你的密碼還安全嗎？

12月25日，天涯社區(qū)的4000萬用戶信息被泄漏，占到天涯用戶總數(shù)的60%。到目前為止，這起信息泄漏事件的始作俑者仍未查出。

多家互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)庫被大規(guī)模泄露。12月21日，知名程序員網(wǎng)站CSDN的600萬用戶數(shù)據(jù)被泄漏。此前，用戶信息泄漏事件涉及到多玩網(wǎng)、人人網(wǎng)、貓撲、新浪微博、7K7K小游戲、嘟嘟牛、178游戲等互聯(lián)網(wǎng)公司。12月26日，人人網(wǎng)、新浪微博等公開否認(rèn)用戶信息被泄露。

互聯(lián)網(wǎng)用戶信息泄漏由來已久?！?00元購買4萬個老總的手機號”——類似販賣信息在互聯(lián)網(wǎng)上呈泛濫之勢?！坝脩粜畔⑿孤﹤Φ氖怯脩舯旧?，并不損害互聯(lián)網(wǎng)公司的利益?！币晃换ヂ?lián)網(wǎng)行業(yè)人士評價說。

信息泄露程度難估

對于部分互聯(lián)網(wǎng)公司而言，最值錢的就是用戶數(shù)據(jù)，這些數(shù)據(jù)隨時可以售賣變現(xiàn)；另一方面，互聯(lián)網(wǎng)企業(yè)在安全方面投入甚少，也變相造成了用戶信息的“裸奔”。

用戶信息遭到泄露的互聯(lián)網(wǎng)公司“人人自?！保娂娮圆橛脩魯?shù)據(jù)庫，同時以郵件、短信等方式通知用戶更改個人密碼。

多玩網(wǎng)相關(guān)負(fù)責(zé)人告訴記者，目前，多玩網(wǎng)正在確認(rèn)被泄漏用戶的數(shù)量與程度，負(fù)責(zé)安全的技術(shù)人員正在接受排查。

有大量實名用戶的網(wǎng)站對信息泄漏事件則一口否認(rèn)。人人網(wǎng)的官方回復(fù)稱，人人網(wǎng)對用戶信息采取的不是明文存儲方式，也并沒有泄漏用戶信息的情況。新浪則回復(fù)道，新浪微博的用戶密碼并沒有被盜取，并且已經(jīng)采取了更加嚴(yán)格的保護措施。

“由于關(guān)聯(lián)性，用戶信息泄漏到什么程度，現(xiàn)在還很難估量?！苯鹕蕉景苑?A class=a-tips-Article-QQ target=_blank>病毒工程師李鐵軍(微博)認(rèn)為，大部分用戶往往使用同一個用戶名和密碼登錄多個網(wǎng)站。

李舉例道，一個郵箱往往關(guān)聯(lián)十幾個互聯(lián)網(wǎng)服務(wù)，包括常用郵箱、論壇、網(wǎng)站、SNS、購物、支付等。用戶不僅會收到大量的垃圾短信與郵件，還會將病毒通過SNS傳至朋友，支付賬戶的余額很可能被竊取。對于游戲類的玩家來說，賬戶里的裝備可能一夜之間被人“順手牽羊”，辛苦幾年練出來的級別瞬間“化為烏有”。

不僅如此，對于企業(yè)用戶來說，將更加危險。獲得這些用戶數(shù)據(jù)的企業(yè)或個人，可以通過多種手段搜尋到最有價值的企業(yè)賬戶，往往可以獲得企業(yè)郵箱，進而獲取企業(yè)的經(jīng)營內(nèi)容甚至商業(yè)機密。

“隨著互聯(lián)網(wǎng)用戶的暴增，各家都會保存數(shù)據(jù)用以分析用戶行為，所以互聯(lián)網(wǎng)上的安全風(fēng)險增大?！鼻拔乃龅幕ヂ?lián)網(wǎng)行業(yè)人士認(rèn)為，一旦執(zhí)行實名制，由于互聯(lián)網(wǎng)安全不規(guī)范，那么存在的隱患就更大。

由來已久的用戶信息販賣

“實際上，自互聯(lián)網(wǎng)誕生之日起，互聯(lián)網(wǎng)用戶數(shù)據(jù)的交易就開始了?！崩铊F軍告訴記者，現(xiàn)在暴露出來是因為用戶信息經(jīng)過多次販賣，已經(jīng)變得“廉價”，甚至免費了，之前用戶信息的價格非常高。

互聯(lián)網(wǎng)公司的盈利模式基本分為兩種，一是廣告，二是向用戶收費。這兩種模式的共同基礎(chǔ)是，為用戶提供某個免費產(chǎn)品或服務(wù)以獲得流量，再通過廣告或道具收費來賺錢。前者如新聞門戶，后者如游戲公司。但是，互聯(lián)網(wǎng)“免費”的模式使得這些公司賺錢需要花費的時間比較長，并且很多互聯(lián)網(wǎng)公司在創(chuàng)業(yè)過程中倒閉了。

對于互聯(lián)網(wǎng)公司而言，最值錢的就是用戶數(shù)據(jù)。只要擁有了這些數(shù)據(jù)，就可以做定向的廣告推送，還可以分析用戶的行為，進行更具針對性的營銷。其中，游戲、SNS網(wǎng)站用戶的信息價值最可觀。業(yè)內(nèi)估計，1000萬游戲用戶的信息價值達到幾百萬甚至上千萬元。

“所有的網(wǎng)站都‘死守’這些用戶數(shù)據(jù)，它們可以隨時變現(xiàn)?！鼻笆龌ヂ?lián)網(wǎng)行業(yè)人士說道。

因此，接下來的現(xiàn)象就屢見不鮮。某些網(wǎng)站的用戶想注銷賬戶，卻被提示無法注銷。在SNS網(wǎng)站上，用戶注銷后，相關(guān)的信息并不會刪除，用戶再用相同的郵箱注冊，之前的個人信息、記錄、日志、照片全部可以恢復(fù)。那些倒閉的網(wǎng)站，絕大部分不會銷毀用戶數(shù)據(jù)。

這些有價值的用戶信息是如何被泄漏出去的呢？

一位業(yè)內(nèi)人士告訴記者，一般而言，信息泄漏有兩個渠道：一是“黑客”攻破公司的防火墻，盜取存于服務(wù)器上的用戶信息；二是某些網(wǎng)站主動售賣用戶數(shù)據(jù)，以謀取利益。

獲得用戶信息后，這些販賣者就會泡在論壇、社交網(wǎng)站甚至黑客網(wǎng)站里。因為這里存在大量的求購或販賣用戶信息的需求。而交易雙方一般通過互聯(lián)網(wǎng)進行交易，并不見面。

一位不愿意透露姓名的行業(yè)人士告訴記者，由于購買用戶信息代價不菲，那些花高價買了用戶信息的人會想辦法將這些信息再兜售出去。由于電子化的信息售賣起來很方便，會導(dǎo)致用戶信息被多次轉(zhuǎn)手泄露。

“用戶信息泄漏，并不會損害互聯(lián)網(wǎng)公司的利益，只是用戶受到損失。”這位互聯(lián)網(wǎng)人士告訴記者，這樣的機制讓用戶“反抗無效”，只有“任人宰割”。

安全投入不足1%

“現(xiàn)在泄露的用戶信息都是直接保存密碼原文（明文），沒做任何加密。”金山快盤CTO楊鋼告訴記者，如果做了不可逆加密后，即使數(shù)據(jù)庫被拖走，里面的密碼也解不開，只能看到用戶名。

道高一尺，魔高一丈。對于常用的加密方法，黑客已經(jīng)搜集到了大量的解密方法，破解起來并不是一件難事。

“互聯(lián)網(wǎng)公司對安全性心存矛盾?！崩铊F軍認(rèn)為，對于互聯(lián)網(wǎng)公司來說，產(chǎn)品的用戶體驗是第一位。形成好的用戶體驗往往是簡單、易用的產(chǎn)品，安全往往與復(fù)雜對應(yīng)，會在一定程度上影響易用性。因此，無一例外，互聯(lián)網(wǎng)公司都優(yōu)先選擇了用戶體驗。

一位互聯(lián)網(wǎng)安全專家告訴記者，很多網(wǎng)站采用明文密碼的方式讓用戶信息“裸奔”，即便對安全性有所重視，也只是選擇MD5方式（一種加密算法），一般不會選擇SHA1方式。因為雖然SHA1比MD5強度高，但是MD5比SHA1快，互聯(lián)網(wǎng)需要的就是快。但是MD5并不完全可靠，若要保證用戶的安全，最好選擇SHA1。

李鐵軍認(rèn)為，安全防護不只是一個技術(shù)問題，企業(yè)也不只是安裝了防火墻和殺毒軟件就完成了安全防護，需要專人來實時監(jiān)控。安全運維人員需要根據(jù)訪問列表來及時辨別哪些是入侵，哪些是正常訪問，并進行及時處理。

“目前，中國只有瀏覽量在前100的網(wǎng)站有自己專業(yè)的安全運維人員，前1000的網(wǎng)站有安全產(chǎn)品或服務(wù)的采購，大部分網(wǎng)站都沒有專業(yè)的安全團隊?！币晃换ヂ?lián)網(wǎng)行業(yè)人士坦言。

據(jù)該人士介紹，互聯(lián)網(wǎng)公司建立自己的安全運維團隊，需要的成本投入很大。比如，大型B2C購物網(wǎng)站每年的安全運維投入需要達到千萬元級別，小一點的網(wǎng)站也需要幾百萬。但是目前，這些公司的安全投入不過幾百萬，有的只有幾十萬。

而從整個行業(yè)來看，據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù)，目前，中國互聯(lián)網(wǎng)公司的信息安全支出，在整體IT支出中的比例不到1%，歐美的比例是8%~10%。而國內(nèi)，對安全性要求比較高的金融行業(yè)，其信息安全支出在整個IT支出中占到10%。相比之下，互聯(lián)網(wǎng)行業(yè)的安全投入有些“捉襟見肘”。

“再不注意保護用戶信息，互聯(lián)網(wǎng)公司的品牌將會受極大傷害?！崩铊F軍認(rèn)為，安全就像是大樓里的消防措施，平?？雌饋聿]有發(fā)揮多大作用，但一旦發(fā)生問題，如果安全不到位，那么造成的損害會很大。