黑客盗取多知名互联网网站的用户信息，可不是为了耍酷，根本目的是为了倒卖信息赚钱，目前一条倒卖用户信息的完整灰色产业链已经形成。

祸起“拖库”？网站的任何短板都可能导致密码外泄

此番CSDN和天涯的数据库泄漏事件，极有可能祸起一种专业的黑客攻击手段——“拖库”。黑客通过查找网站漏洞、然后“挂马”的方式，非法将网站的数据库导出，接着导入黑客自己的数据库或在网上公布供他人下载。而数据库被盗完全是出在网站自身的环节上，只要整个网站中有任何一个漏洞，都能通过这个漏洞通向核心的数据库。这好比“木桶原理”，“任何一个短板都会决定你的最终水位，任何一个环节有问题都可以导致数据库被盗。”

简单说，用户在登录网站输入密码时，通常含有密码的数据会传回数据库进行比对，这些数据早在用户第一次注册时就已存在，并且通常是以加密的方式存储。目前的密码数据库均是通过哈希函数的方式进行加密，存储的数据是用户密码的哈希值。但是哈希函数并非万无一失，两个不同的密码可能哈希值会一样，这种情况被称为“碰撞”，这正是黑客用来窃取数据库获得信息的途径。

目前的加密算法都是公开的，除非自己设计一个很好的能够避免出现“碰撞”的哈希算法，否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。如果设计出了碰撞几率低的算法，但黑客手中掌握了大量的碰撞库，这些都是常用密码所对应的哈希值，一旦有密码数据库泄露，黑客就会比对其中的哈希值与手中的碰撞库，如果匹配成功，就能找到用户的原始密码。[详细]

黑客产业链猖獗 会将用户信息“洗”到没有价值为止

一般来说，可以将黑客偷取密码的过程形容为四个阶段：第一是否能进得来；第二个是就算进得来，但能否看得见；第三是就算看得见核心数据，但能否拿得走；最后一步是就算能偷取整个数据库，但最终能否解得开。

虽然目前公开的明文密码已经没有利用价值，但通常而言，拖库只是黑客产业链中的一部分，接下来还有“洗库”，即对数据库中的资源进行层层利用。中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚介绍，这个产业链价值比较大的是，第一波进行虚拟币等信息的剥离，例如支付宝和QQ等，拿到用户的账号后就会进入账户尝试，如果有虚拟金钱就会转走，或将QQ号倒卖；第二次“洗”是对于个人信息的收集，有些账户可能包括个人信息内容，这些会卖给那些需要的人；第三次“洗”是关联手机号的信息，卖给转发垃圾短信的，这样一层层“洗”下去直到没有价值为止。

一旦黑客手中的用户库颇具规模后，就可以分析用户。由于人的习惯性因素，密码不可能改来改去，总有一些关联，当有了用户资源后，可以生产字典，用于“暴力”破解。[详细]

网站都不知漏洞何在，网民更是无从防范

到目前为止出现密码泄露的网站并没有公布到底是哪个环节出了问题。龚蔚说：“没有公布原因就意味着网站自己也不知道哪里出了问题，好比你钱包被偷了，但是不知道是在哪里被偷的，只知道买一个新的钱包，并称更安全。” 大型网站往往为了抢占用户资源而过快扩张，例如各个门户网站的微博，这些都可能会留下遗留症。门户网站对于安全的态度取决于用户对它的价值，门户网站在安全上的确投入很多，但一般都是保证内容不被篡改。

让人不安的是，即使包括天涯和CSDN在内的社区都已提醒用户修改密码，但对黑客而言，用户如何修改密码并非关键，黑客的目标在于网站的数据库，无论用户密码是什么，一旦通过“碰撞”破解哈希函数，那用户再怎样修改密码也是无用功。黑客并没有入侵用户本地电脑，因此此事件和用户电脑本身的安全无关，所以普通用户也无法事先知晓或防范。[详细]

被公开的是陈年资料，圈内人人皆知的秘密更让人触目惊心

密码泄露事件发生后天涯和CSDN均表示，被泄露的数据库是截至2009年用于备份的用户信息，并非最新的用户数据，不禁让人联想刷库是否发生在数年前，眼下所见的都是被人榨干最后一滴水的陈年资料。中国鹰派联盟网的创立者、鹰派代表万涛表示，这些库很早就被拖库了，现在只是有人借助于网络将其公开，“这种明文密码的库，和现在的数据库不同，不可能有谁拿了这些明文密码的库再来赚钱，公开这个更像是一个娱乐的心态。”

数年前曾爆发过多起数据库被刷库的事件，只是由于网络传播力量不如现在，知道的人并不多，且对于一个发生过拖库的网站而言，说不定已经被人植入木马或者留下后门还不知道。据悉，现在“黑客”早已“平民化”。各种偷盗工具可以用钱买到，要成为一个普通黑客的门槛已经大大降低。来自360安全中心的监控信息显示，制作木马的行当甚至已形成品牌，一些网站就以定做、出售各类盗号木马生成器为主业。[详细]

本应是最高机密的用户密码为何在保护上如同纸糊的一样，经不起任何一点黑客的攻击？

网站明文保存，私人密码后台全能见

简单来说，明文密码就是没有隐藏、显而易见的密码，与之相对的是暗码，或称密文密码，指的是系统收到你的密码后，通过某种加密算法进行编译后，对编译结果进行保存。如果你的密码为12345，则明文密码显示为12345，暗码显示为*****。如果告诉你*****而不告诉你解码规则，你就很难翻译出12345。大陆网站目前多数没有专业的密码管理手段，也没有针对该领域的行业标准，都是各自设置自己网站的密码安全策略，所以才导致网站泄露明文保存用户信息和密码的情况。

由于缺乏相关法律依据，且同为泄密事件的受害者，遭泄密的网站目前似乎还不必为“泄密门”担责，但是，这并不能说明他们在泄密事件中没有责任。比如，对用户密码进行加密存储，应该是商业网站的运营常识，然而，由于种种原因，像这次泄密的CSDN、天涯等网站，却长期使用明文密码，以至轻易遭窃。即使部分网站对用户帐户和密码进行加密保存，仍有可能被黑客以暴力破解的方式对数据进行解密。大陆网站相关人员普遍对密码学研究不透彻，缺乏针对加密算法的安全性研究。[详细]

只有投入不产出，没有网站会重视密码保护

随着中国互联网近年的快速发展，争夺用户成为了每家网站迅速“长大”的重点，同时，在热钱的催化作用之下，巨大的用户量也是网站吸引风投的资本，因此众多网站纷纷简化注册过程。简单的注册确实吸引了海量用户，但恰恰也为黑客提供了方便。而同时，在采取各种办法吸引用户成功注册后，网站对用户数据却并不重视。

业内认为，目前用户数据安全问题是互联网快速发展之后面临的普遍问题，不少互联网企业不重视用户数据，因为安全对一个企业来说是要花钱但不产生收入的事情，而且即使用户数据被盗，对某些企业来说也不会有很大损失，因此企业在安全防范方面投入非常少，即使在出事之后也不重视，而是想办法遮掩。一些小的团购网站采取各种手法收集大量用户资料，但不久网站因为各种原因倒闭，用户数据则成“孤儿数据”，可能被出售给竞争对手。[详细]

法律规范空白，网站权责不明让信息安全远落后于互联网发展

网民的账号、密码可被窃取并泄露，实名制网站中所保存的更为重要的身份信息，恐怕也同样难保绝对安全。而随着互联网和电子商务被广泛应用，大量个人数据和信息都通过网络保存和传输，网民信息泄漏的风险无疑极大增加了，相关的保护机制究竟是否到位？相关的责任有无明晰？相关的法律与究责机制是否建立？恐怕也都还是一个个问号。

很多网站在前期根本就没有重视客户信息的保密工作，先发展后治理成为了行业的一种通病，但这只是造成用户信息泄密乱象的主观原因，客观原因是“互联网产业信息安全监管”落后。据悉，针对信息安全监管，中国仅有的一部2004年颁布的《电子签名法》而缺乏一部专门的综合性信息安全法律来规范网络行为，明确用户、企业等相关方面责任义务的法律法规。“互联网飞速发展”与“信息安全监管严重滞后”形成了鲜明的对比，这也给密码泄露事件埋下了伏笔。[详细]

“泄密门”一方面暴露了网民安全意识普遍较低，另一方面更说明一些互联网公司缺乏安全运营的条件，而相关法律规范也有待完善。

泄露私人信息者应追究刑事责任

很多网站为了吸引更多用户、实现更好的用户体验，而刻意简略注册过程，纵容用户使用简单密码，从而给黑客留下了可乘之机。对于这样的网站，今后应该通过完善《网络信息安全法》之类的立法，以追究其渎职之责。当然，对于黑客，或者商业网站或其内部人员有恶意泄露用户信息牟利的行为，则应该被追究责任。2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，已有相关规定，也有现实案例。

金山公司也被卷入其中，此次轩然大波正是因为金山员工上传分享泄密名单而引起。根据2011年6月颁布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中第七条规定：明知是非法获取计算机信息系统数据犯罪所获取的数据、而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得五千元以上的，应当依照刑法定罪处罚。[详细]

网民登记信息越来越多，理应立法明确网站责任

当前，网络与人们的生活联系的越来越紧密，很多人的身份资料也需要直接或间接地登记其中，“泄密门”也提示人们：由于网站用户和身份资料紧密捆绑，这也使网民信息泄露的风险大增。如何严格保密，将是未来网络发展不得不面临的考验。韩国在网络信息安全方面就曾吃过亏，导火索正是源于一起数千万用户个人真实信息泄露事件。

对此，国内互联网公司和相关监管部门不可不鉴。尽管，这些问题可以通过技术手段实现，但是，最重要的还是完善相关法规，明确各方保护互联网个人信息的责任。用法律逼迫网站安全技术升级，同时也应让那些不负责任的网站，依法受到惩罚。[详细]

黑客找不到、网站不担责，个人维权几乎不可能成功

事实上，自CSDN的用户数据库遭公开以来，已陆续传出多个网络社区或SNS网站用户数据库被黑客盗取。对此，金山毒霸反病毒工程师李铁军表示，明文方式存储非常不安全，如果黑客能够进入网站数据库，即使其采用匿文存储，黑客将其解密的概率仍能达到90%。此外，用户想找到黑客身份几乎是不可能的事。

中国网络法律网首席法律顾问赵占领表示，黑客此类行为属于非法入侵计算机，属于犯罪行为。个人可以报案，但只能要求民事赔偿，在如何界定损失以及查找黑客身份方面存在不小难度，个人用户维权几乎不可能。[详细]

所以当下，保护隐私依然只能靠网民自己

具体到当下，立法保护网民的个人信息不是分分钟的事儿，而希冀各大网站完全能不泄露用户的资料恐怕也做不到，即使如此，也避免不了黑客对网站的攻击和对密码的暴力破解，至少在这一点上，网民是完全无能为力的。所以网民能够做到的只能是尽可能的保护自己的私人信息，在不确保绝对安全的情况下少将私人信息登记到网站。

许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码，如果一家网站服务器被黑客攻破，用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号一并失窃。所以，针对这一现实网络安全专家建议网民对密码分级管理，邮箱、网上支付、聊天账号等重要账号要单独设置密码；定期修改密码，以避免网站数据库泄露影响到自身账号。[详细]