2011年12月21日，北京望京地域某酒店內正在召開的“CSDN微峰會”，因為CSDN總裁蔣濤的突然離席而中斷。 剛致完開場白，蔣濤的手機鈴聲猛然響起來

　　“泄密”之秘
 
每經記者 謝曉萍 發自北京
 
2011年12月21日，北京望京地域某酒店內正在召開的“CSDN微峰會”，因為CSDN總裁蔣濤的突然離席而中斷。
 
剛致完開場白，蔣濤的手機鈴聲猛然響起來，接完這個緊急德律風后，蔣濤神情凝重地“逃離”了現場，耳邊還回蕩著德律風中員工的那句話：“蔣總，網站600多萬注冊用戶信息被黑客曝光!”
 
與現實場景相對的虛擬網絡世界里，CSDN網站中跨越600萬個注冊郵箱賬號和對應的明文密碼數據庫已經被曝光。這還不是最嚴重的，成為眾矢之的的CSDN泄露的600萬密碼只是牛之一毛，與其一道被“爆庫”的還包含網易、人人、天涯、貓撲、多玩等多家公共網站及部門機構網站。
 
自此，中國互聯網有史以來波及面最廣、規模最大、危害最深的泄密事件全面爆發。
 
風篇：泄密旋風
 
蔣濤沒有想到，2011年這個圣誕節成了中國黑客的狂歡日，隨之而來的，是一場互聯網界的噩夢。
 
12月21日，360平安衛士在微博上披露，有黑客在網上公開CSDN網站用戶數據庫，包含600余萬個明文注冊郵箱賬號和密碼，請廣大軌范員(軟件工程師)務必重視并盡快修改密碼。CSDN建立于1999年12月，會員囊括了國內90%以上的優秀軌范員。
 
事實上，在360披露之前，CSDN數據的泄露就已經不是秘密。新浪某平安主管早在11月10日就透露，用戶名密碼泄露了的網站不只CSDN一家。
 
據一位知情平安人士對 《每日經濟新聞》記者透露，新浪還曾針對此事內部討論過應對體例，包含如何加強用戶現有密碼的呵護等。
 
12月4日，專業平安網站 “烏云”(wooyun.org)上，就有ID為“臭小子”的用戶發布了一份 “中國各大站點數據庫曝光”的漏洞概要，其中就包含CSDN相關數據庫。
 
烏云在微博上稱，“還覺得這些所謂的上市公司上市企業真的呵護好了你提交的數據么?中國各大站點數據庫曝光”。遺憾的是，除少數平安圈人士，這則微博并沒有引起太多用戶的關注。
 
有平安人士發現自己也“中招”了。在其注冊使用的4個CSDN賬號中，有兩個賬號名在盛大也注冊使用，且密碼同CSDN賬號一致。通過對盛大通行證登錄數據發現，4個賬號都曾被考試考試登錄，其中有兩個登錄成功。
 
作為國內IT技術社區CSDN的一把手，蔣濤清楚地認識到事態的嚴重性。他隨即揭曉道歉聲明，稱外泄的CSDN賬號數據基本上是2010年9月以前的數據，泄露原因正在查詢造訪之中。蔣濤也在第一時間同新浪、網易、騰訊等主要互聯網公司取得聯系，希望對方可以在第一時間內告知用戶更改密碼。
 
12月22日，CSDN邀請了杭州安恒信息技術有限公司進行平安審計。資料顯示，安恒信息曾被奧組委授予“奧運信息平安保障杰出貢獻獎”。據一名那時介入審計的相關負責人士透露，平安審計組曾針對CSDN從外圍進行了黑客模擬滲透機制，測試結果令人耽憂，在不需要任何用戶名、口令等的情況下，就能很容易地進入CSDN后臺，并獲取相關數據。“目前CSDN已經將相關技術漏洞修補完成。”該負責人士稱。
 
這次真正棘手的問題是，以往一向在黑客圈流傳的內部數據被廣大用戶通過數據包下載而獲得。
 
“如果普通用戶拿到這些信息，找一些認識人的密碼，這是一件很可怕的事情。”蔣濤暗示。
 
事實證明，蔣濤的耽憂并不是沒有事理。公開的數據包下載，也讓好事者通過郵箱驗證，成功進入他人的郵箱。
 
12月28日，一名ID為“極品良粽”的用戶在天涯論壇上曝料截圖，其通過公開的數據包成功登錄了演員董潔的郵箱及深圳衛視某員工的郵箱，還意外獲知深圳衛視跨年演唱會的流程表中有關郎朗和韓庚的保險單。
 
云篇：烏云是誰
 
如果不是這起規模巨大的泄密事件，或許廣大網民還不會如此迅速地知道這個叫做“烏云”的漏洞述說平臺。
 
從2011年12月4日最初的漏洞述說開始，原本名不見經傳的烏云網，因近期一系列網站泄密事件而聲名鵲起。該網站先后曝出CSDN、天涯、當當、京東商城等網站存在平安漏洞。
 
這是一個最初由幾名從事平安行業的自愿者倡議搭建的位于廠商和平安研究者之間的平安問題反饋平臺，目前為非盈利。截至目前，共有500多位研究人員為120多個企業提交了接近4000個平安問題。
 
據烏云相關負責人WooYun介紹，烏云平臺最初招募了一些 “白帽子”(WhiteHat，即正面、合法的黑客，現實生活中的身份是平安專業人士——編者注)，主要的平安研究人員包含互聯網公司平安工程師、平安公司平安研究員以及平安技術快樂喜愛者，他們將發現的廠商漏洞問題提交烏云平臺，由烏云平臺告知廠商，烏云平臺會事先設定一個月時間讓廠商確認該漏洞以及修復問題，若一個月后廠商依然沒有解決問題，烏云平臺則將漏洞信息對外公布。
 
“我們只是對白帽子前期的身份進行核實，而對其反映的廠商情況，則需要廠商自己去核實。”WooYun暗示。
 
WooYun告訴《每日經濟新聞》記者，他們發現，廠商對平安問題其實不特別重視，采納的態度通常為忽略或者根本就矢口否認，而這也造成了越來越多的平安研究者不再主動向廠商提交平安問題。
 
事實上，這種漏洞信息的披露是一把雙刃劍。如果廠商沒有足夠重視而被黑客利用的話，可能會起反作用。這也意味著烏云平臺的信息披露存在一定的風險，尤其在此次“泄密門”之后，烏云頻頻出擊，不由自主地站上了風口浪尖。
 
WooYun坦言，現有平臺作業簡直有不夠完善之處，因此，12月30日，烏云網宣布暫時關站，進行系統升級。
 
電篇：金山閃現
 
或許是炫耀，或許是感動，對金山毒霸產物經理韓正奇來說，此次被外界質疑其是泄密源頭的經歷足以讓他終生難忘。
 
與其說韓正奇是此次泄露用戶信息的源頭，還不如說，今天的平安工作者需要重新審視平安工作的準則，重新思考如何保證隱秘的用戶數據庫不被暴曬在陽光下。
 
CSDN數據泄密確當天下午3點，金山內部的工作聊天群中的一群平安師正在討論剛剛在微博上曝光的CSDN數據庫泄露一事。
 
韓正奇從一個網絡平安相關的QQ群內下載了一份CSDN用戶賬號密碼文件。當他把QQ群內迅雷專用工具下載的鏈接轉換成迅雷快傳的下載鏈接，試圖發到一個朋友QQ群時，意外發生了。
 
僅僅幾分鐘，韓正奇傳的文件就在烏云網上泛起了截圖。這也讓韓正奇成為網絡上被 “千夫所指”的“黑客”。
 
事后，韓正奇在聲明中說，“關于無意傳布了CSDN泄露的用戶數據，我要深深地向所有受到困擾的網民說一聲 ‘對不起’，作為平安廠商的員工，我深知自己做了一件錯事，無意識在網上將下載的用戶資料作了分享。該事件致使眾多網民心里恐慌，我內心也十分不安，自己事情我也是受害者。”
 
韓正奇說，他在意想到問題后，立即將迅雷分享地址刪除。由于刪除及時，該地址只有幾名同事下載過，且從未將數據庫文件外泄。
 
“做錯事要認可毛病，但網上稱我最早在迅雷泄露了用戶數據，這不是事實，是污蔑，因為我下載前就已有分享地址;還有人稱我是黑客，其實我和幾位同事的賬戶名和密碼均被曝光 (郵箱后綴為kingsoft.com)，黑客是絕不會曝光自己的。更有人抹黑金山公司，這些純粹是心懷叵測，是某公司背后在推動。”
 
雖然上述聲明不足以消除外界對韓正奇是此次泄密門主角的料想，但蹊蹺的是，韓正奇使用的互聯網IDhzqedison是被誰對號入座的?事實是否如韓正奇所說，是有人要抹黑金山，或者是有競爭對手在背后推動，尚無從得知。
 
另一方面，一位金山內部人士對《每日經濟新聞》記者暗示，該公司競爭對手360已經在當天12時33分官方微博發布CSDN數據庫泄露的消息，隨后微博、論壇和QQ群中均有眾多網民在傳布該數據庫。
 
雷篇：迅雷懸疑
 
種種跡象剖明，此次被曝光的用戶信息早已在黑客世界中暗暗流通，可是，緣何突破了那個神秘圈子并闖入了公眾視線?截至目前，“泄密門”事件的始作俑者在網警和有關部門的介入下，依然無解。
 
戲劇化的一面是，有業內人士認為，在這次大規模“爆庫”事件中，迅雷飾演了一個重要角色。
 
一位不愿透露姓名的平安專家認為，此前黑客均通過郵箱內部交流“黑”來的數據庫，但一些人通過迅雷離線下載或高速通道下載，這些數據庫就保留在了迅雷服務器。當其他用戶使用迅雷下載時，通過“相關推薦”功能把黑客用來內部交流的數據下載了下來。如此往復，致使被爆的庫越來越多，以至于所有數據大白于天下。
 
為了摸清其中緣由，《每日經濟新聞》記者下載了版本號7.2.4.3312的迅雷下載軟件，并隨即用其下載了一個編程軌范。下載過程傍邊，迅雷在其相關推薦欄里給出了 “CSDN-中文IT社區-600萬.rar”下載地址。
 
為了進一步說明問題所在，記者試圖下載和被泄露數據庫無任何關聯的一款名為《劍靈》客戶端游戲，令人意外的是，在迅雷下載的右邊有相關推薦提示 “使用了此鏈接的用戶還使用了如下鏈接”，是一份名為 “280w-zur-u-e-p-R.kz”的文件，考試考試下載該文件時，顯示其為泄露的數據庫文件，而該文件右邊相關推薦又再次顯示另外29份黑客泄露的數據庫文件。
 
值得注意的是，此現象在迅雷7.1版本中其實不存在?！睹咳战洕侣劇酚浾呖荚嚳荚嚵似渌螺d工具，均沒有類似相關推薦提示。
 
“迅雷7.2的相關推薦，多是揭秘黑客關系鏈的有效證據。”上述不愿透露姓名的平安專家暗示。
 
上述料想也獲得WooYun的認同。WooYun認為，起初黑客私下交流的數據 (最初的交流工具多是QQ郵箱)，爾后被迅雷7.2意外泄露，由于介入下載的人越來越多，眾多網盤已成為分享數據庫的載體。
 
針對上述問題，迅雷在針對《每日經濟新聞》的官方回應中稱，首先，迅雷是最早屏蔽CSDN泄密數據的互聯網企業。迅雷稱，21日晚間8:40，迅雷在第一時間就根據CSDN方面提供的鏈接對相關泄密數據進行了全面屏蔽。“作為一個第三方下載平臺，迅雷已經盡到了最大的努力減少CSDN泄密事件給網民和企業帶來的損失。”
 
迅雷暗示，迅雷絕對不會在服務器上存儲任何與泄密事件相關的數據庫，QQMail作為私人鏈接，用戶不克不及從迅雷“相關推薦”中直接下載。另外，迅雷“相關推薦”最多只能提供30條，只有當文件被下載次數到達一定閾值才有可能進入相關推薦，鑒于目前迅雷的用戶覆蓋量，小規模傳布的文件被推薦的概率眇乎小哉。
 
可是，記者再次使用迅雷7.2下載“劍靈.rar”，從迅雷右邊的相關推薦里看到“280W-zur-u-e-p-R.kz”的34.69MB 數據包，點擊下載后，迅雷又推薦了 “5000萬_51693.zip”、 “300w -Yue.kz”、“350-E875131.kz”、“7k7k2000萬_2047.rar”、“1000W+IS2_16436.rar”等29個鏈接。
 
另外，迅雷指出，迅雷的“相關推薦”不是共享推薦，即用戶無法主動通過這一功能共享文件。這種推薦體例與購物網站會提示“買了此商品的用戶還買了***”一樣，推薦算法自己是由機器算法執行，無任何人工干預。
 
《每日經濟新聞》記者注意到，雖然迅雷聲稱其推薦的算法為機器算法執行，可是，目前迅雷正在試圖刪除相關推薦的鏈接來回避該問題。
 
“既然是機器算法，沒有人工干預，可是相關的鏈接為何消失了呢?”上述平安專家再次提出質疑。
 
截至記者發稿，迅雷方面亦未對此問題作出詳細解釋。
 
雨篇：
 
平安追問
 
頻發的泄密危機正拷問著中國的互聯網平安。2011年12月27日，中國計算機學會青年計算機科技論壇廣州分會召開了“互聯網用戶資料泄露事件緊急會議”。16名與會專家一致認為，這次事件是迄今為止“中國互聯網史上最大信息泄露事件”。
 
專家們呼吁，希望工信部門和公安部門牽頭，成立專門的查詢造訪組，對本次事件進行查詢造訪，并公布查詢造訪結果。他們建議，針對用戶資料和個人隱私，政府應盡快建立法令律例進行規范，以維護個人權益。
 
據《每日經濟新聞》了解，早在2007年，公安部、國家保密局、國家密碼管理、國務院信息工作辦公室四部門就聯合制定了 《信息平安品級呵護管理體例》，可是，該尺度只是在一些大型網站執行，中小網站并沒有強制執行。
 
業內專家認為，頻頻爆發的數據庫信息的外泄正一點一滴地瓦解現有互聯網認證機制。目前的互聯網認證是基于電子郵件的認證，電子郵件在各個企業和互聯網公司都被用作標識用戶身份，而經過近幾年黑客屢次的“洗禮”，目前國內互聯網企業中含有較大用戶基數的站點可能都已淪陷。
 
更令外界耽憂的是，即使知道自己用戶數據庫被竊取，大大都企業基于自身利益還是會連結緘默，就在此前，有媒體報道稱，從論壇、BBS到SNS、電商，各網站對平安的IT支出都很少。
 
據一家券商TMT研究部門的調研數據，目前中國互聯網公司的信息平安支出在整體IT支出中的比例不到1%，對平安性要求斗勁高的金融行業為10%。而歐美互聯網公司的平安支出占比普遍為8%~10%。
 
對“囊中羞澀”的互聯網平安投入，騰訊公司聯席CTO熊明華對《每日經濟新聞》記者暗示，騰訊目前擁有兩支自力的平安團隊，一支負責騰訊內網的平安體系維護，另外一支則負責外網。
 
據記者了解，幾年前，騰訊曾遭遇盜號團隊的攻擊，竊取用戶密碼用以牟利。爾后騰訊與有關部門集中沖擊了犯罪份子，十多人因此獲刑。
 
據滕明華透露，爾后騰訊花了3年時間對密保系統部門從底層開始了完全的重構。
 
WooYun認為，中國的互聯網正經歷高速成長階段，平安與用戶體驗自己存在矛盾性，對用戶而言，復雜的密碼固然斗勁平安，但卻嚴重影響用戶體驗。
 
CSDN蔣濤指出，目前黑客最流行的盜號手段是盜號賊利用竊取的其他網站的密碼數據庫在各大網站考試考試登錄。
 
360網絡平安專家石曉虹暗示，不合黑客組織通過交易、共享等體例聚合不合網站的密碼庫，形成很是龐大的規模，然后將此黑客的密碼庫批發給專門從事“洗號”環節的犯警份子。
 
據石曉虹透露，“洗號”份子一般會篩選有價值的注冊郵箱，好比知名企業的工作郵箱，然后竊取郵箱中的重要商業資料，甚至進一步通過社會工程手段進行詐騙。
 
另外，黑客份子還利用密碼庫在網上支付平臺自動批量倡議交易，如果恰好用戶泄露的注冊郵箱和密碼與網上支付賬戶的交易密碼相同，支付賬戶中的余額就會被轉移。
 
危害還不僅限于此。石曉虹指出，黑客經常利用密碼庫考試考試登錄QQ、MSN等聊天軟件賬號，向好友發送借錢詐騙消息，或者在微博等社交網站上考試考試登錄，由此發生出付費加粉絲、發布廣告信息或垂釣詐騙鏈接等多種獲利途徑。
 
此前，韓國也發生了史無前例的信息泄露事件，三大門戶網站之一Nate和社交網站 “賽我網”遭黑客攻擊，3500萬用戶信息外泄。
 
IT專家洪波認為，從2007年就開始實行網絡實名制的韓國，在“密碼危機”面前選擇了回到原點——取消實名制。這或許給時下正在極力推行網絡實名制的我國政府一個啟示：目前實名制的好處不明顯，風險卻十分巨大，在目前互聯網技術架構下平安難以保障的情況下，政府需要重新審視實名制。