关于密码泄密事件的个人分析

事件始末

从泄露出的截图上看，数据包中包括多玩网800万用户、人人网500万用户、7k7k网站2000万用户的账户和密码。经网友验证，人人网和多玩网被泄露的部分用户资料属实。人人网、开心网等均通过官方微博发布声明，提醒用户修改密码。23日，名为ty.kz内含4000万天涯用户资料的压缩包继续在网络上传播。网友戏称问候语已经改为“今天你改密码了吗”

网站反应

金山毒霸的专家表示，此次发生资料泄露，源于黑客入侵了网站的web服务器，盗取了大量用户注册信息，其中包括注册邮箱、用户名、密码（多是密文、部分网站是明文），并将这些数据在互联网中进行传播。

CSDN就在其官方网站上贴出了相关的公开道歉信，公开信中披露，目前泄露出来的CSDN账号数据基本上是2010年9月之前的数据，泄露原因正在调查中。（但经网友证实事实情况是很多2010的用户资料也在此次泄漏事件之中）。csdn总监批评金山员工恶意传播账号资料包。（金山员工在其微博上已经作出道歉）

人人网怪罪：可能是csdn惹的祸。记者联系到人人网的相关负责人。“这500万的用户资料绝对不是我们泄露出去的，”该负责人表示，“这个可能是黑客从csdn泄露的600万密码中测试出来的，我们人人网的用户资料都是加密保存的。”该负责人还表示，目前网上可供下载的人人网用户数据，经过测试，并非人人网账户信息。发表声明建议用户修改密码，并称“人人从上线开始就没有记录明文密码。”

开心网表态：建议改密码。紧随人人网之后，开心网也发出提示。这条于22日13时02分发出的微博称：“鉴于多家网站爆出用户资料被黑客公布的消息，开心网建议广大用户：如果有网站用户名与密码被盗，请及时更改其他网站上的用户名和密码。黑客会用盗来的用户名和密码来探测其他网站，如果用户在不同网站上使用的用户名和密码都相同，一旦泄露一个，其他的也容易被探测出来。”

多玩网CEO李学凌表示，已关注到网上传闻，多玩正在排查，目前尚未看到有用户资料泄露。尽管网上已有多玩泄露的截图，但并不能证明是真实的。

7K7K发话：不存在泄露情况。7K7K总裁孙祖德在微博上表示：“在网传7K7K用户数据发生泄露的第一时间，7K7K的网站技术人员进行了分析和排查，并未发现注册用户信息泄露的情况。”

支付宝方面表示“CSDN这次大规模的用户信息泄露，可能会给包括支付宝在内的类似公司造成一些困扰，因为不排除用户用同样的邮箱和密码同时注册多个网站。”“我们正在将获得的资料和支付宝用户进行核对，如果发现有相同会及时做出相关的保护措施。”

360方面表示，网络服务商应重视并加强对用户数据的安全保护，除了修复网站和服务器系统漏洞外，还应注意对用户数据进行加密存储，把黑客攻击的风险降到最低。金山也在相同时间发布了预警公告，并否认了公司员工为首个网上传播的网民。

用户心情

虽然人人网、开心网等社交网站都已经在官方微博发出修改密码的提醒，但是用户似乎还是不买账，上百名人人网用户在微博上表达自己的不满。网友“Mr_大大大麦”：“MD我刚下载的里面一个C+F就找到了自己的密码，你还这儿装。”网友“板牙兄”说：“鄙视人人，我们的账号都让泄露了，居然最基本的道歉都没有，用户损失不可估量！”

浅层次分析

禁用明文密码一直是互联网行业自律行为，并没有严格的法律规定网站必须使用加密形式的密码造成了此次杯具。早一些年因为技术手段和资源不足或许无法对密码进行加密，但现在技术条件均不再是限制的情况下，一些网站仍然使用明文密码，居心何在？有什么目的？！是否存在保留用户私密资料以备需要时使用的心态？！黑客攻击网站漏洞，窃取个人信息，其目的也无非是赚钱营利。有业内人士爆料称，有更多网站的用户资料遭到黑客疯狂盗取并被转手卖钱，一些重要的数据包甚至可以卖到上百万元。据金山网络安全专家李铁军透露，这些数据在被刚盗取出来时，是在黑客圈子里销售，价格非常昂贵。比如一些游戏厂商上百 万的玩家用户的资料包可以卖到百万元的高价，而买家多是被盗资料公司的竞争对手。此外，央视也曾曝光个人信息被兜售的事情，有专门的公司从事信息买卖行业，已成为完整的产业链，详细的个人信息都是由 公司统一购买的，每条信息从1毛钱到50元钱不等。一个名为海量信息科技网，共网站上民情囊括了全国各地的车主信息、各大 银行用户数据，甚至股民信息等等，一应俱全，而且价格也极其低廉，仅花100元就能买到1000条各种各样的信息。

深层次分析

延伸阅读 一、北京市2011年16日推出《北京市微博客发展管理若干规定》，《规定》提出，“后台实名，前台自愿”。微博用户在注册时必须使用真实身份信息，但用户昵称可自愿选择。12月17日，新浪、搜狐等多家微博运营商表示，微博实名注册对于遏制虚假和有害信息通过微博传播、营造诚信健康的网络环境将产生积极效果，对新规定实施后微博业务的发展充满信心。

延伸阅读 二、2011年7月，韩国发生了前所未有的信息外泄案件。韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄。该案件发生后，不少民间组织和专家称“互联网实名制”是使网站遭到黑客攻击的根本原因，并主张废除互联网实名制。他们称，韩国网站以互联网实名制为由，注册时收集并保管用户的诸多个人信息，从而导致动辄发生个人信息泄露案件。随后其存废与否在韩国成了烫手山芋。该案件远超过2008年电子商务网站Auction的1800万名用户信息外泄，成为韩国IT史上最大规模的黑客攻击。泄露的用户信息非常详尽，包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。该案件涉及面广，几乎牵涉到了所有韩国网民。韩国媒体报道称，该案件有可能造成大量发送垃圾邮件、电话诈骗等非法行为。对互联网实名制效果的质疑早已纷纷传出。

疑点

网络密码库存在的时间已很久，一直在地下形式传播，为什么突然大规模爆发传播起来。延伸阅读里的两个事件或许可以给我们启发，毕竟微博实名和此次泄密事件时间太过接近了。不是吗？

【编辑推荐】

1. 数据防泄密，用户倾向整体性解决方案
2. 如何构建数据防泄密安全体系
3. 《IT环境的安全复杂性》调研结果77%企业遭遇数据泄密
4. 运营商客户信息泄密风险防护整体解决方案
5. 2011年上半年五大臭名昭著的数据库泄密事件