中國互聯(lián)網(wǎng)最大規(guī)模的用戶資料泄露事件正在進行時，自12月21日有黑客在網(wǎng)上公開了開發(fā)者技術(shù)社區(qū)CSDN用戶數(shù)據(jù)庫包括600余萬個明文的注冊郵箱賬號和密碼以來，上周末，又新增了十余家國內(nèi)知名網(wǎng)站涉入密碼外泄的消息。你的密碼改了嗎？已成為眾多網(wǎng)民最流行的相互問候語。

事件回放

12月21日，黑客在網(wǎng)上公開了CSDN網(wǎng)站用戶數(shù)據(jù)庫。12月21日晚間，CSDN在其官網(wǎng)上發(fā)表聲明承認有約600萬用戶密碼遭到外泄，且絕大部分是早年留存的明文密碼。

CSDN僅僅是一個開始，緊接著在國內(nèi)著名的漏洞報告平臺wooyun曝出一組截圖，截圖中顯示，其中包括人人網(wǎng)、開心網(wǎng)、多玩、世紀佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)等數(shù)十家國內(nèi)知名網(wǎng)站數(shù)據(jù)庫可以通過訊雷下載。

25日，wooyun又曝出國內(nèi)知名社區(qū)天涯論壇4000萬用戶賬號密碼郵箱明文保存的數(shù)據(jù)遭泄露。當晚，天涯論壇在其官方微博發(fā)表聲明和致歉信稱：“近日由于遭受黑客攻擊，有多家網(wǎng)站的部分用戶數(shù)據(jù)庫外泄，天涯也是受害網(wǎng)站之一。為確保您的隱私及賬戶安全，在此，我們懇請您盡快修改天涯社區(qū)相關(guān)賬戶的密碼?！?/P>

盡管人人網(wǎng)、開心網(wǎng)、多玩網(wǎng)、貓撲等上榜的網(wǎng)站均對此予以否認，僅有天涯社區(qū)和CSDN表明已向公安機關(guān)報案。隨著天涯用戶密碼遭到泄露，數(shù)據(jù)泄露的影響進一步擴大。也意味著大約超過5000萬的用戶數(shù)據(jù)庫被泄露，同時被通過各種渠道擴散和被人下載。正如國內(nèi)著名的開源社區(qū)Chinaunix創(chuàng)始人之一竇喆在其微博上所調(diào)侃：“手里沒幾個密碼庫，都不好意思和同事聊天，連前臺都有幾個密碼庫了，讓我情何以堪?！?/P>

密碼的外泄一時引發(fā)互聯(lián)網(wǎng)上人人自危，互聯(lián)網(wǎng)安全公司紛紛拉響紅色預警。有網(wǎng)絡安全專家表示，此次泄露源于黑客入侵這些網(wǎng)站的數(shù)據(jù)庫服務器，盜取用戶數(shù)據(jù)庫等信息，其中包括注冊郵箱、用戶名、密碼（多是密文、部分網(wǎng)站是明文），并將這些數(shù)據(jù)在互聯(lián)網(wǎng)中進行傳播。

蝴蝶效應

此次曝出的用戶資料泄露事件，不過是冰山一角，網(wǎng)民之所以如此震驚，只不過是因為一直被蒙在鼓里罷了。有知情人士稱，“很多網(wǎng)站的數(shù)據(jù)庫不知道在黑市中被販賣了多少次了”。

有安全專家指出，這些數(shù)據(jù)泄露會造成蝴蝶效應，當過千萬級的明文密碼、真實郵箱、網(wǎng)上常用ID暴露，如果有心人通過數(shù)據(jù)挖掘是能做出很多恐怖的事情的。你的密碼使用習慣被人知道，如生日、喜歡的人、手機號碼等等。你的ID和真實郵箱被泄露，那么你在網(wǎng)上所有的一切都有可能被人肉搜索，想想暗地里有一雙雙窺私的眼睛盯著你，隨時可能給你致命一擊，這是多么可怕的事情。

東軟網(wǎng)絡安全副總經(jīng)理曹鵬在其微博上表示：“最近這個月大量的用戶密碼信息被不斷曝光，再加上實名制和摻雜個人信息的網(wǎng)絡發(fā)帖使得人肉搜索更加容易，口令賬號被竊取就意味著個人信息泄露的源頭會被打開，多套密碼加上多個馬甲看來還是有必要的，另外就是網(wǎng)絡世界也需要謹言慎行了。自己前段時間網(wǎng)絡交易差點被騙，最后通過人肉搜索逼迫無賴就擒?！?/P>

資深安全顧問張百川在微博上道出了此次事件網(wǎng)民恐慌的原因，“CSDN暴露的僅僅是程序員為主體的密碼，群體少，且相當一部分人的關(guān)鍵應用用的是不同密碼;但是多玩、天涯等網(wǎng)站的用戶都是普通網(wǎng)民，安全意識很薄弱。也許，很多人的密碼被用來嘗試郵箱、相冊等，以及各種“云”系統(tǒng)：云盤、云CRM、云……網(wǎng)絡時代，安全是個大問題。”

眾多網(wǎng)民習慣于一個密碼“走天下”，也就是說在多個網(wǎng)站上注冊都使用相同的密碼，這其中也許包括了網(wǎng)銀、QQ、郵件等私密的密碼。此次事件的爆發(fā)，互聯(lián)網(wǎng)掀起了改密碼狂潮，也讓眾多網(wǎng)民過了一個最忙碌的“冬至”。

中國黑客教父、元老，知名網(wǎng)絡安全專家，綠色兵團創(chuàng)始人，COG信息安全組織創(chuàng)建人龔蔚則表示，黑客一開始或許是出于炫耀目的而向外公布網(wǎng)站數(shù)據(jù)庫，網(wǎng)站安全問題是歷史累積的，累積到一定時間就會爆發(fā)。同時他表示，網(wǎng)絡犯罪投入成本低，隱蔽性強，所以打擊起來有難度。因此，網(wǎng)民要有自我保護意識，設置密碼時盡量不要使用簡單單詞，也不要一個密碼在多個網(wǎng)站使用。

目前，多個網(wǎng)站開始預警提醒用戶注意賬號安全，建議用戶盡快修改密碼。此外，還提示用戶設置的密碼不要過于簡單，建議新密碼采用數(shù)字和字母組合的方式以增強安全性。有專家建議，盡量避免使用相同的用戶名和密碼來注冊所有的賬戶，并采用經(jīng)常更改密碼的方式，來規(guī)避不可預知的風險。

事件反思

解決此次事件所帶來的麻煩，僅僅改密碼就夠了嗎？盡管眾多上榜的網(wǎng)站均否認數(shù)據(jù)庫被泄漏，但通過此次事件讓網(wǎng)民對網(wǎng)站的安全性提出了質(zhì)疑。暫且不論這些的網(wǎng)站出于什么動機去明文存儲用戶的密碼。明文存儲密碼本身就是個致命的安全錯誤。有不少網(wǎng)民對此表示憤怒，“明文存儲密碼簡直是坑爹。”

深圳大成天下公司網(wǎng)絡安全技術(shù)專家吳魯加認為，此次事件是黑客攻擊導致數(shù)據(jù)整體泄露的事件。由于的數(shù)據(jù)泄露，對企業(yè)和用戶實實在在地產(chǎn)生了重大的影響。吳魯加用木桶來比喻互聯(lián)網(wǎng)。他說，互聯(lián)網(wǎng)用戶的隱私短板，不再取決于單一企業(yè)，而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板。

近年來，由于金錢利益的驅(qū)動及非法地下交易市場，黑客攻擊目標從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫，數(shù)據(jù)庫的安全防護也一直被列為企業(yè)IT部門的重要工作之一，但是防范措施和安全投入?yún)s參差不齊。

北京明朝萬達科技有限公司董事長王志海一語道破目前眾多互聯(lián)網(wǎng)對安全不重視的弊端，“CSDN這次泄密不是技術(shù)問題，是態(tài)度意識問題?！蓖瑫r他指出，目前大部分人面對安全顧問，習慣的反應是我沒有什么系統(tǒng)或數(shù)據(jù)需要保護的。CSDN事件再次警醒，我們現(xiàn)在最缺的不是什么先進的安全技術(shù)，而是基本的安全意識。如果能夠?qū)崒嵲谠诘匕熏F(xiàn)有安全措施用上，絕大部分安全事件都不會發(fā)生。

百度PHP高級顧問惠新宸則指出，安全意識是一個程序員的基本素養(yǎng)，它應該成為你的本能，時時刻刻地灌注到你的每一行可能產(chǎn)生taintedstring的代碼中。而不應該假手，依賴于安全工程師。

知名信息安全專家彭泉給出了防范之道：“我覺得最簡單的就是讓黑客即使觸及到數(shù)據(jù)庫也無法“看懂”，即對用戶名、密碼、郵箱、身份信息全部加密，而且變形加密，然后可再配合數(shù)據(jù)分散存儲。”他感嘆到，到目前為止，還未有此事件涉及的公司公布或說明數(shù)據(jù)庫泄露過程的技術(shù)審計結(jié)果，這是此事件最大的悲哀。

通過此次中國互聯(lián)網(wǎng)最大的用戶數(shù)據(jù)泄露事件暴露出這些網(wǎng)站在運用各種方式吸引用戶，增加網(wǎng)站注冊人數(shù)、提升人氣的同時，完全忽視了安全的必要性，無疑是對用戶信息安全的公然漠視。此次事件給眾多互聯(lián)網(wǎng)企業(yè)及網(wǎng)站敲響了警鐘。最后引用知名網(wǎng)絡安全專家Coolfire的話：“身為程序員，不否認自己也曾犯過同樣的錯，某些小小系統(tǒng)仍使用明文存儲密碼，成本是主要考量。程序、心態(tài)都一起升級吧。

更多信息請查看IT技術(shù)專欄