十、史上最恐怖的泄密事件 中国互联网遭遇十二月大灾变

今年4月份，索尼PlayStation网络入侵事件导致1亿多个用户账户曝光，在随后的两个月里，索尼算是捅了马蜂窝，遭遇到大大小小的黑客攻击10余次。索尼影视、索尼欧洲、索尼希腊BMG网站、索尼泰国、索尼日本音乐、索尼爱立信加拿大等等，无一不成为黑客攻击的目标。虽然这件事在国际上掀起了巨大的风波，但是由于受影响的服务并未在中国开展，因此对于我国消费者的影响微乎其微，很多人并没有在意。无论是著名黑客组织luzsec和Anonymous的四处出击，还是RSA遭受了APT攻击，这些触目惊心的安全事件似乎都绕开了中国。

然而，并非幸运之神独独眷顾我们，也并非是我国黑客们技术水平不够，只是……时机未到。就在我们暗暗庆幸今年就要平稳安全地度过之时，该来的还是来了。12月21日，有黑客在网上公开了CSDN网站的用户数据库，包括600余万位用户的注册邮箱账号和密码，更糟糕的是，这些数据还是明文的。作为国内最大的程序员和开发为核心的网站，这一变故实在是令人难以置信。如果说程序员和你不搭边儿，那么与此同时泄露的多玩网800万用户数据则让更多人卷入进来。虽然泄露的数据大部分进行了加密，但仍有小部分是采用明文保存。

这只是个开始，紧接着，51CTO、ENET硅谷动力、CNZZ、UUU9、YY语音、7K7K、百合网、世纪佳缘、珍爱网、开心网、人人网、美空网、猫扑、当当网、178等众多网站也都陷入用户数据泄漏丑闻，包括CSDN、人人网、新浪微博、QQ邮箱、支付宝等在内的多个网站已经在消息披露后提升了安全等级，提醒可能被波及的用户更改密码。不管是真泄露还是假否认，中国互联网顿时陷入了大规模的恐慌，不论是站长们还是用户，一时间人人自危。

“我从来不知道密码也要天天修改，直到我膝盖中了一箭。”尽管数钱数到手抽筋对于很多人来说还需要继续努力，不过不少人已经在黑客的帮助下实现了改密码改到手抽筋。这也实在是没有办法的事，毕竟如今的网络已经深入到我们生活的边边角角，网上支付、邮箱、聊天、社交，这些都与我们息息相关，经常使用的账户达到七、八、十来个的网民不是小数目。如果每个账户都采用不同的邮箱注册、使用不同的用户名和密码，那么这个工作量实在是太大。因此，不可避免的，很多人登录多网站都采用同一账户和密码。一个遭泄露，个个遭泄露，怎能不令人惊心。

“敌人”是不会给我们留任何喘息机会的，当卷入这场轩然大波的中国网民正要平复一下颤栗的心情时，另一个重磅炸弹在众人头顶炸开，12月25日，网上爆出天涯社区4000万用户资料泄露，账号密码邮箱明文保存，该资料已经网上传播，初步验证为有效数据。目前，天涯社区注册用户超过6000万，在国内社区型网站颇具人气，而此次泄漏的用户数量达到总数的60%以上。

中国互联网最大规模的用户资料泄露事件正在进行时……新爆出的腾讯QQ用户资料外泄更加剧紧张的气氛，然而腾讯方面对于泄漏出的QQ用户名和密码一事未做正面回应，仅给出如何找回帐号的操作方式等信息。求人不如求己，还是要自力更生啊。事情还没完，12月26日，新浪微博成为了又一家用户密码外泄网站，涉及账号数476万。新浪很快予以否认，辩称网上流传数据中的绝大部分不是新浪微博账号，只有“极小部分用户因使用和其他网站相同帐号密码，可能导致其微博账号不安全。我们已对这部分用户做了保护。”12月27日，京东商城用户资料大量泄漏，漏洞报告平台乌云爆料称，京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录系统后都可以正常访问到所有用户的信息，包括：姓名、地址、电话、Email等。京东已经确认，并称将马上处理。

在此次泄密事件中，很少有用户能逃过一劫，尤其是对老网民而言。各家网站和机构也都纷纷噤声，谁也不敢保证自己就真的能独善其身。需求必然会产生市场，短短几日内，外泄密码查询网站涌现出不少，访问量那更是没的说，Alexa排名急剧上升。不过按照目前这个阵仗，您还是别查询了，只要在国内注册过，你的密码基本都被泄漏了，不要抱有什么天真的幻想了。虽然愤怒、担忧的气氛在互联网上蔓延，不过也有不少网友相当乐观，有些用户淡定的表示，借助此次密码外泄事件，终于找到了遗失多年的老账户密码。更加乐观的也大有人在，这不，还有人在修改密码的间隙恶搞出了“CSDN杯我最喜欢的密码评选”，总冠军是一个最具诗意的密码：ppnn13%dkstFeb.1st。该密码来自一千多年前，出自杜牧《赠别•其一》（娉娉袅袅十三余，豆蔻梢头二月初）。高，实在是高。

在一系列的数据泄露事件中，除了尚不知身份的始作俑者，网站采用明文密码被看做是“罪魁祸首”。明文存储是最不安全的一种保存方式，用户密码什么样，网站数据库就存成什么样，这岂不是引诱黑客来自取享用吗！CSDN和天涯对此都进行了辩解。CSDN表示，网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码，但是直至2010年8月底CSDN才清理掉所有明文密码。天涯社区表示，由于历史原因，天涯社区早期使用过明文密码，此次被盗的是2009年之前的备份数据，2010年之后升级改造了天涯社区用户账号管理功能，使用了强加密算法，解决了用户账号的各种安全性问题。不过现在说这样还有什么用？至希望我们的亡羊补牢未为晚也。

若干年后，当我们回忆这段历史时，相信会有这样的描述：2011年12月，中国首次踏入了全民修改密码的时代。在痛斥黑客置中国网民的安全于不顾时，我们也应当从积极的角度打量这个事件。正如郭美美事件对我国慈善机构带来的影响，此次大规模的密码泄露也给我们敲响了警钟，大大促进了公众安全意识的提升，并且让我们清醒地认识到，在这个时代，安全神马的都素浮云，在这个云计算的时代，我们更要注意重要账号单独设置密码、定期修改密码，保护好自己的数字身份，要做到即使与黑客狭路相逢，也能将威胁降到最低。

另一方面，遭窃数据库明文存储账号与密码的方式也让我们清晰地认识到了国内互联网安全防护系统的脆弱。此外，在各方做出补救的同时，疑惑还是有的，最大的一个谜团就是，至今尚未有黑客组织宣称对此次泄露事件负责，到底是谁在幕后操纵？更进一步讲，用户数据库被黑客盗取在业内也并非秘密，只是像近期这样被公开并在网上大规模散播的现象还是首次，到底是什么原因令黑客如此亢奋、如此肆意妄为、甘愿冒天下之大不韪也要揭露这个安全问题？在此只能遗憾地告诉大家，具体原因暂时不详。不过，真相总会有水落石出的一天，在等待答案的日子里，大家还是先修改自己的密码吧，和亲朋好友见面的时候也别忘了问候一句“今天你改密码了吗”。