亿万账户大泄密
网民隐私到了最危险的时候？

《庄子·箧》篇里有一个故事：为防范小偷开箱盗宝，主人刻意将箱子层层裹藏，不断加固锁匙，以为这样就安全了。但遇到大盗，直接抱着百宝箱就跑了，还唯恐箱子捆绑不结实。通俗的寓言蕴含深刻的道理。新近大规模爆发的账户泄密事件敲响了网络安全警钟，而紧锣密鼓推行的实名制会不会开启隐私泛滥的撒旦之门？

“我被骇到了吗？”

“我的账号被盗了吗？”这个问题引发了亿万网友纠结和抓狂的岁末恐慌。

近日，一个名为“Am I hacked？”（我被骇到了吗？）的个人网站一夜蹿红，成为QQ群、微博、社交网络和形形色色的论坛帖子转发、推荐的热点。这里没有强拆引发的群体性事件，也没有郭美美和“仓老师”演绎的香艳新闻，它只有一行文字：“Am I hacked？”和一个搜索框，却吸引了成千上万的网民昼夜不休的访问。流量暴增10倍，小小的个人网站频繁宕机，繁忙程度可以同春运期间的铁路订票系统相比。

“老子半夜爬起来检测密码，总算登上去了……‘杯具’了，连中三元，没天理啊，常用的邮箱账号和网银密码全部走光！”署名叫“愤怒的小鸟”的网友在百度贴吧里发飙。他不是唯一因为牵挂自己网络账号不安全而睡不着觉的人，近来，众多有类似遭遇的网友在网上大倒苦水。

一个名叫宓俊的成都在校生利用个人空间，借用了国外一家著名的网络安全网站的名字，架构了这个简陋的查询系统。不同于那家专门致力于检测用户电脑主机、扫描网络系统安全的国外网站，宓俊的个人系统只提供一项最简单功能：你的网络账户是否在近期国内爆发的大规模泄密事件中“中彩”了。用户只需将自己的网络用户名或电邮地址输入进去，系统就会反馈该账户对应的密码是否已被破解。记者比“愤怒的小鸟”幸运一些，经测试，常用的账号中，只有一个在破解列表中，泄密网站是天涯网。

另外还有几家网站提供类似服务，截至发稿时，总查询量已经突破200万人次。

史上最恶劣的泄密案

就在2011年即将过去的时候，一连串接踵而至的大规模网络账户泄密事件震惊了网络界。最初被披露出来的是国内著名的程序员网站CSDN，该网站承认，至少有600万社区注册账户，包括用户名、邮箱以及密码信息被泄漏。令人难于理解的是，这家全球中文网站排名第27位、被公认为国内最专业的IT技术网站竟然成为此次泄密事件中首例牺牲品，被泄密的账户数量相当于该网站全部注册账户数的三分之一。

而CSDN 600万账户泄密事件不过是冰山一角。连日来，一连串骇人听闻的网站集体泄密事件被次第披露出来：多玩游戏网泄漏800万用户数据，天涯网4000万账户信息泄漏。著名编剧宁财神和一大批新浪微博用户都称发现自己的天涯账号于近几日被盗，无法使用。媒体披露，51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、美空网、珍爱网、京东商城等众多网站也曝出数据泄漏危机。业界估算，此次泄密案涉及到的账户总数量超过了1亿个，创历史之最。更令人不安的是，Donews 爆料：近日有476万新浪微博的用户信息遭黑客泄漏，且被盗用户信息文件已经在网络上传播。新浪微博官方账号“微博小秘书”随即否认了这条信息，表示“新浪微博用户账号信息采用加密存储，并未被盗。”对于有部分账户出现登录异常，新浪称，这是“极小部分用户因使用和其他网站相同账号密码，可能导致其微博账号不安全。”实际上，人人网、腾讯QQ被传密码泄漏，情形跟新浪微博相同，都是由于部分用户“偷懒”设置相同账号密码，结果导致一点击破，全线溃防。

“由于开放密码（OpenID）的流行和广泛使用，此次泄密事件后果可能被严重低估，绝不仅仅是已经公布的十几家网站，几乎所有使用开放密码机制的网站都存在风险。”一位网络安全专家对记者说。据介绍，OpenID是一种以用户为中心的数字身份识别框架，它具有开放、分散、自由等特性，它省缺了过去用户需要每个网站单独注册、必须记忆大量密码账号的麻烦，采用一个已经注册的“通用账号”，与新的网站进行关联，无须重复注册，即可轻松登录。然而方便固然是方便了，一旦账户泄密，就意味着所有OpenID网站门户洞开。

金山毒霸产品经理“hzqedison”被指是此次泄密事件的关键环节之一。他承认曾把108M的CSDN用户数据文件包传到了迅雷会员分享区。虽然他很快就删除了链接，但该数据已在各大黑客论坛和QQ群中迅速传开。他在微博上公开道歉。金山公司表示，此事是该产品经理在做分析工作时，操作不当造成的，不慎被外人获知，绝非恶意传播。金山还称已“掌握了始作俑者的部分资料，其他证据仍在搜集中，很快就会提交给警方。”

金山网络安全专家李铁军透露，用户资料等数据包在黑客圈子里价格不菲。一些游戏厂商上百万的玩家用户资料包可以卖到百万元的高价，而买家多是被盗资料公司的竞争对手。黑客除了把数据打包牟利之外，还可以利用用户资料进行互联网诈骗，给用户发送垃圾邮件或广告信息以牟利。

国内最资深的黑客组织“绿色兵团”创始者之一李麒透露，目前中国黑客的黑色产业链规模价值上百亿元。他举例称，某活跃于黑色产业链的知名黑客，一夜赚得600万元，一年能够赚5000多万元；一些大网站的数据库是明码标价，一个库端下来，价值600多万元；黑色产业链的人开始向一些网站收保护费，标准是一个月两万元。该组织另一名创始人Goodwell也表示，如果能控制100万的用户电脑终端，不管是恶意插件、木马或是小软件，只要黑客能“挟持”用户的一些操作，哪怕是打开IE跳到一个默认导航页面，每年也能为其带来2000万元的广告及流量收入。

就在几周前，瑞星、360等国内网络安全厂商发布了年度“弱密码榜”，“5201314”（我爱你一生一世）荣登中国特色“弱密码”榜首，对照这些弱密码，兴起了一阵修改和加固个人密码的风潮。有些网友全面接受了安全专家的建议：密码长度越长越好，尽量使用字母数字控制符组合密码，以为如此一来就万事大吉。令人啼笑皆非的是，此次大规模泄密的账户当中，此类“高智商密码”数不胜数，CSDN 600万泄密账户中，堪称最复杂最具创意的一例是：ppnn13%dkstFeb.1st。翻译过来就是杜牧的一句诗：“娉娉袅袅十三余，豆蔻梢头二月初。”一个微博网友评论说：“将大门锁上十把铁将军也不管用，蟊贼直接从窗户跳进来。”

连程序员的专业网站和天涯网、京东商城这样的知名站都不靠谱了，国内其他网站安全状况可见一斑。CSDN网站此次泄露密码竟然未经加密，以明文形式存储，这意味着只要能打开数据库文件，不需要黑客或技术高手，小学生也能像查看记事本一样获取被盗用户信息。互联网公司建立自己的安防体系所需投入成本巨大，一家大型B2C购物网站每年仅安全运维投入即需要达到千万元级别。目前网络公司的信息安全支出在整体支出中的比例不足1%，欧美的比例是8%~10%。在全行业集体“裸奔”的背景下，隐私安全成为奢望。

被泄露的个人信息在各种渠道被传播。出于莫名其妙的好奇心理，在百度空间和各种论坛上，索要和分享被泄漏账号文件的帖子随处可见，一些以网络罗宾汉或阿桑奇二世自命的人，干脆留下BT种子或迅雷链接，任人取用。不怀好意的家伙趁机将木马植入文件包，致使许多用户窥秘未遂反成“肉鸡”。法律人士指出：不仅黑客破解行为非法，传播他人密码同样涉嫌侵犯隐私。

对于在多处使用相同或相似用户名密码的朋友来说，他们面临着极大风险。专家提醒用户尽快全面更改密码。

网络实名制挨了一闷棍？

分析人士表示，用户数据库被黑客盗取和交易在业内也并非秘密，只是像近日这样被大面积公开、大规模散播尚属首次。网友“知更鸟”表示，黑客们实际上早已经掌握这些泄密网站的数据库，盗密码库对于他们来说，只是娱乐一下而已。只不过盗亦有道，真正的黑客不屑于将“战果”拿出来得瑟。此次事件，可能是为了警告和抵制即将推行的网络实名制政策而采取的“亮剑”示威而已。这种说法得到了金山毒霸产品经理“hzqedison”的印证，他表示：早在去年12月4日，一位ID为“臭小子”的黑客就已将密码库公开到乌云网（一家自由公开的第三方漏洞报告网站）了。

安全专家指出，目前的网络安全环境不容乐观，全面推行网络实名制可能导致网民个人隐私信息灾难性泄漏，不论从管理机制到技术条件看，绝大多数网站都无法保证用户信息安全。这也是全球网络技术最发达的欧美日等国家和地区都未全面推行实名制的原因。

最近，一篇《韩国互联网实名制的教训》的文章在网上广为流传。作者金宰贤系韩国高丽大学中文系毕业生，2003年起在华工作，曾在北京大学读MBA，现在上海交通大学攻读管理学博士。金宰贤介绍说，韩国是世界上唯一实行“互联网实名制”的国家。早在2007年7月起即实施互联网实名制。每天访问人数超过30万的35家主要网站要求网民用真实姓名和身份证号注册，网民只有通过验证后才能在各网站上发帖。从2009年4月起，范围扩展到日均访问人数过10万的153家主要网站，最终几乎扩展到所有韩国网站。韩国推出这一规定的初衷旨在减少网络语言暴力、名誉损害、虚假信息传播以及不正常的人肉搜索等。然而事与愿违，预期目标要么效用有限，要么适得其反，由此引发的大规模隐私泄密事件却让韩国人吃尽苦头。2011年7月，韩国发生了前所未有的大规模信息外泄案件。韩国SK通讯旗下的全国三大门户网站之一的Nate和社交网站赛我网遭到黑客攻击，约3500万名用户的信息外泄，成为韩国IT史上最大规模的黑客攻击事件。被泄露的用户信息涉及用户名、名字、生日、电话号码、地址、加密的密码、身份证号码和血型等，几乎牵涉到了所有韩国网民。案件还催生了海量垃圾邮件、电话诈骗等非法行为。

韩国不少民间组织和专家称“互联网实名制”实为祸端，并主张废除互联网实名制。2011年8月，韩国政府宣布：出于保护网络用户个人信息安全考虑，政府拟分阶段逐步取消网络实名制。韩国媒体认为，实施实名制固然出发点是好的，但实际结果却是方便了“身份盗窃”，网站用户和身份资料关联紧密，方便了黑客窃取行为，后者很容易搞到一整套真实的公民身份数据并用于非法用途，在给公民造成巨大损失的同时，对全社会也造成了灾难性影响。

余痛未消，殷鉴未远，国内网站实名制却已渐行渐近。实名制，我们真的准备好了吗？