????“泄密門(mén)”從一個(gè)網(wǎng)站的危機(jī)演變成互聯(lián)網(wǎng)世界的一場(chǎng)風(fēng)波，變成了2011年底網(wǎng)民最關(guān)心的話題之一。

????截至目前，淪陷于這場(chǎng)風(fēng)波的網(wǎng)站包括CSDN、天涯社區(qū)、多玩、京東、當(dāng)當(dāng)、支付寶，甚至廣東出入境官網(wǎng)等，盡管各家網(wǎng)站紛紛出面澄清，但網(wǎng)民人人自危，擔(dān)心個(gè)人信息、社交生活、財(cái)務(wù)資料暴露于日光之下“你的密碼改了嗎”成為歲末網(wǎng)民間最流行的問(wèn)候語(yǔ)。

????安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光表示，過(guò)去10年中國(guó)互聯(lián)網(wǎng)以速度生存，應(yīng)用開(kāi)發(fā)脫離了安全發(fā)展，未來(lái)這些欠賬將要陸續(xù)補(bǔ)上。如何砍斷“用戶(hù)資料銷(xiāo)售”產(chǎn)業(yè)鏈，也是一個(gè)大問(wèn)題。

????黑客的“信息分層制”

????很少人記得，早在去年4月索尼已宣布，其游戲網(wǎng)絡(luò)PlayStation(PSN)被入侵，有7700萬(wàn)個(gè)用戶(hù)的信息可能被盜取，涉及姓名、賬單地址及以及其他相關(guān)信息。安天首席技術(shù)架構(gòu)師肖新光告訴南都記者，這波泄露庫(kù)的潮流是從國(guó)外開(kāi)始的?！坝捎?day漏洞的存在，和目前應(yīng)用的龐大的復(fù)雜性等等，可以說(shuō)在當(dāng)前的情況下，很難有網(wǎng)站應(yīng)用能決定保證自己是安全的?！?/p>

????可以看到，一方面是服務(wù)端難以彌補(bǔ)的漏洞，另一方面，引發(fā)賬戶(hù)入侵的則是激烈的市場(chǎng)競(jìng)爭(zhēng)下，互聯(lián)網(wǎng)應(yīng)用開(kāi)發(fā)者、各類(lèi)企業(yè)對(duì)于用戶(hù)的爭(zhēng)奪戰(zhàn)。目前，國(guó)內(nèi)有眾多專(zhuān)門(mén)從事入侵賬戶(hù)的黑客，而其身后是。一位曾經(jīng)購(gòu)買(mǎi)過(guò)用戶(hù)資料的開(kāi)發(fā)者小林告訴南都記者，最常見(jiàn)的情況有兩種：一種是模仿抄襲某網(wǎng)站時(shí)，請(qǐng)黑客入侵同類(lèi)網(wǎng)站的數(shù)據(jù)庫(kù)，將該庫(kù)信息進(jìn)行簡(jiǎn)單修改后，再導(dǎo)入自己的網(wǎng)站，開(kāi)發(fā)成本驟降；另外一種，則是由于營(yíng)銷(xiāo)需求索取特定的某種個(gè)人資料，如郵箱、手機(jī)號(hào)碼等，主要是電商在用?！斑@些業(yè)務(wù)都有固定的QQ群或論壇，可以在里面提出自己的用戶(hù)需求，再討價(jià)還價(jià)?！毙×指嬖V記者。

????南都記者昨日嘗試進(jìn)入多個(gè)相關(guān)的QQ群，都被通知“對(duì)方拒絕加入成員”，顯示圈內(nèi)風(fēng)聲漸緊。其后，記者輾轉(zhuǎn)聯(lián)系上一位黑客，向其了解了入侵網(wǎng)站數(shù)據(jù)庫(kù)的過(guò)程。楊先生表示，一般來(lái)說(shuō)黑客首先是進(jìn)行“拖庫(kù)”，獲得網(wǎng)站的賬戶(hù)信息，然后再進(jìn)行“洗庫(kù)”和“撞庫(kù)”，進(jìn)行信息分層，尋找高價(jià)值的目標(biāo)。“首先被選取的，是帶有虛擬貨幣的QQ號(hào)碼、游戲賬戶(hù)、支付寶賬戶(hù)等；然后，將用戶(hù)的基本信息進(jìn)行保存，比如密碼習(xí)慣等，看是否適用于其他網(wǎng)站；之后，才是現(xiàn)成的電子信箱、家庭住址、手機(jī)號(hào)碼等信息，倒賣(mài)給垃圾郵件、垃圾短信發(fā)送公司?！睏钕壬硎荆骸澳壳盎ヂ?lián)網(wǎng)企業(yè)都講‘開(kāi)放’，提倡同一賬號(hào)登陸多個(gè)網(wǎng)站，等于‘一號(hào)多用’，賬戶(hù)信息更不安全。”

????搶速度后遺癥

????安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光表示，眼下網(wǎng)絡(luò)泄密的根本原因，從根本上看是過(guò)去10年，互聯(lián)網(wǎng)開(kāi)發(fā)搶速度的后遺癥?！盎ヂ?lián)網(wǎng)一定程度上是以速度生存的，而安全上考慮更多無(wú)疑會(huì)影響開(kāi)發(fā)的效率和進(jìn)度，也可能會(huì)影響用戶(hù)的操作體驗(yàn)。因此，國(guó)內(nèi)應(yīng)用開(kāi)發(fā)脫離安全發(fā)展，對(duì)安全欠賬較多。但未來(lái)的10年，安全性將是互聯(lián)網(wǎng)企業(yè)的生存支點(diǎn)之一，這些欠賬是需要陸續(xù)補(bǔ)上的。”

????根據(jù)安天實(shí)驗(yàn)室普查的情況，國(guó)內(nèi)網(wǎng)站賬戶(hù)信息使用明文存放、標(biāo)準(zhǔn)MD5存放的比率是比較高的，而這些方法都是不科學(xué)的。黑客楊先生就表示，采用明文保存密碼是用戶(hù)信息泄露的關(guān)鍵，但即使是采用標(biāo)準(zhǔn)MD5進(jìn)行加密存儲(chǔ)，也可以通過(guò)彩虹表碰撞，進(jìn)行破解。

????肖新光建議，網(wǎng)站可以通過(guò)制定整體權(quán)限和數(shù)據(jù)訪問(wèn)的策略；及時(shí)安裝應(yīng)用和補(bǔ)??；提升應(yīng)用的編碼質(zhì)量，提升對(duì)SQL注入的防范；還可將應(yīng)用服務(wù)和數(shù)據(jù)庫(kù)服務(wù)器分開(kāi)，將數(shù)據(jù)庫(kù)服務(wù)器配置為只有需要訪問(wèn)庫(kù)的應(yīng)用和管理才能訪問(wèn)。“加強(qiáng)網(wǎng)站安全有很多的策略和方法，但很多需要較大的成本，這并不是大部分國(guó)內(nèi)網(wǎng)站所能承受的。”肖新光補(bǔ)充道。

????此次泄密風(fēng)波中，被廣泛提及的“明文保存”，正是早年不少商業(yè)網(wǎng)站出于方便操作、節(jié)省成本而采用的儲(chǔ)存方法。

????此前，工業(yè)和信息化部已經(jīng)就此次事件發(fā)布通告，對(duì)竊取和泄露用戶(hù)信息表示強(qiáng)烈譴責(zé)。工信部表示，立即啟動(dòng)應(yīng)急預(yù)案，組織相關(guān)通信管理局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)、網(wǎng)絡(luò)安全專(zhuān)家和部分互聯(lián)網(wǎng)企業(yè)，了解核實(shí)事件情況，評(píng)估事件影響和危害，研究提出應(yīng)對(duì)措施。肖新光提醒，目前網(wǎng)絡(luò)上出現(xiàn)的泄密信息有效性仍需考證，要以管理部門(mén)的統(tǒng)計(jì)為準(zhǔn)?！暗锩娲_實(shí)有消息是不可靠的，有些所謂的數(shù)據(jù)庫(kù)是一些用于騙P2P分?jǐn)?shù)、甚至推廣自身軟件的假庫(kù)。”（記者 謝睿）