调查始末：中国互联网最大规模用户资料泄露事件

　　电篇：金山闪现

　　或许是炫耀，或许是冲动，对于金山毒霸产品经理韩正奇来说，此次被外界质疑其是泄密源头的经历足以让他终生难忘。

　　与其说韩正奇是此次泄露用户信息的源头，还不如说，今天的安全工作者需要重新审视安全工作的准则，重新思考如何保证隐秘的用户数据库不被暴晒在阳光下。

　　CSDN数据泄密的当天下午3点，金山内部的工作聊天群中的一群安全师正在讨论刚刚在微博上曝光的CSDN数据库泄露一事。

　　韩正奇从一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。当他把QQ群内迅雷专用工具下载的链接转换成迅雷快传的下载链接，试图发到一个朋友QQ群时，意外发生了。

　　仅仅几分钟，韩正奇传的文件就在乌云网上出现了截图。这也让韩正奇成为网络上被 “千夫所指”的“黑客”。

　　事后，韩正奇在声明中说，“关于无意传播了CSDN泄露的用户数据，我要深深地向所有受到困扰的网民说一声 ‘对不起’，作为安全厂商的员工，我深知自己做了一件错事，无意识在网上将下载的用户资料作了分享。该事件导致众多网民心里恐慌，我内心也十分不安，本身事情我也是受害者。”

　　韩正奇说，他在意识到问题后，立即将迅雷分享地址删除。由于删除及时，该地址只有几名同事下载过，且从未将数据库文件外泄。

　　“做错事要承认错误，但网上称我最早在迅雷泄露了用户数据，这不是事实，是污蔑，因为我下载前就已有分享地址;还有人称我是黑客，其实我和几位同事的账户名和密码均被曝光 (邮箱后缀为kingsoft.com)，黑客是绝不会曝光自己的。更有人抹黑金山公司，这些纯粹是别有用心，是某公司背后在推动。”

　　虽然上述声明不足以消除外界对于韩正奇是此次泄密门主角的猜测，但蹊跷的是，韩正奇使用的互联网IDhzqedison是被谁对号入座的?事实是否如韩正奇所说，是有人要抹黑金山，或者是有竞争对手在背后推动，尚无从得知。

　　另一方面，一位金山内部人士对《每日经济新闻》记者表示，该公司竞争对手360已经在当天12时33分官方微博发布CSDN数据库泄露的消息，随后微博、论坛和QQ群中均有众多网民在传播该数据库。

　　雷篇：迅雷悬疑

　　种种迹象表明，此次被曝光的用户信息早已在黑客世界中暗暗流通，但是，缘何突破了那个神秘圈子并闯入了公众视线?截至目前，“泄密门”事件的始作俑者在网警和有关部门的介入下，依然无解。

　　戏剧化的一面是，有业内人士认为，在这次大规模“爆库”事件中，迅雷扮演了一个重要角色。

　　一位不愿透露姓名的安全专家认为，此前黑客均通过邮箱内部交流“黑”来的数据库，但一些人通过迅雷离线下载或高速通道下载，这些数据库就保留在了迅雷服务器。当其他用户使用迅雷下载时，通过“相关推荐”功能把黑客用来内部交流的数据下载了下来。如此往复，导致被爆的库越来越多，以至于所有数据大白于天下。

　　为了摸清其中缘由，《每日经济新闻》记者下载了版本号7.2.4.3312的迅雷下载软件，并随即用其下载了一个编程程序。下载过程中，迅雷在其相关推荐栏里给出了 “CSDN-中文IT社区-600万.rar”下载地址。

　　为了进一步说明问题所在，记者试图下载和被泄露数据库无任何关联的一款名为《剑灵》客户端游戏，令人意外的是，在迅雷下载的右边有相关推荐提示“使用了此链接的用户还使用了如下链接”，是一份名为 “280w-zur-u-e-p-R.kz”的文件，尝试下载该文件时，显示其为泄露的数据库文件，而该文件右边相关推荐又再次显示另外29份黑客泄露的数据库文件。

　　值得注意的是，此现象在迅雷7.1版本中并不存在。《每日经济新闻》记者尝试了其他下载工具，均没有类似相关推荐提示。

　　“迅雷7.2的相关推荐，可能是揭秘黑客关系链的有效证据。”上述不愿透露姓名的安全专家表示。

　　上述猜测也得到WooYun的认同。WooYun认为，起初黑客私下交流的数据 (最初的交流工具可能是QQ邮箱)，而后被迅雷7.2意外泄露，由于参与下载的人越来越多，众多网盘已成为分享数据库的载体。

　　针对上述问题，迅雷在针对《每日经济新闻》的官方回应中称，首先，迅雷是最早屏蔽CSDN泄密数据的互联网企业。迅雷称，21日晚间8:40，迅雷在第一时间就根据CSDN方面提供的链接对相关泄密数据进行了全面屏蔽。“作为一个第三方下载平台，迅雷已经尽到了最大的努力减少CSDN泄密事件给网民和企业带来的损失。”

　　迅雷表示，迅雷绝对不会在服务器上存储任何与泄密事件相关的数据库，QQMail作为私人链接，用户不能从迅雷“相关推荐”中直接下载。此外，迅雷“相关推荐”最多只能提供30条，只有当文件被下载次数达到一定阈值才有可能进入相关推荐，鉴于目前迅雷的用户覆盖量，小范围传播的文件被推荐的概率微乎其微。

　　但是，记者再次使用迅雷7.2下载“剑灵.rar”，从迅雷右边的相关推荐里看到“280W- zur-u-e-p-R.kz”的34.69MB数据包，点击下载后，迅雷又推荐了 “5000万_51693.zip”、 “300w -Yue.kz”、“350-E875131.kz”、“7k7k2000万_2047.rar”、“1000W+IS2_16436.rar”等29个链接。

　　此外，迅雷指出，迅雷的“相关推荐”不是共享推荐，即用户无法主动通过这一功能共享文件。这种推荐方式与购物网站会提示“买了此商品的用户还买了***”一样，推荐算法本身是由机器算法执行，无任何人工干预。

　　《每日经济新闻》记者注意到，虽然迅雷声称其推荐的算法为机器算法执行，但是，目前迅雷正在试图删除相关推荐的链接来回避该问题。

　　“既然是机器算法，没有人工干预，但是相关的链接为何消失了呢?”上述安全专家再次提出质疑。

　　截至记者发稿，迅雷方面亦未对此问题作出详细解释。

　　雨篇：

　　安全追问

　　频发的泄密危机正拷问着中国的互联网安全。2011年12月27日，中国计算机学会青年计算机科技论坛广州分会召开了“互联网用户资料泄露事件紧急会议”。16名与会专家一致认为，这次事件是迄今为止“中国互联网史上最大信息泄露事件”。

　　专家们呼吁，希望工信部门和公安部门牵头，成立专门的调查组，对本次事件进行调查，并公布调查结果。他们建议，针对用户资料和个人隐私，政府应尽快建立法律法规进行规范，以维护个人权益。

　　据《每日经济新闻》了解，早在2007年，公安部、国家保密局、国家密码管理、国务院信息工作办公室四部门就联合制定了 《信息安全等级保护管理办法》，但是，该标准只是在一些大型网站执行，中小网站并没有强制执行。

　　业内专家认为，频频爆发的数据库信息的外泄正一点一滴地瓦解现有互联网认证机制。目前的互联网认证是基于电子邮件的认证，电子邮件在各个企业和互联网公司都被用作标识用户身份，而经过近几年黑客多次的“洗礼”，目前国内互联网企业中含有较大用户基数的站点可能都已沦陷。

　　更令外界担忧的是，即使知道自己用户数据库被窃取，大多数企业基于自身利益还是会保持沉默，就在此前，有媒体报道称，从论坛、BBS到SNS、电商，各网站对安全的IT支出都很少。

　　据一家券商TMT研究部门的调研数据，目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%，对安全性要求比较高的金融行业为10%。而欧美互联网公司的安全支出占比普遍为8%~10%。

　　对于“囊中羞涩”的互联网安全投入，腾讯公司联席CTO熊明华对《每日经济新闻》记者表示，腾讯目前拥有两支独立的安全团队，一支负责腾讯内网的安全体系维护，另外一支则负责外网。

　　据记者了解，几年前，腾讯曾遭遇盗号团队的攻击，窃取用户密码用以牟利。而后腾讯与有关部门集中打击了犯罪分子，十多人因此获刑。

　　据滕明华透露，此后腾讯花了3年时间对密保系统部门从底层开始了彻底的重构。

　　WooYun认为，中国的互联网正经历高速发展阶段，安全与用户体验本身存在矛盾性，对于用户而言，复杂的密码固然比较安全，但却严重影响用户体验。

　　CSDN蒋涛指出，目前黑客最流行的盗号手段是盗号贼利用窃取的其他网站的密码数据库在各大网站尝试登录。

　　360网络安全专家石晓虹表示，不同黑客组织通过交易、共享等方式聚合不同网站的密码库，形成非常庞大的规模，然后将此黑客的密码库批发给专门从事“洗号”环节的不法分子。

　　据石晓虹透露，“洗号”分子一般会筛选有价值的注册邮箱，比如知名企业的工作邮箱，然后窃取邮箱中的重要商业资料，甚至进一步通过社会工程手段进行诈骗。

　　此外，黑客分子还利用密码库在网上支付平台自动批量发起交易，如果恰好用户泄露的注册邮箱和密码与网上支付账户的交易密码相同，支付账户中的余额就会被转移。

　　危害还不仅限于此。石晓虹指出，黑客经常利用密码库尝试登录QQ、MSN等聊天软件账号，向好友发送借钱诈骗消息，或者在微博等社交网站上尝试登录，由此产生出付费加粉丝、发布广告信息或钓鱼诈骗链接等多种获利途径。

　　此前，韩国也发生了前所未有的信息泄露事件，三大门户网站之一Nate和社交网站 “赛我网”遭黑客攻击，3500万用户信息外泄。

　　IT专家洪波认为，从2007年就开始实行网络实名制的韩国，在“密码危机”面前选择了回到原点——取消实名制。这或许给时下正在极力推行网络实名制的我国政府一个启示：目前实名制的好处不明显，风险却十分巨大，在目前互联网技术架构下安全难以保障的情况下，政府需要重新审视实名制。