泄密門兩嫌犯被拘：白天工程師晚上做黑客

轟動一時的用戶信息泄漏事件終于有了“買單者”。

1月 12 日，記者從北京市公安局了解到，CSDN (中國軟件開發聯盟)泄密的兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客，另一名為外地黑客。

“這兩名嫌犯是盜庫的嫌犯，公安機關抓到之后，我們對其藏有的用戶庫進行了比對。”CSDN 創始人兼總裁蔣濤亦向本報記者證實。

包括這 2 人，截至目前，公安機關查處入侵、竊取、倒賣數據案件 9 起，編造并炒作信息泄露案件 3 起，刑事拘留 4 人，予以治安處罰 8 人。

此前的 10 日，國家互聯網信息辦通報稱，CSDN、天涯等網站信息泄漏，目前公安機關正在溯源。

其中京東商城確遭入侵，但數據并未泄漏；YY 語音聊天網站泄漏的數據系該公司員工從內部數據庫竊取；工商銀行等金融機構的系統并未被入侵。新浪微博、開心網、當當網、人人網、凡客等網站均未被入侵，部分賬號密碼系利用公開庫進行破解而獲得。

內外控失效

這位盜取 CSDN 用戶數據庫的員工可能涉嫌‘非法入侵計算機系統罪’。”知名 IT 律師趙占領告訴記者，“刑法第 285 條顯示，非法侵入計算機系統，或者采取其他技術手段獲取計算機系統中的數據，情結嚴重者會判處 3 年以下有期徒刑，情節特別嚴重者判處 3 年到 7 年。”

并且，提供用戶數據、傳播用戶信息、出售個人信息等行為也違反了法律，“非法出售、提供個人信息，判處 3 年以下有期徒刑。”

實際上，本報了解到，由于法律意識淡薄，以及抱著好玩的態度，很多在互聯網公司從事安全的技術員工，以及安全廠商的技術員工都或多或少的盜取、傳播過用戶的信息庫。

在黑客圈，黑客往往認為盜取用戶信息并不帶來多少危害，只要本能上覺得只要不要進行售賣、釣魚等明顯的盈利行為，那么就并不違法。

“大家都會覺得沒事。因為此前，互聯網上，根本沒有人因為用戶信息泄漏的問題而被抓。” 星云融創 CEO 馬杰說。

據馬杰介紹，安全廠商會與自己的員工、互聯網公司會與安全系統的員工簽訂相關的協議，協議里會逐條寫清楚在供職期間不允許做危害公共安全的事情。

“但是這個禁令基本無效，因為最終做不做危害公共安全的事情，還要看員工本人。”馬杰告訴記者，安全從業人員一般都服務于不同的公司，關系并不緊密。黑客這個行業并沒有行業“潛規則”來對黑客的行為進行規范。

“白天安全工程師，晚上黑客”

“CSDN 對敏感信息不敏感，也缺乏安全意識。”蔣濤承認，包括 CSDN 在內的國內大型網站安全意識都很薄弱。

據蔣濤介紹，目前，整個互聯網的安全現狀極不樂觀：70% 以上的加密算法密碼庫都可以通過高頻碰撞破解，80% 以上的互聯網公司都存在漏洞，60% 以上有安全策略的公司還存在著漏洞，地下數據庫顯示，網站暴露出來的問題甚至更多。

這些漏洞，也就是黑客入侵的基礎。

眾多的黑客潛伏在 IT 互聯網公司。在這次泄密門事件中，YY 語音聊天的信息泄漏是其員工自身來泄漏的，而竊取 CSDN 用戶數據也是互聯網公司的技術人員干的。

“這是企業員工的自發行為，和企業并沒有關系。但這也說明了安全行業身份的多重性。”一位黑客告訴記者，這些人可能白天是某企業的安全工程師，晚上就是黑客。

“泄密門”兩嫌犯被拘： 白天工程師晚上黑客

據一位資深黑客介紹，這些用戶數據庫早已是黑客圈公開的秘密；但這一次整個互聯網行業的用戶信息被泄漏，背后可能有某些商業組織在推動。

“在國內，黑客的圈子雖然小，但大多是個人，組織松散，并且，行業也有自律。一般不會產生這樣大的爆庫行為。”這位黑客稱。

一般情況下，用戶庫都只是在黑客圈中傳播，但一旦進入大眾視野，影響便沒法控制，因為有很多通道可以進行傳播。比如，迅雷、黑客圈的 QQ 群、論壇的 FTP 下載。

據北京市公安局相關處室透露，CSDN 和天涯這兩家網站曾在 2009 年以前遭入侵，數據泄漏也發生在兩年前，近期這兩家網站并沒有遭到攻擊。

“這一次，黑客是善意的，爆出來的都是以前的庫。”一位不愿具名的安全行業工程師透露，實際上，他們手里有最新的庫，但出于對行業環境的考慮，沒有把這些庫爆出來。

泄密門曾有預警

在密碼泄漏事件中，一個叫做烏云漏洞平臺(Wooyun.org)從不為人熟知的專業平臺一下躍入大眾視野。烏云吸引了一大批黑客，他們在發現企業漏洞時，便將這些漏洞與補丁傳到這些網站上去。

但是，這個平臺一直不受企業待見。蔣濤亦坦承，事發之前，烏云漏洞平臺把大部分漏洞做出了預警，告訴了相關企業，但各個企業并沒有引起足夠重視，沒有及時提醒用戶修改密碼，導致后來一發不可收拾。

緣何企業對預警如此忽視？

這緣于黑客與企業之間多年形成的微妙關系。這些企業對黑客往往是又氣又惱。在黑客面前，企業就像一個學生。黑客老師天天挑學生的毛病，剛開始可能覺得是正向激勵，日子久了，自然對黑客沒好臉色。

更有一些公司極端地認為，沒有黑客，企業的漏洞在某種程度上來說就不存在，“即便存在，也不打緊。只要不暴露，就可以視而不見”。

但是，企業又無法“忽視”黑客。因為，黑客冷不防就會給上“溫柔一刀”。一些大的互聯網企業甚至直接“招安”黑客，納入麾下。有的小網站每月給黑客上交 1 萬元到 2 萬元的“保護費”。

“其實，黑客需要的是肯定。”上述安全行業工程師告訴記者，在烏云的平臺上，企業會給提交漏洞的黑客以積分，用作鼓勵。黑客也愿意無私提交發現的漏洞，如此形成了一個良性循環。

應對之策

“未來，各個網站應該和類似烏云漏洞的平臺合作。”蔣濤倡議，未來，國內安全界和技術界不應該再有隔離。

CSDN 開始全方位亡羊補牢。1月 11 日，CSDN 與阿里云展開針對網站安全的戰略合作。據蔣濤介紹， CSDN 將采用阿里云郵箱，并把該郵箱與其他郵箱隔離，避免一個郵箱泄漏，“全城皆失”的情況。并且，還將接受阿里云提供的其他服務。

“我們應該和那些安全做得好的企業合作。”蔣濤稱，除百度、阿里、騰訊等大公司，以及某些游戲廠商外，許多國內的互聯網公司，包括 CSDN 在內，并沒有太多實力去成立一個專門的安全工程師團隊。

蔣濤告訴記者，CSDN 會加強自身的安全策略，把網站的非核心數據與核心數據進行隔離，減少有價值數據的接口；并且正在向安全部門申請信息系統的等級保護，接受信息安全監管部門的相關管理。并且，CSDN 還會引入相應的安全審核機制，防止數據信息從內部泄漏。

來自: 21世紀經濟報道