互联网的“2012” 泄密大事件

　1、CSDN泄密事件爆发

　　12月21日上午，一则关于黑客在网上公开了CSDN网站的用户数据库，其中包括600余万个注册邮箱账号和与之对应的明文密码的消息，被疯狂转载，随后，引起整个业界及数亿网民的关注。由于大部分用户在多个网站注册时采用了相同账号，百合网、人人网、开心网、珍爱网、世纪佳缘、多玩网、美空网等多家知名网站先后被卷入泄密风波，中国互联网史上最大的信息泄露事件由此爆发。

　　此次事件，之所引人关注，不光是其泄露的用户信息数量之大史无前例，更因为CSDN网站会员被泄露的600多万账号密码对应的都是明文密码，也就是说是这些密码并未经过后台的再次加密处理，普通人只要下载就都能看懂，并可直接通过他人的账号进行登录。面对突如其来的互联网账号大泄密，CSDN特向所有因此而受到影响的用户致以深深歉意，并声称已向公安机关报案，公安机关也正在调查相关线索，同时将现有2000万注册用户的账号密码数据库全部采取了密文保护和备份。但亡羊补牢，为时已晚，群情激奋的网友们对CSDN道歉并不买账，鉴于之前曾经发生过数据库泄密事件，网友们对CSDN屡犯低级错误表示难以原谅和不可理解。

　　令人费解的是，用户在网站注册时，往往填写密码用*号代替直接显示，而且网站还都宣称在后台会高度加密。同时CSDN网站会员囊括了中国地区90%以上的优秀程序员，应该有着最强势的优势资源，可为什么这么一个行业内的顶尖网站，后台的保护措施却简陋而脆弱？此次事件，透露出互联网企业，对用户上网信息隐私的保护毫无力度。

　　2、金山与360上演巅峰对决

　　就在CSDN数据库600多万用户资料一夜之间被黑客曝光之际，金山网络安全专家迅速接受了媒体的采访，表示，密码加密技术其实已经比较成熟，但是由于黑客已经收集了大量密码的明文和密文，并以此构建了庞大的数据库（在线密码字典），一些最简单的字串被许多黑客工具加到最简单的密码字典中，瞬间即可破解。

　　360安全卫士也在同一时间微博上发布紧急通知：告知广大用户作为国内最大的程序员网站CSDN,有600余万个明文的注册邮箱账号和密码被盗，提醒广大程序员务必重视并尽快修改密码，包括CSDN账号密码，以及采用相同注册邮箱和密码的其他网络账号，如邮箱、微博、购物网站、聊天软件等账号，以免蒙受盗号损失。

　　应当说，作为国内互联网知名的安全软件企业，能够在第一时间通过微博或其他方式将此次事件告知广大网民，是件幸事，至少让网民看到了互联网用户安全机构所承担的社会责任感。同时，也为消费者心中树立了一个良好的企业形象，做了一次很好品牌宣传。不过，随着事态的一步步向前迈进，当金山的工作人员成为此次媒介关注的焦点，直接被推到了风口浪尖时，其所树立的正面品牌形象在转瞬之间轰然倒塌。媒体与公众也由先前敬畏、信任变成了不满、敌视和责难。

　与此同时，奇虎360也爆出被黑客“脱裤”。黑客盗取的文件还显示，奇虎360私自收集用户隐私数据。

　　为了打压竞争对手，转移公众视线，奇虎将金山毒霸也拉下了水。借此转移用户对奇虎360泄露用户隐私事件的关注。此前，在浏览器漏洞事件中，奇虎360就有过类似的先例。

　　3、我的信息谁做主？

　　在大量用户数据被公开后，发现600万账户中，有239万人的密码和别人存在重复。在所有密码中，最简单好记的“123456789”使用率最高，有23.5万人在使用；其次为“12345678”有21万多人使用；“11111111”有7万多人使用。总之，使用相同数字或者相同字母如“aaaaaaaa”等安全性极差的密码的网民大有人在。

　　不少网民在众多网站中都是“一号通”，一旦一家网站用户数据被暴露，则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。

　　我的信息谁做主？尽管这则消息有善意提醒的本意，希望用户通过对密码的复杂设置，提高安全性，避免不必要的财产损失。但字理行间中，也颇有些本末倒置、推卸责任之嫌。仿佛将用户账号丢失，就此归结于密码设置过于简单化。

　　其实，用户设置何种密码，是用户的权益，不论简单、还是复杂、不论数字、还是英文，互联网企业都有义务保护用户信息不被泄露。

　　4、门户网站 变色龙式的应对

　　就在事件发生之初，尽管人人网、开心网、珍爱网以及世纪佳缘四家被传数据库泄露，但四家网站的相关工作人员均表示没有发现这样的情况。并表示“我们有强大的后台安全系统。但很快，人人网变卦了，其官方微博发表通知，建议人人网账号密码和CSDN或其他网站一致的用户修改密码。并称，其从未记录明文密码，不会泄露用户信息。没过多久，人人网再次变脸，认为多名用户账号被盗，是黑客从CSDN网站泄露的数据中，试出人人网的用户名的密码。建议在CSDN或者其他论坛等使用相同账号密码的用户的人人账号存在风险，请尽快修改”。多玩网数据泄露也直到12月25日才被证实。面对用户账号密码大面积泄露，各网站态度暧昧，值得揣味，除CSDN公开承认被攻击，表示道歉外，其他厂商无一例外都模糊回应，和公众玩起了“躲猫猫”。

　　就目前的事态来看，在用户数据库保护方面，厂商们所采用的安全措施实在太弱了。如果按照CSDN的说法，09年4月以后，不再使用明文密码，那为什么对于09年4月以前的不能进行改进处理，以更好的保护网民利益。这种置用户安全保障于不顾的行为方式，又给用户以何信心来使用网站服务？

　5、金山毒霸承认泄露用户隐私 否认员工是黑客

　　12月23日凌晨，金山毒霸官方微博发布声明承认，21日在迅雷提供CSDN数据库下载的发布者(迅雷ID：hzqedison)，正是金山员工韩某。金山毒霸与“hzqedison”同时表示，“韩某并非所谓黑客”，此次600万用户账号和密码遭泄露，“并未造成扩散”。

　　如果这真是虚惊一场，那么遭遇黑客攻击也就变成了一场传说。可回过头来想想，如果连金山公司的员工的都能轻而易举的获得大量的用户资料，那么，在利益的驱动下，我们又有什么理由不去相信黑客们可以通过频频攻击，也轻而易举地获得其他用户的账号、密码，而将这笔宝贵的互联网信息资源暗自兜售给其他不法分子，使得众多网民在精神和经济上蒙受重大损失。

　　即便没有任何黑客攻击，网站的工作人员自己就已全部知晓用户数据，这样薄弱的安全性，怎能让广大用户放心上网？实名注册？

　　6、互联网账号安全面临威胁微博实名制“首战受挫”

　　2011年12月16日，基于保护用户利益和构建网络诚信体系，北京市政府提出任何组织或者个人注册微博客账号，应当使用真实身份信息，网站开展微博客服务，应当保证注册用户信息真实。微博实名制由此发端。随后，北京运营的网易、搜狐、新浪三大门户网站相继启动微博用户实名认证，2011年12月22日，总部在深圳的腾讯微博也开始实名制认证。国内舆论对此甚嚣尘上的争论告一段落。微博实名制的落地，从一个侧面佐证了微博本身已经成为一种全民应用，一个信息聚合并快速发散的平台，已经具有异常强大的影响力，让用户在微博上的行为增加了一层为己负责的控制。

　　但好景不长，微博实名制仅仅落地4天，2011年12月20日，众多网友反映自己的新浪微博疑遭盗号，被频繁要求修改密码。事隔一天，CSDN泄密事件全面爆发。面对数千万用户的账户信息在短时间内被盗，网民们对微博实名制是否能保证自身的信息安全深表怀疑。因为，无论是是微博，还是社交网站，诸如人人网、开心网等，用户在申请注册时，往往提供的都是切实，有效的真实信息，包括身份证号码、家庭住址和手机号码等具体联系方式。而如今，通过极易获取的明文密码，将用户信息直接“暴晒”于他人之下，这样的网络安全公众对此深表担忧不无道理。

　　7、幕后“元凶”浮出水面谁应对此事件负责？

　　随着科技的发展与网络信息技术等的普及，公民个人信息被非法泄露和使用的情况时有发生，对公民的人身、财产安全和个人隐私构成了严重威胁，为此，国家将非法泄露公民个人信息的行为纳入刑事法律范畴，根据我国刑法第253条规定，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”。

　　此次CSDN泄密事件，已证实是由金山网络安全公司员工韩某的上传、分享用户隐私数据包，尽管其及时删除，没有造成大规模的扩散，但该行为已造成恶劣的社会影响。违背了安全软件公司职员应当遵守的的行业准则，应该对本次隐私泄露事件负很大一部分责任。如果用户信息经传播后造成恶劣后果，将由公检法机关认定传播者是否涉嫌触犯刑法，并承担相应的法律责任。