[新聞1+1]誰動了我們的“密碼”？（20120111）_新聞臺

資料圖（圖片來源：人民日報）

四人拘留，八人治安處罰，針對沸沸颺颺的網站泄密事件，國家互聯網網站辦首次回應。

字幕提示：2012年1月10日新聞

這些事件包括CSDN、天涯網站被入侵，網上流傳的京東商城網站被入侵，“YY”語言聊天網站泄漏數據網上流傳的工商銀行等金融機構數據泄漏。

是網絡謠傳還是故意炒作，是網絡技術與監管的漏洞，還是商業利益在推波助瀾？

杜躍進：因為背後有強大的經濟利益在誘惑這些黑客。

網絡用戶不斷激增，網絡安全備受考驗，當網絡成為一種生活，企業、銀行、法律、監管，公民個人信息安全如何確保？

網絡安全工程師：密碼設複雜一點，就是數字加字母加字符。

《新聞1+1》今日關注--個人密碼，社會安全！

中國網絡電視臺消息：互聯網對於現在的中國人來説幾乎生活當中不可或缺的一部分，我們現在已經有互聯網的網民是4.85億，很多人預測，甚至説不用預測，2012年中國互聯網的人數一定會超過5個億。在這種情況下，我們在互聯網上可能會有自己的郵箱或者其它一些什麼，我們都會有密碼，這個密碼就相當於我們在互聯網上的家上的鎖，還有防盜門。我們也有很多我們的個人信息可能都在互聯網上會有，相當於我們平常穿的衣服，一方面保暖，另一方面也遮羞。但是如果告訴你，有人能通過他的方法，你以為你家裏的門鑰匙只有你有，人家也有，輕易地就能進你們家，還有你以為你穿著衣服，在別人的眼裏你完全是裸體，你會怎麼辦呢？國家互聯網管理的有關部門昨天通報了與此有關的相關案件。

字幕提示：2011年12月25日新聞

國內最大的程序員網站CSDN數據庫泄漏引起了大家的高度關注，包含了600網絡用戶郵箱和密碼的數據庫整體泄漏，這突顯出了網絡安全面臨著一種新的威脅。

字幕提示：2011年12月27日新聞

改密碼成了這幾天天涯社區的用戶不得不做的一件事情，繼上周國內最大的程序員網站CSDN用戶數據泄漏之後，這兩天天涯社區用戶的帳號密碼也遭到了公開泄漏。

昨天，針對近一個月以來不斷升級擴大的泄密門事件，國家互聯網信息辦公室首度做出回應。

字幕提示：2012年1月10日新聞

國家互聯網信息辦發言人今天説，近期一些媒體報道或在網上流傳的數家網站用戶信息被泄漏的事件，引起互聯網管理部門的高度重視，相關事實已由公安機關查明，違法人員已經或將要被依法嚴肅查處。

據這位發言人介紹，近期查處的信息泄漏事件主要有五個。

CSDN、天涯網站被入侵事件

經查這兩家網站曾在2009年以前被入侵，數據遭泄漏也發生在兩年前，近期這兩家網站並未遭到攻擊。網民臭小子的徐某某出於個人炫耀目的，于去年12月4日在烏雲網上發帖稱CSDN等網站數據密碼被泄漏，並公佈泄漏的數據包截圖，現在徐某某已被公安機關予以訓誡。公安機關對這兩家網站遭入侵一事正在溯源追查。

網上流傳京東商城網站被入侵事件

經查這個網站確實遭到入侵，但數據未被泄漏。網民我心飛翔的犯罪嫌疑人要藥某于2011年4月發現京東商城網站存在安全漏洞，並在去年12月29日在烏雲網上法帖稱，掌握京東商城漏洞，以公佈該安全漏洞，要挾京東商城向其支付270萬元。京東商城網站未予支付，藥某也並未竊取泄漏該網站相關數據。藥某因涉嫌敲詐勒索，現已被依法行使拘留。

“YY”語音聊天網站泄漏數據事件

經查廣東“YY”語音聊天網站泄漏的數據是該公司員工利用職務之便從公司內部備份數據庫竊取，該網站並未被入侵，此事正在處理之中。

網上流傳的工商銀行等金融機構數據泄漏事件

經有關部門對工商銀行、民生銀行、交通銀行的調查，證實銀行系統並未被入侵，網上公佈的所謂數據與銀行相關數據不符。網民IT客的王某某從事網絡推廣工作，為了提高自己所在網站的知名度和自我炒作，于2011年12月28日在其個人的IT客網站和微博上憑空捏造，發佈所謂工商銀行等網站用戶數據泄漏的信息。王某某已被公安機關予以訓誡。

網上流傳的新浪微博、噹噹網等網站被攻擊事件

經查新浪微博、開心網、7K7K網站、噹噹網、凡客誠品等網站均未被入侵，網上公佈的上述網站部分帳號密碼係有人利用網絡遠程大規模猜想密碼所破解。實施密碼破解的人員身份目前以被鎖定，公安機關正實施抓捕。

截至目前，公安機關此次已查處入侵、竊取、倒賣數據案件9起，編造並炒作信息泄漏案件3起，刑事拘留四4人，予以治安處罰8人。

白岩松：聽完了昨天的互聯網信息辦的通告之後，我有三點體會。先是一個壞消息，一個好消息。這個壞消息是攻擊我們的密碼，包括獲取我們的信息這事還真有，還真能做到，讓你感覺挺可怕的。好消息是什麼呢？好消息就是沒有前一段説得那麼嚴重，只是一些網站被攻擊了，但是另外渲染到了一個很大程度的，前一段時間那個並不是這樣的。但是我們不能因此就變得心安，或許這只是漏出來的冰山上的一角。第三個體會就是居然還有人要去編造互聯網上信息或者密碼被泄漏，或者説被攻擊等等這樣一些事情，能讓自己謀利，或者説表達自己的某些想法，這挺讓人疑惑的，又該怎麼樣去管理呢？

其實互聯網現在對於中國人的生活來説的確非常重要了，我們不妨看一組數字。前面説了網民的人數現在4.85億，今年估計過5億，你看網上購物用戶1.73億，中國才多少人，網上支付用戶規模1.53億，但是半年內受過病毒或者木馬攻擊的2.17億，半年內有過賬戶或者密碼被盜的1.21億，這可真不是一個小的數目。

針對昨天通報的這樣一個信息，有關專家怎麼看待呢？接下來我們連線國家網絡信息安全技術研究所的所長杜躍進。杜所長您好。

杜躍進國家網絡信息安全技術研究所所長：你好。

白岩松：其實前一段時間的時候，很多網民都是內心絕對的不安，都覺得是潛在的受害者，但是昨天公佈了這個信息之後，發現並沒有想象的那麼嚴重，您覺得我們是否就可以安心樂？

杜躍進：是沒有想象的那麼嚴重，但其實網站背後的用戶數據被偷一直就是一個非常非常嚴重的問題，是需要我們高度引起重視的。

白岩松：那在面對昨天的通告之後，我相信今天很多人都會思考這樣的問題，是由於我們互聯網相關企業的壁壘很深，有黑客想去偷也偷不到，還是可能是偷到了，只是現在我們不知道而已？

杜躍進：有很多是偷到的還不知道，當然也有一些網站他是如果安全做的比好的話，黑客也不那麼容易偷。因為大型網站背後的用戶數據是黑客關注的高有價值目標，他們並不會輕易説這次偷不到，下次就不偷了。黑客可以從背後拿到個人用戶數據獲得大量的利益，所以它始終會想盡一切辦法來偷被黑的個人數據。

白岩松：您能不能給我們舉兩點，比如説他獲取利益會是什麼？

杜躍進：一是他可以直接賣這些個人信息，二是他從一個網站後面偷到了個人用戶的賬戶和密碼的話，他可以到很多地方去試，這個用戶在淘寶或者是別地方的賬戶，進去之後他可以獲得非法的經濟利益，甚至更高級的黑客可以用這種方法來獲取個人郵箱的信息，進而把一個公司或者一個企業整個的郵箱來控制，這樣的案例都有，包括一些國外著名的公司都遇到過這樣的問題。

白岩松：好，杜所長一會兒還有問題會向您請教。

其實透過昨天有關部門的這種通告之後，我們稍微松了一點心，但是又絕不能掉以輕心，因為它意味著這方面當有些人，就用老百姓説的一句話，叫“不怕賊偷，就怕賊惦記”，由於有利益放在這裡，他一定會惦記，他可能就會實施這樣的一個行為。我們的另一位專家今天下午在接受我們記者才分的時候，也表達了他的看法，這位專家是中科院互聯網的專家叫呂本富，來我們聽一段這一個下午進行的採訪。

呂本富中科院互聯網專家：高級的黑客他掌握你的數據以後，他不會這種高調的炫耀的，所以暴露的有可能是冰山下的一角，冰山下面有多少？這個黑客是一個19歲的小孩，為了炫耀自己，他把它拿出來的，而且這個人級別也不高，高等級的黑客拿到這些資料以後，他有其它的目的，他是一般不説出來的，所以我們遠遠不可掉以輕心。

記者：現在大盜存不存在呢？怎麼來管？

呂本富：業內人來説是肯定存在的，當然道高一尺魔高一丈，也能找到他，但是大道應該也是有的。

白岩松：我覺得讓我們欣慰的是兩點，一方面現在的問題還沒有那麼嚴重。另一方面要欣慰的是你看聽到很多專家，包括我們生活中的很多人已經開始對這件事開始警覺起來，國家的有關部門，包括互聯網的一些相關的企業也開始警覺起來，我們不希望發生這樣的一個事情，但它是有可能發生的，在這方面企業又該做如何的警覺呢？

銀行用戶的姓名、卡號、密碼被泄密，眾多網站的個人信息被泄漏，今天你改密碼了嗎？微博，及時聊天工具，讓恐慌瞬間就可以大範圍地傳播。昨天，雖然國家互聯網信息辦在報告中提到，很多商家的客戶數據並沒有像網絡傳言的那樣被大面積泄漏，只是有被入侵的痕跡，或者一些商家用戶數據遭竊是在2009年時發生的，近兩年並沒有發生此類事件，但是公眾的恐慌卻並非毫無根據。面對多家網站個人信息傳言被泄漏，媒體和公眾目前並沒有獲得更多的細節

CSDN問佔負責人：因為我們現在很多狀況都在查詢。

7K7K網站工作人員：咱們泄漏咱們玩家信息的事，我該怎麼説？

初蒙天涯社區公關部經理：什麼時候盜的？是不是盜用的？是用什麼手段？這個確實需要有待進一步調查。

我不方便説，或者模糊、不確定和公眾媒體繞圈子，比泄密事件更值得關注的是那些被謠言包圍的商家和網站。他們到底在怎麼回應公眾的關切呢？在昨天國家互聯網信息辦公佈的一些網站用戶信息被泄密事件的查處結果之後，今天當記者再次聯絡相關網站時，天涯社區婉拒了我們的採訪，京東商城、CSDN的電話無法接通，在他們的官方網站也並沒有任何相關的回應。

石曉虹　網絡安全專家：尤其是中國的(網站)可能很多網站都不具備這樣的意識或者像這種安全的防護能力，那麼沒有及時去修復這種漏洞，那麼其實這種存在漏洞的網站可能比例非常高。

讓我們來看幾組數據，根據中國互聯網絡信息中心發佈的第26次中國互聯網絡信息中心發佈的第26次中國互聯網絡發展狀況統計報告，截至2010年6月，中國網絡購物用戶規模以後達到1.42億，而絕大多數網購用戶使用的都是網上電子銀行。在2010年中國網上銀行年會上發佈的2010中國電子銀行調查報告中指出，在全國城鎮人口中個人網銀用戶比例為26.9%，也就是説大約有1.8億人擁有網銀。比起一些社區網站的賬戶密碼，網上銀行的資料如果泄漏那將是一場災難。而在這次泄密事件中很多銀行業被牽扯其中，雖然最後都被證實是謠言，但是公眾的情緒仍然需要有關方面做出進一步的工作。

杜躍進：銀行比較封閉，但是一般來説通常沒有一個絕對安全的密碼。

“我自己做信息安全的，沒有開網銀，從沒在網上進行出入境申請，從來不在網上支付東西，網絡購物也從不自己下單，都是通過朋友的支付系統操作，讓自己逃離那個環境”以上這段話來自廣州市政協委員宋國琴，她同時也是一家信息安全公司的董事長，在接受《廣州日報》採訪時她表達了對於現代網絡平臺的不信任，她同時還説到，作為網絡運營商、技術服務提供商，更應該通過密碼技術的運用，提高所提供平臺的安全性，給客戶構築一個安全的使用、交易環境。

白岩松：互聯網網站應該絕對去保護我們每一個用戶的這種信息安全，但是顯然發生的事情證明沒有做到。那是道高一尺魔高一丈呢，還是我們現在做不到道再比魔高？比如説今天下午我們想去採訪相關的互聯網企業的時候，大家選擇的是閉嘴，或者説是沉默。那麼究竟是背後什麼樣的一種心理呢？我們會去擔心，大家不願意説話是不是因為你現在還無法有能力從技術上，或者從財力上，或者重視的程度上真正地去保證互聯網用戶的這種信息的安全呢？互聯網相關的企業在被黑客攻擊，或者説在信息丟失的過程當中是受害者，但同時他自身有沒有責任呢？比如説我們去看到《新京報》上也有一段文字，也談到了這一點。“這並不能説明他們沒有責任，比如對用戶密碼進行加密存儲應該是商業網站的運營常識，然而像這次泄密的CSDN、天涯等網站卻長期使用明文密碼，很多網站為了吸引更多客戶，可以簡略註冊過程，縱容用戶使用簡單的密碼，給黑客留下了可乘之機。”顯然這樣一段文字也反映寫作者認為相關的互聯網企業也應該承擔自己的責任。針對這一點我們繼續連線國家網絡信息安全技術研究所的所長杜躍進，杜所長。

杜躍進：你好。

白岩松：你看，乍一看的話，剛才説了互聯網的相關網站好像也是被黑客攻擊時候的一個受害者，但是您覺得它的責任是什麼？如果工作沒做好，是不是也有加害者的身份附在他們身上一部分？

杜躍進：我覺得首先他們確實也是受害者，因為用戶失去對他們的信任的話，對這些互聯網企業發展是不利的。但是在目前的情況下，我覺得我們在法律上面並沒有特別清晰的要求説如果是這些企業泄漏了用戶的數據，被人偷走的話，他們應該承擔什麼樣的法律責任。因此對於互聯網企業來説，做得好的可能是需要他們要有一個強的社會責任感，或者是他們長期發展戰略的要求來自我約束的。

白岩松：那您覺得從我們的角度來説，不能天天聽他們，只是給他們做點思想工作，大家表個態度，互聯網企業一定要尊重用戶，在技術上他能不能做到？另外，關鍵是有沒有一種硬約束能讓他們不做到就會受到懲罰？

杜躍進：我覺得這個是有的，而且其實有關部門也在做這些事情，就是説在互聯網企業如何提升自己的安全防護能力方面，我們國家其實是有一個大的政策，就是等級保護政策，工信部本身也有一個11號令，就是2010年開始正式實施的，在這個令下面，對於通訊行業本身是要有強制的，要做到什麼樣的安全標準，要做什麼樣的防護和接受檢查。但是對於以前這個令只是在通信行業的運營商那邊在做，工信部在2011年8月份其實已經開始對網站這些增值電信行業開始在做這個工作，只是進度沒有這麼快。這次這個事件發生之後，把這個進度又加快了一下，據我所知，已經在近期對幾個重要的大的網站實施了定級，定級之後就會強制他們要按照什麼樣的標準來做。這些工作都做下來之後，其實會讓我們的網站的安全防護水平得到很大的一個提升。

白岩松：最後一個問題，杜所長，我們可以反向去思考一下這個問題，很多人都認為2012年中國互聯網網民人數一定會超過5個億。在5個億這樣一個平臺上，如果我們的互聯網的信息安全得不到保障的話，後果會是什麼？

杜躍進：

後果是極其嚴重的。因為我剛才説到的這個會整個動搖我們産業的信心，産業的信心沒有了，整個的發展就會失去很大的一個動力。

白岩松：好，非常感謝杜所長今天接受我們的採訪，謝謝。

其實我們今天談的是在互聯網上的密碼或者説信息的安全，昨天有關部門的通告讓我們感覺到欣慰，沒有我們想象的這麼嚴重，但是在生活當中這樣的例子不嚴重嗎？我舉兩個例子，比如説一個母親他的孩子在上中學，她會到一個課外的地方報了課外的班，自打她報完這個班之後，幾乎每天都會接道不同的學校直接説出她的姓名，然後説你的孩子是不是還需要到我這兒上另外的班？請問這個信息是誰給傳遞出去的？還有比如説我自己，我身邊的好多人也是同樣如此，汽車上了保險，每到保險快要到期之前，都會接到至少10個以上的問白先生或者哪個先生，您的保險馬上要到期了，是不是需要到我這兒來上保險？請問這樣的信息又是誰泄漏出去的呢？我想我們很多現在一提到互聯網信息泄漏時候的不安全感與整體環境當中的信息被泄漏得太多緊密相關。

在這一點上我也看到了一位同事寫的一段話，王攀《河南商報》的評論員，説：“一些謠言和信息安全個案之所以能引起這麼大的恐慌，與其説是互聯網脆弱，不如説是人們對信息安全心理沒底。在我的身邊，手機號碼、身份證號、職業、家庭住址，甚至連生個孩子都能輕易被商家掌握，在這種情況下哪能不慌，對此需要完善互聯網安全的管理制度，但更需要重建整個社會的信息安全信心。”沒錯，這點非常重要。接下來我們要從一個相對技術的角度去分析一下，究竟那些黑客是通過什麼樣的方法就把我們這些以為穿著衣服的人給變成裸體了呢？

今天，天涯社區網站仍然挂著公告：近期互聯網帳號安全問題頻發，為保障用戶個人隱私和安全，我們對有安全風險的帳號啟動了限制登錄保護。

昨天，國家互聯網信息辦通報説天涯社區數據泄密源於一位19歲的無業人員徐某某出於炫耀目的的發帖稱網站數據密碼被泄漏。雖然天涯社區已就用戶數據泄漏一事通過微博、郵件、手機短信等多種渠道向用戶公開致歉。但這起泄密事件暴露出來的安全漏洞問題卻必須引起高度警惕。除了以炫耀為目的的19歲無業人員徐某某，網站需要應對的還有“刷庫”和“撞庫”兩種地下黑客非常流行的攻擊方式。

杜躍進：有很多非常有目標的攻擊，他(黑客)可能就是為了潛伏在你的計算機裏面，但是它一般不會針對我們普通的老百姓，但是它會針對非常重要的信息系統、非常重要的人員，在裏面潛伏下來獲得非常非常有價值的材料，或者是獲得非常非常大的破壞力。

雖然“刷庫”和“撞庫”這林種新武器鮮為人知，但專家強調它的危害超過一般的盜號木馬。

杜躍進：這個黑客現在是在充分利用我們每個人不可能記住這麼多的不同的口令這一點，他只要找到一個突破口，偷到你的用戶數據、你的口令，拿這個信息就把你所有的別的地方跑一遍。這樣的話，你的電子商務(密碼)被人偷了，你的個人郵件可能都完全被人家控制了等等，都可以做得到，這是非常嚴重的一個威脅。

記者了解到，目前被盜的網站數據都是採取明文存儲的方式，所有網民帳號密碼都直接暴露在黑客面前。專家告訴記者數據泄漏事件突顯了網站安全意識的薄弱。對國內近200萬個網站而言，安全防護都需要進一步檢討，除了安全意識和技術缺陷，某些軟體商的推波助瀾也使密碼門的事件影響不斷擴大。

姜奇平中國社會科學院信息化研究中心秘書長：殺毒行業也需要自律，不能是你自己賣殺毒軟體，自己再傳播病毒，那麼對於這類的問題恐怕也要提前預防和處理。

白岩松：現在有兩個快速發展，一個快速發展是中國的互聯網發展速度太快了，另一方面，人們的安全意識由於不斷地出現問題，的確也快速的在增長，這兩者之間可以平衡嗎？聽聽專家的態度。

姜奇平：我覺得這個是反映了現在信息安全滯後於網民速度的增長，就是説我們採取的目前的安全措施不足以應對這樣大規模的黑客的攻擊。另外，可以看出黑客的技術正在提高，所以我們的信息安全，特別是密碼的保護這方面暫時走在後面，這是矛和盾之間的關係。但是現在顯然矛和盾的這種較量裏面，現在是矛更尖利一些，當然這個也會促進將來防範技術的提高，包括措施得更加嚴密。有一些是屬於管理上的問題，比如明文的密碼，這個是一個管理問題，不是技術問題，類似這樣暴露的很多漏洞會在以後慢慢彌補。目前從法律來説，信息安全法要加快出臺，否則的話，我們即使抓到了，無法可依，消費者遇到這種問題投訴無門。

白岩松：2009年的《刑法修正案》當中，其實新增了關於個人信息一旦被泄漏，造成了嚴重的後果的話是要被判刑的，最高是要被判到三年的徒刑。那麼今後是不是法律的這種利劍要更多的具有威懾的作用，這是期待法律。另一方面恐怕也得跟我們自己去説説，比如説我們的有些密碼實在太簡單了，123456，這樣讓人家破譯一下，不用黑客，白客有時候都能給破譯，還有有的太過於簡單，太過於不太在意，所以恐怕要想安全也需要我們每個人擁有安全意識。

【事件回顧】

2011年12月29日：網傳上億用戶銀行卡信息遭泄相關銀行迅速辟謠

2011年12月26日：天涯社區遭遇黑客用戶密碼泄漏

2011年12月21日：多家網站被曝用戶數據庫洩露 600萬用戶信息被公開

【事件解決】

2012年1月10日：互聯網信息辦公佈近期網站用戶信息被洩露事件查處情況

2012年1月5日：央行要求互聯網支付機構應防止客戶信息洩露

2012年1月3日：中國銀聯提醒：謹記用卡安全避免個人信息洩露

2011年12月8日：工信部介入信息洩露事件要求網站修復漏洞