泄密资料黑市“打包”叫卖百万元 引起网民担忧

春鸣 画

　　实习生 陈胤挺

　　CSDN600多万用户资料一夜之间被黑客曝光，涉及开心网、人人网、多玩网、世纪佳缘等众多国内知名互联网企业。虽然安全软件厂商一再督促网友要尽快更换密码提高安全系数，但是换了密码真的就能保证安全吗？为何一再强调高超加密的数据库泄露出来的居然是明文密码？谁来监管这些网站的后台？谁来为广大用户负责？

　　1

　　蹊跷

　　被泄600万账号都是明文密码？

　　有网络专家称，黑客密码字典可瞬间破解简单密码

　　最先引爆该事件的是国内最大的程序员社区CSDN（中国软件开发联盟）。21日上午，黑客在网上公开了CSDN网站的用户数据库，其中包括600余万个注册邮箱账号和与之对应的明文密码。由于许多用户采用了相同账号密码，人人网、开心网、百合网、珍爱网、世纪佳缘、51CTO、CNZZ、eNet、UUU9、多玩网、美空网等众多网站随即被卷入泄密风波，业界普遍认为此次事件是中国互联网史上最大信息泄露事件。

　　但是令人感到蹊跷的是，这份文件中泄密的600多万账号对应的都是明文密码，也就是说是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候，填写密码时都用*号代替并没有直接显示，而且网站还都宣称在后台会高度加密。据悉， CSDN网站会员囊括了中国地区90%以上的优秀程序员，那这份明文密码文件该如何解释呢？目前该网站还未作出回应。

　　“网站的安全意识十分不到位，”金山网络安全专家李铁军对此向羊城晚报记者表示，密码加密技术其实已经比较成熟，但是由于黑客已经收集了大量密码的明文和密文，并以此构建了庞大的数据库（在线密码字典），“一些最简单的字串被许多黑客工具加到最简单的密码字典中，瞬间即可破解。”据悉，这样的匹配成功率高达93%。

　　2

　　黑市

　　被盗资料数据包可卖上百万元

　　买者会利用这些信息进行诈骗、发广告等牟利

　　CSDN官方22日发表声明表示，经过初步分析，遭黑客泄露的数据是2009年CSDN作为备份所用，目前不知泄露原因，CSDN表示已向公安机关报案，公司要求“2009年4月以前注册的账号，且2010年9月之后没有修改过密码”的用户立即修改密码。

　　但有安全领域人士猜测，目前泄密的资料可能只是一小部分，更多的数据或已被黑客转手卖钱。该人士透露，这些数据在黑客圈中所谓的“黑市”里销售，一个打包“产品”甚至可以叫价上百万元，有人会利用该信息进行诈骗，有人会买断竞争对手的用户资源，有人会给用户发广告或垃圾信息牟利，而一旦数据没有价值了就会被抛出， 但是对于普通用户来说，完全被蒙在鼓里。

　　3

　　惊讶

　　23万人用同一密码“123456789”

　　不少密码竟在众多网站中“一号通”

　　大量用户数据被公开后，据统计结果显示，有239万人的密码和别人存在重复。在所有密码中，最简单好记的“123456789”使用率最高，有23.5万人在使用；其次为“12345678”有21万多人使用；“11111111”有7万多人使用。总之，使用相同数字或者相同字母如“aaaaaaaa”等安全性极差的密码的网民大有人在。

　　李铁军指出，不少网民在众多网站中都是“一号通”，一旦一家网站用户数据被暴露，则邮箱、聊天记录、微博等个人私密性很强的信息极易被泄露。“在这份名单中有的邮箱是与在线支付系统相关联的，”李铁军建议为避免财产损失，网民尽快修改安全性更高的上网密码。

　　4

　　质疑

　　网络信息隐私保护无法可依

　　网站后台运作账户安全谁监管?

　　层出不穷的用户个人信息被泄事件，敲响了网络信息隐私保护的警钟。有评论人士认为，2000多万用户的程序社区网站也被黑，那么还有没有值得信任的网站？倘若改了密码过两天又被暴露出来该怎么办？

　　用户在注册一些网站的时候，其实是单方面提交了个人身份信息，但是网站有没有相应的保障十分值得商讨。而网站会不会在没有法律依据的情况下，因为利益驱动而将用户个人信息擅自交给“第三方”？而“第三方”又会将用户的个人信息如何处理呢？倘若一旦泄密责任该由谁来承担，又能承担多大的责任？这些都是法律风险所在。

　　有法律人士指出，关键还在没有配套法律，目前的司法实践中，如果用户仅以密码被泄露、侵害隐私权索赔的话，因为举证不易难以得到赔偿。而企业掌握了大量客户个人资料，说给谁就给谁，说泄露就泄露，用户没有一点话语权，就承担了很大的风险。

　　专家教你防范

　　密码设置“复杂化”

　　涉及金钱账号的密码，要有字母、数字和符号混合

　　据统计，国内几乎有50%的用户都是用纯数字做密码的，而其中只有10%到15%的用户设置了10位以上的密码。

　　瑞星安全专家王占涛对羊城晚报记者表示，涉及金钱和隐私的账号，应使用复杂的密码，要有字母、数字和符号混合。这样的密码应只在一个账户中使用。 “银行密码因为只支持数字，不能使用电话号码、生日、门牌号这样外人可知的数字，否则很容易被破解。”

　　金山安全专家李铁军建议：

　　1.将自己日常使用的网络服务分为两类：重要的（网上支付和聊天账号等）和一般的。

　　2.使用至少2个邮箱来绑定或申请网络服务，并确保邮箱密码不重复使用。

　　3.重要服务用重要邮箱来申请，一般服务用次要邮箱来申请。二者绝不混用。

　　4.重要服务使用的密码，且不能和邮箱相同，尽可能不重复使用重要服务的密码，并定期更换，最好一两个月修改一次。