有多家網(wǎng)站的部分用戶(hù)數(shù)據(jù)庫(kù)外泄，天涯也是受害網(wǎng)站之一。為確保您的隱私及賬戶(hù)安全，在此，我們懇請(qǐng)您盡快修改天涯社區(qū)相關(guān)賬戶(hù)的密碼?！?/P>

盡管人人網(wǎng)、開(kāi)心網(wǎng)、多玩網(wǎng)、貓撲等上榜的網(wǎng)站均對(duì)此予以否認(rèn)，僅有天涯社區(qū)和CSDN表明已向公安機(jī)關(guān)報(bào)案。隨著天涯用戶(hù)密碼遭到泄露，數(shù)據(jù)泄露的影響進(jìn)一步擴(kuò)大。也意味著大約超過(guò)5000萬(wàn)的用戶(hù)數(shù)據(jù)庫(kù)被泄露，同時(shí)被通過(guò)各種渠道擴(kuò)散和被人下載。正如國(guó)內(nèi)著名的開(kāi)源社區(qū)Chinaunix創(chuàng)始人之一竇喆在其微博上所調(diào)侃：“手里沒(méi)幾個(gè)密碼庫(kù)，都不好意思和同事聊天，連前臺(tái)都有幾個(gè)密碼庫(kù)了，讓我情何以堪?！?/P>

密碼的外泄一時(shí)引發(fā)互聯(lián)網(wǎng)上人人自危，互聯(lián)網(wǎng)安全公司紛紛拉響紅色預(yù)警。有網(wǎng)絡(luò)安全專(zhuān)家表示，此次泄露源于黑客入侵這些網(wǎng)站的數(shù)據(jù)庫(kù)服務(wù)器，盜取用戶(hù)數(shù)據(jù)庫(kù)等信息，其中包括注冊(cè)郵箱、用戶(hù)名、密碼（多是密文、部分網(wǎng)站是明文），并將這些數(shù)據(jù)在互聯(lián)網(wǎng)中進(jìn)行傳播。

蝴蝶效應(yīng)

此次曝出的用戶(hù)資料泄露事件，不過(guò)是冰山一角，網(wǎng)民之所以如此震驚，只不過(guò)是因?yàn)橐恢北幻稍诠睦锪T了。有知情人士稱(chēng)，“很多網(wǎng)站的數(shù)據(jù)庫(kù)不知道在黑市中被販賣(mài)了多少次了”。

有安全專(zhuān)家指出，這些數(shù)據(jù)泄露會(huì)造成蝴蝶效應(yīng)，當(dāng)過(guò)千萬(wàn)級(jí)的明文密碼、真實(shí)郵箱、網(wǎng)上常用ID暴露，如果有心人通過(guò)數(shù)據(jù)挖掘是能做出很多恐怖的事情的。你的密碼使用習(xí)慣被人知道，如生日、喜歡的人、手機(jī)號(hào)碼等等。你的ID和真實(shí)郵箱被泄露，那么你在網(wǎng)上所有的一切都有可能被人肉搜索，想想暗地里有一雙雙窺私的眼睛盯著你，隨時(shí)可能給你致命一擊，這是多么可怕的事情。

東軟網(wǎng)絡(luò)安全副總經(jīng)理曹鵬在其微博上表示：“最近這個(gè)月大量的用戶(hù)密碼信息被不斷曝光，再加上實(shí)名制和摻雜個(gè)人信息的網(wǎng)絡(luò)發(fā)帖使得人肉搜索更加容易，口令賬號(hào)被竊取就意味著個(gè)人信息泄露的源頭會(huì)被打開(kāi)，多套密碼加上多個(gè)馬甲看來(lái)還是有必要的，另外就是網(wǎng)絡(luò)世界也需要謹(jǐn)言慎行了。自己前段時(shí)間網(wǎng)絡(luò)交易差點(diǎn)被騙，最后通過(guò)人肉搜索逼迫無(wú)賴(lài)就擒。”

資深安全顧問(wèn)張百川在微博上道出了此次事件網(wǎng)民恐慌的原因，“CSDN暴露的僅僅是程序員為主體的密碼，群體少，且相當(dāng)一部分人的關(guān)鍵應(yīng)用用的是不同密碼;但是多玩、天涯等網(wǎng)站的用戶(hù)都是普通網(wǎng)民，安全意識(shí)很薄弱。也許，很多人的密碼被用來(lái)嘗試郵箱、相冊(cè)等，以及各種“云”系統(tǒng)：云盤(pán)、云CRM、云……網(wǎng)絡(luò)時(shí)代，安全是個(gè)大問(wèn)題?！?/P>

眾多網(wǎng)民習(xí)慣于一個(gè)密碼“走天下”，也就是說(shuō)在多個(gè)網(wǎng)站上注冊(cè)都使用相同的密碼，這其中也許包括了網(wǎng)銀、QQ、郵件等私密的密碼。此次事件的爆發(fā)，互聯(lián)網(wǎng)掀起了改密碼狂潮，也讓眾多網(wǎng)民過(guò)了一個(gè)最忙碌的“冬至”。

中國(guó)黑客教父、元老，知名網(wǎng)絡(luò)安全專(zhuān)家，綠色兵團(tuán)創(chuàng)始人，COG信息安全組織創(chuàng)建人龔蔚則表示，黑客一開(kāi)始或許是出于炫耀目的而向外公布網(wǎng)站數(shù)據(jù)庫(kù)，網(wǎng)站安全問(wèn)題是歷史累積的，累積到一定時(shí)間就會(huì)爆發(fā)。同時(shí)他表示，網(wǎng)絡(luò)犯罪投入成本低，隱蔽性強(qiáng)，所以打擊起來(lái)有難度。因此，網(wǎng)民要有自我保護(hù)意識(shí)，設(shè)置密碼時(shí)盡量不要使用簡(jiǎn)單單詞，也不要一個(gè)密碼在多個(gè)網(wǎng)站使用。

目前，多個(gè)網(wǎng)站開(kāi)始預(yù)警提醒用戶(hù)注意賬號(hào)安全，建議用戶(hù)盡快修改密碼。此外，還提示用戶(hù)設(shè)置的密碼不要過(guò)于簡(jiǎn)單，建議新密碼采用數(shù)字和字母組合的方式以增強(qiáng)安全性。有專(zhuān)家建議，盡量避免使用相同的用戶(hù)名和密碼來(lái)注冊(cè)所有的賬戶(hù)，并采用經(jīng)常更改密碼的方式，來(lái)規(guī)避不可預(yù)知的風(fēng)險(xiǎn)。

事件反思

解決此次事件所帶來(lái)的麻煩，僅僅改密碼就夠了嗎？盡管眾多上榜的網(wǎng)站均否認(rèn)數(shù)據(jù)庫(kù)被泄漏，但通過(guò)此次事件讓網(wǎng)民對(duì)網(wǎng)站的安全性提出了質(zhì)疑。暫且不論這些的網(wǎng)站出于什么動(dòng)機(jī)去明文存儲(chǔ)用戶(hù)的密碼。明文存儲(chǔ)密碼本身就是個(gè)致命的安全錯(cuò)誤。有不少網(wǎng)民對(duì)此表示憤怒，“明文存儲(chǔ)密碼簡(jiǎn)直是坑爹。”

深圳大成天下公司網(wǎng)絡(luò)安全技術(shù)專(zhuān)家吳魯加認(rèn)為，此次事件是黑客攻擊導(dǎo)致數(shù)據(jù)整體泄露的事件。由于的數(shù)據(jù)泄露，對(duì)企業(yè)和用戶(hù)實(shí)實(shí)在在地產(chǎn)生了重大的影響。吳魯加用木桶來(lái)比喻互聯(lián)網(wǎng)。他說(shuō)，互聯(lián)網(wǎng)用戶(hù)的隱私短板，不再取決于單一企業(yè)，而是取決于所有這些握有大量用戶(hù)信息的企業(yè)中的最短板。

近年來(lái)，由于金錢(qián)利益的驅(qū)動(dòng)及非法地下交易市場(chǎng)，黑客攻擊目標(biāo)從普通用戶(hù)轉(zhuǎn)向具有更多用戶(hù)資料的企業(yè)數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)的安全防護(hù)也一直被列為企業(yè)IT部門(mén)的重要工作之一，但是防范措施和安全投入?yún)s參差不齊。

北京明朝萬(wàn)達(dá)科技有限公司董事長(zhǎng)王志海一語(yǔ)道破目前眾多互聯(lián)網(wǎng)對(duì)安全不重視的弊端，“CSDN這次泄密不是技術(shù)問(wèn)題，是態(tài)度意識(shí)問(wèn)題?！蓖瑫r(shí)他指出，目前大部分人面對(duì)安全顧問(wèn)，習(xí)慣的反應(yīng)是我沒(méi)有什么系統(tǒng)或數(shù)據(jù)需要保護(hù)的。CSDN事件再次警醒，我們現(xiàn)在最缺的不是什么先進(jìn)的安全技術(shù)，而是基本的安全意識(shí)。如果能夠?qū)崒?shí)在在地把現(xiàn)有安全措施用上，絕大部分安全事件都不會(huì)發(fā)生。

百度PHP高級(jí)顧問(wèn)惠新宸則指出，安全意識(shí)是一個(gè)程序員的基本素養(yǎng)，它應(yīng)該成為你的本能，時(shí)時(shí)刻刻地灌注到你的每一行可能產(chǎn)生taintedstring的代碼中。而不應(yīng)該假手，依賴(lài)于安全工程師。

知名信息安全專(zhuān)家彭泉給出了防范之道：“我覺(jué)得最簡(jiǎn)單的就是讓黑客即使觸及到數(shù)據(jù)庫(kù)也無(wú)法“看懂”，即對(duì)用戶(hù)名、密碼、郵箱、身份信息全部加密，而且變形加密，然后可再配合數(shù)據(jù)分散存儲(chǔ)?！彼袊@到，到目前為止，還未有此事件涉及的公司公布或說(shuō)明數(shù)據(jù)庫(kù)泄露過(guò)程的技術(shù)審計(jì)結(jié)果，這是此事件最大的悲哀。

通過(guò)此次中國(guó)互聯(lián)網(wǎng)最大的用戶(hù)數(shù)據(jù)泄露事件暴露出這些網(wǎng)站在運(yùn)用各種方式吸引用戶(hù)，增加網(wǎng)站注冊(cè)人數(shù)、提升人氣的同時(shí)，完全忽視了安全的必要性，無(wú)疑是對(duì)用戶(hù)信息安全的公然漠視。此次事件給眾多互聯(lián)網(wǎng)企業(yè)及網(wǎng)站敲響了警鐘。最后引用知名網(wǎng)絡(luò)安全專(zhuān)家Coolfire的話(huà)：“身為程序員，不否認(rèn)自己也曾犯過(guò)同樣的錯(cuò)，某些小小系統(tǒng)仍使用明文存儲(chǔ)密碼，成本是主要考量。程序、心態(tài)都一起升級(jí)吧。

更多信息請(qǐng)查看IT技術(shù)專(zhuān)欄