2011年的岁末，一场不断升级的密码泄露事件，让2011年的互联网“永不寂寞”。从12月21日到12月29日，短短几天，绝大部分知名网站全部沦陷，无一幸免。CSDN、多玩、178游戏、17173、天涯、当当、京东、卓越……

　　这是黑客引起的、网站领导的网民更改密码“运动”，让全体网民又有了一次自嘲式的狂欢。

　　用户信息在互联网上快速传递，好事者更是更改了他人的用户密码，让一些人永远无法再取回自己的账号，有的老网民甚至被抹去了互联网的最初记忆。

　　这一次，互联网企业的安全短板暴露无遗。互联网公司中有3人来专职负责网站安全的规模都是一种奢侈，5人以上算是豪华配制，10人的安全团队只有3家。

　　一份来自知名券商的报告显示，目前，国内互联网公司的安全支出仅占IT支出的1%，而目前，欧美国家的安全支出占到整个IT支出的8%~10%。

　　面对大规模的用户信息泄露，企业责无旁贷。但“脆弱”的它们根本无法抵抗“黑客”来袭，甚至是无意识的“缴械投降”。

　　问责，问责。在这样的风口浪尖，它们几乎都选择沉默，无一企业坦承自己的安全支出明细。内部，各大互联网公司开始了“自查、自究”风暴，希望能够在2012年来临时，获得那张通往安全的船票。

　　集体沦陷

　　本次黑客公布了约有1亿个用户账号及密码相关信息

　　2011年12月21日，金山毒霸产品经理韩正奇在一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。同时，他把QQ群内要用迅雷专用工具下载的链接，转换成迅雷快传的下载链接，发到一个朋友圈内的QQ群。

　　仅仅几分钟，韩正奇传的文件就在专业安全网站“乌云”（wooyun.org）上出现了截图。迅雷不及掩耳，一份包含了600万用户信息的CSDN用户库在互联网上迅速流传。

　　无论是黑客之间出于“互相炫耀”的心理，还是传说某个商业组织的背后推动，许多原本被装在“安全盒子”里、处于隐秘地方的用户数据库一一被暴晒在阳光下。

　　2011年12月23日，多玩、梦幻西游通过木马泄露。此后，7K7K、178游戏、人人、猫扑、世纪佳缘等等，全国各大知名网站几乎全部沦陷。

　　2011年12月25日，天涯被爆其4000万用户数据泄露，这占到其总体6000万用户的60%。

　　同月26日，当当、京东、凡客等一线电商被推上了风口浪尖。它们爆出用户信息泄露，这其中包括真实姓名、电话号码和收货地址。

　　同月29日，中国工商银行、交通银行、民生银行被爆出客户信息泄露。就连，通往全球的广东省出入境也有444万用户信息疑被泄露。

　　“每个互联网公司的用户和密码都有泄露，只是规模大小。”采访中，一位在安全行业多年的工程师告诉记者，大网站、大公司在安全这件事上也不可信。

　　在密码门事件期间，中国黑客教父goodwell接受媒体采访时称，本次黑客公布了约有1亿个用户账号及密码相关信息，预计“地下黑客”已经掌握了更多的互联网用户账号信息。

　　在使用“密码泄露查询工具”后，不少网民在微博上坦露心声，自己不止一家网站的用户名与密码泄露。出于方便易记，许多网民将用户名与密码统一起来，或者互相关联。有的使用邮箱进行互相关联。

　　一位不愿意透露名字的CSDN用户更是苦不堪言，她的CSDN账户信息被泄露，通过一连串关联，搜狐、Gmai、网易、雅虎等邮箱全部无法登录。这些邮箱是她登录论坛、SNS、支付宝，以及各种购物网站的方式，“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联，她无法通过密码取回的方式来取回这些邮箱。于是，“一门攻破，全城皆失”。

　　危险，并不止于此。智能手机闯入生活，手机开始逐步成为大众互联网生活的主要载体。 “手机上的信息泄露将会更严重，除了泄露用户名和密码，还可以泄露位置。”云计算安全厂商星云融创CEO马杰告诉记者。

　　目前，PC上的操作系统比较集中（win90%、MAC接近10%、linux是0.1%）。由于操作系统的“独霸天下”，杀毒软件也会比较完善。但是，手机操作系统种类较多，各种APP应用纷繁杂陈。由于安全软件的不完善，许多黑客就盯上了这一有利时机。

　　“目前，手机上的安全问题并没有全面爆发，但是一旦上网资费大幅下降，手机用户可以‘随时在线’，那么手机黑客产业链也会迅速成熟。”马杰告诉记者，现在智能手机的CPU统一到ARM架构上，芯片有高通、联发科等厂商，操作系统是iOS、Andriod、Windows，它们都在快速融合，这给黑客节省了“逐个攻破”的成本。

　　“手机扣费、扣流量都是SP时代玩的花样，智能手机还会带来更多的‘黑客’玩法，如查询用户常去的区域、GPS跟踪、手机购物等等。”星云融创营销总监孙大伟告诉记者。

“我们会生活在一个透明、没有隐私的世界里。”就像电影《楚门的世界》里那样，我们都生活在他人的“监视”之下，只要别人有这样的想法。

　　企业问责

　　提供互联网服务的公司无论免费，还是付费，在法律上都有责任保护用户信息

　　此次暴露出来的CSDN、天涯等网站的用户信息都采用“明文密码”的方式编写。黑客可以轻而易举地攻击网站，拿到用户数据，而“明文密码”根本用不着破解，用户名和密码可以直接读取出来。

　　“明文方式是极不负责任的做法，企业应该对用户负全责。。”知名IT律师赵占领认为，如果企业对密码进行加密，并设有防火墙，在黑客进行攻击时给予了“抵抗”。如果做到了这些，才算尽到了基本的责任。

　　不仅如此，“这些企业没有采取有效的补救措施。”赵占领说，修改密码、取回账户的措施还是用户自己来做的。

　　本报记者采访了10多位密码被泄露的用户，有的“改密码改到手软”；有的冻结了网银，以及一切有过网上交易的银行卡、信用卡；有的“处变不惊”，逢人便说：“改密码有何用，改了还会泄露”；有的更是掷出豪言，“哥我不改了，裸奔就裸奔吧”。

　　据记者了解，泄露的网站主要通过站内信、公告、邮箱等方式来通知用户。但公告通知的范围有限，活跃用户会看到公告，但是不活跃的用户，甚至连自己的用户名与密码都忘记了。

　　对于已经是“公开库”的CSDN与天涯来说，由于用户名与密码已经泄露，会使得许多邮箱无故被盗，往邮箱里发邮件，真正的收件人是黑客，或者好事者。

　　CSDN总裁蒋涛坦承，泄露之后，补救工作不容易。信息泄露后，他立刻找到网易、QQ、263、新浪等邮件服务商进行邮箱通知，争取让真正的用户能够收到修改密码的通知。

　　马杰告诉记者，机器无法识别登录的用户是被盗用户，还是黑客。虽然可以通过访问行为的对比，来判断这个用户是不是之前那个用户，以此来追踪可疑的行为，但操作起来费时费力、可行性不大。

　　“在法律上，网站的密码是被黑客窃取，虽然企业不必担负刑事责任，但也需要担负民事责任，或者受到行政处罚。”赵占领指出，用户只需要证明自己的用户名与密码被盗，并且还是网站的过错，就能够进行民事诉讼，即便密码泄露没有造成经济损失。

　　但有的用户觉得自己使用的是“免费”产品，从道德上，没有理由将这些网站对簿公堂。有的网站甚至在“注册协议”中更是借用“免费”的旗号，将一些基本的法律义务推脱干净。

　　“免费也是一种‘服务合同’关系，QQ、MSN是‘授权使用’的关系，在法律上都存在合约。”赵占领指出，提供互联网服务的公司无论免费，还是付费，在法律上都有责任保护用户信息。

　　但现实是，绝大多数网民都自认倒霉，无意维权。“用户往往损失了几十元，但如果要维权，则需要花费几百元，甚至上千元的成本。”赵占领说，这其中还不包括时间成本。

　　目前，欧美、日本对个人隐私的立法比较完备。无论是“被动”，还是“主动”，一旦网站泄漏了用户信息，网站将面临重额的经济处罚。

　　2011年4月，索尼PS3有7700万用户信息遭窃，后来索尼正式道歉并对用户做出补偿。有预计称，索尼将赔偿245亿美元。

　　2004年，日本雅虎约有460万用户的个人信息外漏，日本雅虎向每位用户“赔偿”6美元的购物券，这才息事宁人。

　　“安全厂商应该加强对员工的管理。”马杰告诉记者，一般，安全公司与员工签订合约时都有个协议，保证在任职期间，不从事任何有违反公众安全的事情，不从事黑客的行为。

　　安全支出不足1%

　　“国内公司在安全上的投入的确比较少。”一位在国内知名互联网公司负责安全的技术总监坦承。

　　从论坛、BBS到SNS、电商，各个网站对安全的IT支出都很少。在给本报的书面回复中，天涯相关负责人透露，天涯的安全支出是100万。京东、当当、多玩、CSDN等公司都对自己的安全支出讳莫如深。

　　据一家券商TMT研究部门的调研数据，目前中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其安全支出在整个IT支出中占到10%。

　　互联网行业的安全投入“囊中羞涩”，甚至无法跟上业务的发展步伐。据一位行业人士透露，目前大型B2C购物网站每年的安全投入不过几百万，有的甚至只有几十万。但实际上，这些公司每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。

　　一位互联网安全工程师告诉记者：“大多数互联网网站通过外部的扫描工具就可以发现有明显的漏洞。”他戏谑道，百度这样的网站都被“黑”过，其他网站自然是惨不忍睹。

　　来自360的报告也印证了这一点。360网站安全检测平台的分析显示，“国内83%以上的网站存在各种安全漏洞，大部分网站基础防护能力薄弱；国内中小型网站普遍没有专职的安全工程师维护，光靠服务器配置防火墙和入侵检测设备，无法有效防御黑客的入侵。”

　　“目前，只有腾讯、阿里、百度有10位专职安全工程师，安全防护能力较强。其他的互联网上市公司也只有3位~5位专职工程师，有的甚至没有。”前文所述的互联网工程师告诉记者，在互联网企业有5位安全工程师，都算是豪华阵容，相当奢侈。

　　具体来看，“目前，国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100的网站有自己专业的初级安全、运维人员，前1000的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”这位互联网安全工程师说道。

　　“不少网站有着侥幸心理。”一位安全企业技术总监告诉记者，IT技术人才基本集中在IT圈，IT圈觉得自己不去攻击别的行业就不错了，根本没想过自己会被攻击。

　　出于这样自信的“潜意识”，在规模快速扩张的直接驱动下，网站往往将IT支出放在系统扩容上，在电商类网站尤其如此。在IT支出的硬件、软件、服务/人员三项中，目前，绝大部分支出还集中于硬件，其他两项支出比较少，有的甚至比例更低。

　　从另一方面来看，建立自己的安全运维团队，需要很大的投入，这也让互联网公司望而却步。马杰告诉记者，企业级的安全防护设备价格高，一台设备一般需要几十万，甚至几百万。并且，这些网站需要闲置出90%的资源，才能保证峰值时能够访问正常。为此投入的金钱就像个“无底洞”。此外，维护的费用支出也相当高，这其中主要人力成本，一般一位工程师年薪需要十几万元到二十万元不等，一个网站至少需要3位专业安全工程师。

　　“互联网公司对自身的安全内部结构认识有缺陷。”马杰认为，安全最基本的原则应该是假设网站被黑，黑客侵入进来，那么如何控制受损的范围。网站也应知道，哪一个区域不能放明文，而应该放到与网站服务器之外，进行物理隔离。但实际上，不少网站做安全并没有从“这个假设”出发。

　　“现在，很多网站的运维工程师也做着一部分初级安全维护的事情，但远远不够。”马杰认为，安全与运维并不相同。安全是动态的，面对的不是正常的访问、攻击、资料的窃取等活动。而运维的目的是保证服务器能够被正常访问。许多互联网公司将运维人员当作安全人员来使用，孰不知，安全需要专业团队。

　　IT支出“薄如蝉翼”，使得网站的安全性大打折扣，这才让用户信息的大规模泄漏成为可能。

　　“这一次互联网公司可以侥幸逃过，未来则不一定。”赵占领告诉记者，目前，工业和信息化部正在起草个人信息保护条例，未来从法律、法规上来保护用户的权利。事发之后，政府还可以进行行政处罚。

　　2011年12月28日，工业和信息化部发布通告称，用户信息泄露事件严重侵害了互联网用户的合法权益，危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时，要求各互联网站要开展全面的安全自查。