實(shí)際上，由于法律意識淡薄，以及抱著(zhù)好玩的態(tài)度，很多在互聯(lián)網(wǎng)公司從事安全的技術(shù)員工，以及安全廠(chǎng)商的技術(shù)員工都或多或少的盜取、傳播過(guò)用戶(hù)的信息庫。

　　湯潯芳 北京報道

　　轟動(dòng)一時(shí)的用戶(hù)信息泄漏事件終于有了“買(mǎi)單者”。

　　1月12日，本報記者從北京市公安局了解到，CSDN(中國軟件開(kāi)發(fā)聯(lián)盟)泄密的兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客，另一名為外地黑客。

　　“這兩名嫌犯是盜庫的嫌犯，公安機關(guān)抓到之后，我們對其藏有的用戶(hù)庫進(jìn)行了比對。”CSDN創(chuàng )始人兼總裁蔣濤亦向本報記者證實(shí)。

　　包括這2人，截至目前，公安機關(guān)查處入侵、竊取、倒賣(mài)數據案件9起，編造并炒作信息泄露案件3起，刑事拘留4人，予以治安處罰8人。

　　此前的10日，國家互聯(lián)網(wǎng)信息辦通報稱(chēng)，CSDN、天涯等網(wǎng)站信息泄漏，目前公安機關(guān)正在溯源。

　　其中京東商城確遭入侵，但數據并未泄漏。YY語(yǔ)音聊天網(wǎng)站泄漏的數據系該公司員工從內部數據庫竊取;工商銀行等金融機構的系統并未被入侵。開(kāi)心網(wǎng)、當當網(wǎng)、人人網(wǎng)、凡客等網(wǎng)站均未被入侵，部分賬號密碼系利用公開(kāi)庫進(jìn)行破解而獲得。

　　內外控失效

　　這位盜取CSDN用戶(hù)數據庫的員工可能涉嫌‘非法入侵計算機系統罪’。”知名IT律師趙占領(lǐng)告訴記者，“刑法第285條顯示，非法侵入計算機系統，或者采取其他技術(shù)手段獲取計算機系統中的數據，情結嚴重者會(huì )判處 3年以下有期徒刑，情節特別嚴重者判處3年到7年。”

　　并且，提供用戶(hù)數據、傳播用戶(hù)信息、出售個(gè)人信息等行為也違反了法律，“非法出售、提供個(gè)人信息，判處3年以下有期徒刑。”

　　實(shí)際上，本報了解到，由于法律意識淡薄，以及抱著(zhù)好玩的態(tài)度，很多在互聯(lián)網(wǎng)公司從事安全的技術(shù)員工，以及安全廠(chǎng)商的技術(shù)員工都或多或少的盜取、傳播過(guò)用戶(hù)的信息庫。

　　在黑客圈，黑客往往認為盜取用戶(hù)信息并不帶來(lái)多少危害，只要本能上覺(jué)得只要不要進(jìn)行售賣(mài)、釣魚(yú)等明顯的盈利行為，那么就并不違法。

　　“大家都會(huì )覺(jué)得沒(méi)事。因為此前，互聯(lián)網(wǎng)上，根本沒(méi)有人因為用戶(hù)信息泄漏的問(wèn)題而被抓。” 星云融創(chuàng )CEO馬杰說(shuō)。

　　據馬杰介紹，安全廠(chǎng)商會(huì )與自己的員工、互聯(lián)網(wǎng)公司會(huì )與安全系統的員工簽訂相關(guān)的協(xié)議，協(xié)議里會(huì )逐條寫(xiě)清楚在供職期間不允許做危害公共安全的事情。

　　“但是這個(gè)禁令基本無(wú)效，因為最終做不做危害公共安全的事情，還要看員工本人。”馬杰告訴記者，安全從業(yè)人員一般都服務(wù)于不同的公司，關(guān)系并不緊密。黑客這個(gè)行業(yè)并沒(méi)有行業(yè)“潛規則”來(lái)對黑客的行為進(jìn)行規范。

　　“白天安全工程師，晚上黑客”

　　“CSDN對敏感信息不敏感，也缺乏安全意識。”蔣濤承認，包括CSDN在內的國內大型網(wǎng)站安全意識都很薄弱。

　　據蔣濤介紹，目前，整個(gè)互聯(lián)網(wǎng)的安全現狀極不樂(lè )觀(guān)：70%以上的加密算法密碼庫都可以通過(guò)高頻碰撞破解，80%以上的互聯(lián)網(wǎng)公司都存在漏洞，60%以上有安全策略的公司還存在著(zhù)漏洞，地下數據庫顯示，網(wǎng)站暴露出來(lái)的問(wèn)題甚至更多。

　　這些漏洞，也就是黑客入侵的基礎。

　　眾多的黑客潛伏在IT互聯(lián)網(wǎng)公司。在這次泄密門(mén)事件中，YY語(yǔ)音聊天的信息泄漏是其員工自身來(lái)泄漏的，而竊取CSDN用戶(hù)數據也是互聯(lián)網(wǎng)公司的技術(shù)人員干的。

　　“這是企業(yè)員工的自發(fā)行為，和企業(yè)并沒(méi)有關(guān)系。但這也說(shuō)明了安全行業(yè)身份的多重性。”一位黑客告訴記者，這些人可能白天是某企業(yè)的安全工程師，晚上就是黑客。

　　“泄密門(mén)”兩嫌犯被拘： 白天工程師晚上黑客

　　據一位資深黑客介紹，這些用戶(hù)數據庫早已是黑客圈公開(kāi)的秘密;但這一次整個(gè)互聯(lián)網(wǎng)行業(yè)的用戶(hù)信息被泄漏，背后可能有某些商業(yè)組織在推動(dòng)。

　　“在國內，黑客的圈子雖然小，但大多是個(gè)人，組織松散，并且，行業(yè)也有自律。一般不會(huì )產(chǎn)生這樣大的爆庫行為。”這位黑客稱(chēng)。

　　一般情況下，用戶(hù)庫都只是在黑客圈中傳播，但一旦進(jìn)入大眾視野，影響便沒(méi)法控制，因為有很多通道可以進(jìn)行傳播。比如，迅雷、黑客圈的QQ群、論壇的FTP下載。

　　據北京市公安局相關(guān)處室透露，CSDN和天涯這兩家網(wǎng)站曾在2009年以前遭入侵，數據泄漏也發(fā)生在兩年前，近期這兩家網(wǎng)站并沒(méi)有遭到攻擊。

　　“這一次，黑客是善意的，爆出來(lái)的都是以前的庫。”一位不愿具名的安全行業(yè)工程師透露，實(shí)際上，他們手里有最新的庫，但出于對行業(yè)環(huán)境的考慮，沒(méi)有把這些庫爆出來(lái)。

　　泄密門(mén)曾有預警

　　在密碼泄漏事件中，一個(gè)叫做烏云漏洞平臺(Wooyun.org)從不為人熟知的專(zhuān)業(yè)平臺一下躍入大眾視野。烏云吸引了一大批黑客，他們在發(fā)現企業(yè)漏洞時(shí)，便將這些漏洞與補丁傳到這些網(wǎng)站上去。

　　但是，這個(gè)平臺一直不受企業(yè)待見(jiàn)。蔣濤亦坦承，事發(fā)之前，烏云漏洞平臺把大部分漏洞做出了預警，告訴了相關(guān)企業(yè)，但各個(gè)企業(yè)并沒(méi)有引起足夠重視，沒(méi)有及時(shí)提醒用戶(hù)修改密碼，導致后來(lái)一發(fā)不可收拾。

　　緣何企業(yè)對預警如此忽視?

　　這緣于黑客與企業(yè)之間多年形成的微妙關(guān)系。這些企業(yè)對黑客往往是又氣又惱。在黑客面前，企業(yè)就像一個(gè)學(xué)生。黑客老師天天挑學(xué)生的毛病，剛開(kāi)始可能覺(jué)得是正向激勵，日子久了，自然對黑客沒(méi)好臉色。

　　更有一些公司極端地認為，沒(méi)有黑客，企業(yè)的漏洞在某種程度上來(lái)說(shuō)就不存在，“即便存在，也不打緊。只要不暴露，就可以視而不見(jiàn)”。

　　但是，企業(yè)又無(wú)法“忽視”黑客。因為，黑客冷不防就會(huì )給上“溫柔一刀”。一些大的互聯(lián)網(wǎng)企業(yè)甚至直接“招安”黑客，納入麾下。有的小網(wǎng)站每月給黑客上交1萬(wàn)元到2萬(wàn)元的“保護費”。

　　“其實(shí)，黑客需要的是肯定。”上述安全行業(yè)工程師告訴記者，在烏云的平臺上，企業(yè)會(huì )給提交漏洞的黑客以積分，用作鼓勵。黑客也愿意無(wú)私提交發(fā)現的漏洞，如此形成了一個(gè)良性循環(huán)。

　　應對之策

　　“未來(lái)，各個(gè)網(wǎng)站應該和類(lèi)似烏云漏洞的平臺合作。”蔣濤倡議，未來(lái)，國內安全界和技術(shù)界不應該再有隔離。

　　CSDN開(kāi)始全方位亡羊補牢。1月11日，CSDN與阿里云展開(kāi)針對網(wǎng)站安全的戰略合作。據蔣濤介紹， CSDN將采用阿里云郵箱，并把該郵箱與其他郵箱隔離，避免一個(gè)郵箱泄漏，“全城皆失”的情況。并且，還將接受阿里云提供的其他服務(wù)。

　　“我們應該和那些安全做得好的企業(yè)合作。”蔣濤稱(chēng)，除百度、阿里、騰訊等大公司，以及某些游戲廠(chǎng)商外，許多國內的互聯(lián)網(wǎng)公司，包括CSDN在內，并沒(méi)有太多實(shí)力去成立一個(gè)專(zhuān)門(mén)的安全工程師團隊。

　　蔣濤告訴記者，CSDN會(huì )加強自身的安全策略，膠體磨把網(wǎng)站的非核心數據與核心數據進(jìn)行隔離，減少有價(jià)值數據的接口;并且正在向安全部門(mén)申請信息系統的等級保護，接受信息安全監管部門(mén)的相關(guān)管理。并且，CSDN還會(huì )引入相應的安全審核機制，防止數據信息從內部泄漏。