谁在偷窥我们的密码

　　数字身份的重要性日益凸显，然而互联网的安全性却没有成正比提高，频发的泄密危机拷问着中国的互联网安全，但相关立法却迟迟无进展

　　法治周末记者 高 原

　　“2012”未到之前，密码泄露危机提前上演。

　　2011年12月21日，CSDN(中国软件开发联盟)网站被曝600多万用户的数据库信息被黑客公开，而随后天涯、开心网、人人网、新浪微博等网站也都相继被曝密码泄露，密码被盗事件集中爆发。

　　“今天你改密码了吗?”成为了当下最为流行的问候语。

　　上亿网民集体“裸奔”

　　王艺打开人人网，发现自己的所有数据全部丢失，更让她恐慌的是，为了方便，她把很多购物网站都设定为相同的账户密码。

　　“现在不仅是改密码的问题，这么多的信息都丢失了，不知道该怎么找回来。”王艺沮丧地对记者说。

　　一位不愿意透露姓名的CSDN(中国软件开发联盟)用户更是苦不堪言，她的CSDN账户信息被泄露，通过一连串关联，搜狐、网易、雅虎等邮箱全部无法登录。

　　这些邮箱是她登录论坛、SNS、支付宝以及各种购物网站的方式，“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联，她无法通过密码取回的方式来取回这些邮箱。

　　2011年12月21日晚，CSDN发布公告，就部分用户数据泄露事件向用户表示歉意，提醒用户修改相关密码。“如果您在其他网站也使用同一密码，请一定同时修改相关网站的密码。”两天后，CSDN给出了关于账号信息修改的详细说明。

　　12月23日，多玩、梦幻西游通过木马泄露。此后，7K7K、178游戏、人人、猫扑、世纪佳缘等，全国各大知名网站几乎全部沦陷。

　　12月25日，天涯被曝其4000万用户数据泄露，这占到其总体6000万用户的六成多。

　　12月26日，天涯在首页置顶了相关告示，坦承其也是遭受黑客攻击并导致部分用户数据库外泄的受害网站之一。在致歉并提醒用户重置密码的同时，天涯社区还表示：“已向公安机关报案，公安机关也正在调查相关线索。”

　　同月26日，当当、京东、凡客等一线电商被推上了风口浪尖。它们被曝出用户信息泄露消息，这其中包括真实姓名、电话号码和收货地址。

　　12月29日，一个提供互联网行业最新内幕猛料的互联网资讯平台挨踢客在博客发表了一篇名为《传国内多家银行的用户数据已经泄露》相关文章，曝出中国工商银行、交通银行、民生银行客户信息泄露。就连通往全球的广东省出入境管理处也有444万用户信息疑被泄露。

　　很快，各家银行公开否认此事，为此，挨踢客就该事件发表声明，向涉事的交通银行、民生银行、工商银行表示歉意，但还是导致了业界对银行信息泄露的种种猜疑。

　　密码泄露事件后，借助第三方查询工具查看自己的账号是否被外泄成了不少用户的直接反应。

　　这在一定程度上推动了一些外泄密码查询网站在短时间内流量暴增，有的提供查询的网站甚至需要反复提交多次请求后，才能返回结果;甚至有的查询网站以调侃的语气劝告用户：别查了，还是赶紧改密码吧。

　　在使用“密码泄露查询工具”后，不少网民在微博上坦露心声，自己不止一家网站的用户名与密码泄露。出于方便易记，许多网民将用户名与密码统一起来，或者互相关联。有的使用邮箱进行互相关联。

　　中国黑客界元老龚蔚在接受媒体采访时表示，本次黑客公布的用户账号约为1亿个用户账号及密码相关信息，预计地下黑客掌握了更多的互联网用户账号信息。

　　本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角，预计有将近4到6亿的用户账号信息在黑客地下领域流传(2011年互联网数据统计，中国互联网网民为4.8亿)，这次被黑客公布爆库的网站数据信息只是黑客地下流传的极少一部分。

　　他透露，其中有相当一部分网站采用明文方式存储用户密码，分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储，通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。

　　众多网站无专职安全员

　　2011年12月27日晚，中国计算机学会青年计算机科技论坛广州分会召开了“互联网用户资料泄露事件紧急会议”。16名与会专家一致认为，这次事件是迄今为止“中国互联网史上最大信息泄露事件”。

　　专家们呼吁，由工信部门和公安部门牵头，成立专门的调查组，针对本次事件进行调查，并公布调查结果。他们同时建议，针对用户资料和个人隐私，政府应尽快建立法律法规进行规范，以维护个人权益。

　　面对突如其来的大规模用户信息泄露，诸如CSDN、天涯等信息被泄露网站显得有些“手足无措”。

　　“以前，论坛并没有被列入安全等级要求，并不属于敏感数据。”CSDN总裁蒋涛表示很无奈，没想到，这一次CSDN成了众矢之的。

　　中国互联网络信息中心此前发布的报告显示，2011年上半年，遭遇过病毒或木马攻击的网民为2.17亿，占网民总数的44.7%;有过账号或密码被盗经历的网民达1.21亿;另有8%的网民最近半年内在网上遇到过消费欺诈。

　　在众多的互联网安全问题中，用户信息安全是最为敏感的问题，因为它直接关系到用户的隐私。

　　目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%至10%。而国内，对安全性要求比较高的金融行业，其信息安全支出在整个IT支出中占到10%。

　　来自360公司的报告也印证了这一点。

　　360网站安全检测平台的分析显示：“国内83%以上的网站存在各种安全漏洞，大部分网站基础防护能力薄弱;国内中小型网站普遍没有专职的安全工程师维护，光靠服务器配置防火墙和入侵检测设备，无法有效防御黑客的入侵。”

　　“目前，只有腾讯、阿里巴巴、百度有10位专职安全工程师，安全防护能力较强。其他的互联网上市公司也只有3位至5位专职工程师，有的甚至没有。”一位互联网公司的工程师告诉法治周末记者，在互联网企业有5位安全工程师，都算是豪华阵容，相当奢侈。

　　“目前，国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100名的网站有自己专业的初级安全、运维人员，前1000名的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”他说。

　　2011年12月28日，工业和信息化部发布通告称，用户信息泄露事件严重侵害了互联网用户的合法权益，危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时，要求各互联网站要开展全面的安全自查。

　　信息保护立法无进展

　　数字身份的重要性随着此次泄露事件再一次摆到人们的视野中。

　　工信部电信研究院政策与经济研究所的王融曾撰文指出，互联网已成为我国社会生产生活的重要平台和基础设施，规模居于全球第一的数以亿计的互联网网民每天通过各种数字身份凭证接入和使用各类互联网业务，同样也面临着身份盗窃、身份欺诈、隐私泄露等日益严重的安全问题。

　　法治周末记者发现，仅2011年11月，国家互联网应急中心(CNCERT)就监测发现我国内地1785个网站被篡改、2179个网站被植入后门、近165万个主机IP感染木马或僵尸程序以及561万余个主机IP感染飞客蠕虫。这些被入侵的网站和个人计算机上的数据都一定程度地面临被窃取的风险。

　　经合组织(OECD)的18个成员国已经制定或正在考虑制定本国的数字身份管理政策，其中美国已于2011年4月正式发布《网络空间身份信任国家战略》，全面系统地提出了“网络空间可信任身份生态系统”的战略构想。

　　“由于电子认证技术和标准之间缺乏协调性与兼容性，在一定程度上阻碍了我国电子政务的应用普及和互联网业务创新。为此，数字身份管理应当纳入我国网络政策的议事日程。”王融对法治周末记者说。

　　中国社科院法学所研究员周汉华在接受法治周末记者采访时也表示，如果靠民事法律保护个人信息安全，成本非常高，且取证困难。

　　刑法修正案(七)已将非法提供和非法获取公民个人信息纳入刑事制裁范畴。“但刑事制裁还是一个事后手段，并且各地的进展不平衡。”他还表示，我国目前对于个人信息保护的立法进程，在某种程度上处于停摆的状态。

　　周汉华和他的课题组在6年前便起草了个人信息保护法(专家建议稿)，但相关立法进展并无下文。

　　目前，欧美、日本对个人隐私的立法比较完备。无论是“被动”，还是“主动”，一旦网站泄露了用户信息，网站将面临重额的经济处罚。

　　2011年4月，索尼PS3有7700万用户信息遭窃，后来索尼正式道歉并对用户作出补偿。有预计称，索尼将赔偿245亿美元。

　　2004年，日本雅虎约有460万用户的个人信息外泄，日本雅虎向每位用户“赔偿”6美元的购物券，这才息事宁人。