[新闻1+1]谁动了我们的“密码”？（20120111）_新闻台

资料图（图片来源：人民日报）

四人拘留，八人治安处罚，针对沸沸扬扬的网站泄密事件，国家互联网网站办首次回应。

字幕提示：2012年1月10日新闻

这些事件包括CSDN、天涯网站被入侵，网上流传的京东商城网站被入侵，“YY”语言聊天网站泄漏数据网上流传的工商银行等金融机构数据泄漏。

是网络谣传还是故意炒作，是网络技术与监管的漏洞，还是商业利益在推波助澜？

杜跃进：因为背后有强大的经济利益在诱惑这些黑客。

网络用户不断激增，网络安全备受考验，当网络成为一种生活，企业、银行、法律、监管，公民个人信息安全如何确保？

网络安全工程师：密码设复杂一点，就是数字加字母加字符。

《新闻1+1》今日关注--个人密码，社会安全！

中国网络电视台消息：互联网对于现在的中国人来说几乎生活当中不可或缺的一部分，我们现在已经有互联网的网民是4.85亿，很多人预测，甚至说不用预测，2012年中国互联网的人数一定会超过5个亿。在这种情况下，我们在互联网上可能会有自己的邮箱或者其它一些什么，我们都会有密码，这个密码就相当于我们在互联网上的家上的锁，还有防盗门。我们也有很多我们的个人信息可能都在互联网上会有，相当于我们平常穿的衣服，一方面保暖，另一方面也遮羞。但是如果告诉你，有人能通过他的方法，你以为你家里的门钥匙只有你有，人家也有，轻易地就能进你们家，还有你以为你穿着衣服，在别人的眼里你完全是裸体，你会怎么办呢？国家互联网管理的有关部门昨天通报了与此有关的相关案件。

字幕提示：2011年12月25日新闻

国内最大的程序员网站CSDN数据库泄漏引起了大家的高度关注，包含了600网络用户邮箱和密码的数据库整体泄漏，这突显出了网络安全面临着一种新的威胁。

字幕提示：2011年12月27日新闻

改密码成了这几天天涯社区的用户不得不做的一件事情，继上周国内最大的程序员网站CSDN用户数据泄漏之后，这两天天涯社区用户的帐号密码也遭到了公开泄漏。

昨天，针对近一个月以来不断升级扩大的泄密门事件，国家互联网信息办公室首度做出回应。

字幕提示：2012年1月10日新闻

国家互联网信息办发言人今天说，近期一些媒体报道或在网上流传的数家网站用户信息被泄漏的事件，引起互联网管理部门的高度重视，相关事实已由公安机关查明，违法人员已经或将要被依法严肃查处。

据这位发言人介绍，近期查处的信息泄漏事件主要有五个。

CSDN、天涯网站被入侵事件

经查这两家网站曾在2009年以前被入侵，数据遭泄漏也发生在两年前，近期这两家网站并未遭到攻击。网民臭小子的徐某某出于个人炫耀目的，于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄漏，并公布泄漏的数据包截图，现在徐某某已被公安机关予以训诫。公安机关对这两家网站遭入侵一事正在溯源追查。

网上流传京东商城网站被入侵事件

经查这个网站确实遭到入侵，但数据未被泄漏。网民我心飞翔的犯罪嫌疑人要药某于2011年4月发现京东商城网站存在安全漏洞，并在去年12月29日在乌云网上法帖称，掌握京东商城漏洞，以公布该安全漏洞，要挟京东商城向其支付270万元。京东商城网站未予支付，药某也并未窃取泄漏该网站相关数据。药某因涉嫌敲诈勒索，现已被依法行使拘留。

“YY”语音聊天网站泄漏数据事件

经查广东“YY”语音聊天网站泄漏的数据是该公司员工利用职务之便从公司内部备份数据库窃取，该网站并未被入侵，此事正在处理之中。

网上流传的工商银行等金融机构数据泄漏事件

经有关部门对工商银行、民生银行、交通银行的调查，证实银行系统并未被入侵，网上公布的所谓数据与银行相关数据不符。网民IT客的王某某从事网络推广工作，为了提高自己所在网站的知名度和自我炒作，于2011年12月28日在其个人的IT客网站和微博上凭空捏造，发布所谓工商银行等网站用户数据泄漏的信息。王某某已被公安机关予以训诫。

网上流传的新浪微博、当当网等网站被攻击事件

经查新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵，网上公布的上述网站部分帐号密码系有人利用网络远程大规模猜想密码所破解。实施密码破解的人员身份目前以被锁定，公安机关正实施抓捕。

截至目前，公安机关此次已查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄漏案件3起，刑事拘留四4人，予以治安处罚8人。

白岩松：听完了昨天的互联网信息办的通告之后，我有三点体会。先是一个坏消息，一个好消息。这个坏消息是攻击我们的密码，包括获取我们的信息这事还真有，还真能做到，让你感觉挺可怕的。好消息是什么呢？好消息就是没有前一段说得那么严重，只是一些网站被攻击了，但是另外渲染到了一个很大程度的，前一段时间那个并不是这样的。但是我们不能因此就变得心安，或许这只是漏出来的冰山上的一角。第三个体会就是居然还有人要去编造互联网上信息或者密码被泄漏，或者说被攻击等等这样一些事情，能让自己谋利，或者说表达自己的某些想法，这挺让人疑惑的，又该怎么样去管理呢？

其实互联网现在对于中国人的生活来说的确非常重要了，我们不妨看一组数字。前面说了网民的人数现在4.85亿，今年估计过5亿，你看网上购物用户1.73亿，中国才多少人，网上支付用户规模1.53亿，但是半年内受过病毒或者木马攻击的2.17亿，半年内有过账户或者密码被盗的1.21亿，这可真不是一个小的数目。

针对昨天通报的这样一个信息，有关专家怎么看待呢？接下来我们连线国家网络信息安全技术研究所的所长杜跃进。杜所长您好。

杜跃进国家网络信息安全技术研究所所长：你好。

白岩松：其实前一段时间的时候，很多网民都是内心绝对的不安，都觉得是潜在的受害者，但是昨天公布了这个信息之后，发现并没有想象的那么严重，您觉得我们是否就可以安心乐？

杜跃进：是没有想象的那么严重，但其实网站背后的用户数据被偷一直就是一个非常非常严重的问题，是需要我们高度引起重视的。

白岩松：那在面对昨天的通告之后，我相信今天很多人都会思考这样的问题，是由于我们互联网相关企业的壁垒很深，有黑客想去偷也偷不到，还是可能是偷到了，只是现在我们不知道而已？

杜跃进：有很多是偷到的还不知道，当然也有一些网站他是如果安全做的比好的话，黑客也不那么容易偷。因为大型网站背后的用户数据是黑客关注的高有价值目标，他们并不会轻易说这次偷不到，下次就不偷了。黑客可以从背后拿到个人用户数据获得大量的利益，所以它始终会想尽一切办法来偷被黑的个人数据。

白岩松：您能不能给我们举两点，比如说他获取利益会是什么？

杜跃进：一是他可以直接卖这些个人信息，二是他从一个网站后面偷到了个人用户的账户和密码的话，他可以到很多地方去试，这个用户在淘宝或者是别地方的账户，进去之后他可以获得非法的经济利益，甚至更高级的黑客可以用这种方法来获取个人邮箱的信息，进而把一个公司或者一个企业整个的邮箱来控制，这样的案例都有，包括一些国外著名的公司都遇到过这样的问题。

白岩松：好，杜所长一会儿还有问题会向您请教。

其实透过昨天有关部门的这种通告之后，我们稍微松了一点心，但是又绝不能掉以轻心，因为它意味着这方面当有些人，就用老百姓说的一句话，叫“不怕贼偷，就怕贼惦记”，由于有利益放在这里，他一定会惦记，他可能就会实施这样的一个行为。我们的另一位专家今天下午在接受我们记者才分的时候，也表达了他的看法，这位专家是中科院互联网的专家叫吕本富，来我们听一段这一个下午进行的采访。

吕本富中科院互联网专家：高级的黑客他掌握你的数据以后，他不会这种高调的炫耀的，所以暴露的有可能是冰山下的一角，冰山下面有多少？这个黑客是一个19岁的小孩，为了炫耀自己，他把它拿出来的，而且这个人级别也不高，高等级的黑客拿到这些资料以后，他有其它的目的，他是一般不说出来的，所以我们远远不可掉以轻心。

记者：现在大盗存不存在呢？怎么来管？

吕本富：业内人来说是肯定存在的，当然道高一尺魔高一丈，也能找到他，但是大道应该也是有的。

白岩松：我觉得让我们欣慰的是两点，一方面现在的问题还没有那么严重。另一方面要欣慰的是你看听到很多专家，包括我们生活中的很多人已经开始对这件事开始警觉起来，国家的有关部门，包括互联网的一些相关的企业也开始警觉起来，我们不希望发生这样的一个事情，但它是有可能发生的，在这方面企业又该做如何的警觉呢？

银行用户的姓名、卡号、密码被泄密，众多网站的个人信息被泄漏，今天你改密码了吗？微博，及时聊天工具，让恐慌瞬间就可以大范围地传播。昨天，虽然国家互联网信息办在报告中提到，很多商家的客户数据并没有像网络传言的那样被大面积泄漏，只是有被入侵的痕迹，或者一些商家用户数据遭窃是在2009年时发生的，近两年并没有发生此类事件，但是公众的恐慌却并非毫无根据。面对多家网站个人信息传言被泄漏，媒体和公众目前并没有获得更多的细节

CSDN问占负责人：因为我们现在很多状况都在查询。

7K7K网站工作人员：咱们泄漏咱们玩家信息的事，我该怎么说？

初蒙天涯社区公关部经理：什么时候盗的？是不是盗用的？是用什么手段？这个确实需要有待进一步调查。

我不方便说，或者模糊、不确定和公众媒体绕圈子，比泄密事件更值得关注的是那些被谣言包围的商家和网站。他们到底在怎么回应公众的关切呢？在昨天国家互联网信息办公布的一些网站用户信息被泄密事件的查处结果之后，今天当记者再次联系相关网站时，天涯社区婉拒了我们的采访，京东商城、CSDN的电话无法接通，在他们的官方网站也并没有任何相关的回应。

石晓虹　网络安全专家：尤其是中国的(网站)可能很多网站都不具备这样的意识或者像这种安全的防护能力，那么没有及时去修复这种漏洞，那么其实这种存在漏洞的网站可能比例非常高。

让我们来看几组数据，根据中国互联网络信息中心发布的第26次中国互联网络信息中心发布的第26次中国互联网络发展状况统计报告，截至2010年6月，中国网络购物用户规模以后达到1.42亿，而绝大多数网购用户使用的都是网上电子银行。在2010年中国网上银行年会上发布的2010中国电子银行调查报告中指出，在全国城镇人口中个人网银用户比例为26.9%，也就是说大约有1.8亿人拥有网银。比起一些社区网站的账户密码，网上银行的资料如果泄漏那将是一场灾难。而在这次泄密事件中很多银行业被牵扯其中，虽然最后都被证实是谣言，但是公众的情绪仍然需要有关方面做出进一步的工作。

杜跃进：银行比较封闭，但是一般来说通常没有一个绝对安全的密码。

“我自己做信息安全的，没有开网银，从没在网上进行出入境申请，从来不在网上支付东西，网络购物也从不自己下单，都是通过朋友的支付系统操作，让自己逃离那个环境”以上这段话来自广州市政协委员宋国琴，她同时也是一家信息安全公司的董事长，在接受《广州日报》采访时她表达了对于现代网络平台的不信任，她同时还说到，作为网络运营商、技术服务提供商，更应该通过密码技术的运用，提高所提供平台的安全性，给客户构筑一个安全的使用、交易环境。

白岩松：互联网网站应该绝对去保护我们每一个用户的这种信息安全，但是显然发生的事情证明没有做到。那是道高一尺魔高一丈呢，还是我们现在做不到道再比魔高？比如说今天下午我们想去采访相关的互联网企业的时候，大家选择的是闭嘴，或者说是沉默。那么究竟是背后什么样的一种心理呢？我们会去担心，大家不愿意说话是不是因为你现在还无法有能力从技术上，或者从财力上，或者重视的程度上真正地去保证互联网用户的这种信息的安全呢？互联网相关的企业在被黑客攻击，或者说在信息丢失的过程当中是受害者，但同时他自身有没有责任呢？比如说我们去看到《新京报》上也有一段文字，也谈到了这一点。“这并不能说明他们没有责任，比如对用户密码进行加密存储应该是商业网站的运营常识，然而像这次泄密的CSDN、天涯等网站却长期使用明文密码，很多网站为了吸引更多客户，可以简略注册过程，纵容用户使用简单的密码，给黑客留下了可乘之机。”显然这样一段文字也反映写作者认为相关的互联网企业也应该承担自己的责任。针对这一点我们继续连线国家网络信息安全技术研究所的所长杜跃进，杜所长。

杜跃进：你好。

白岩松：你看，乍一看的话，刚才说了互联网的相关网站好像也是被黑客攻击时候的一个受害者，但是您觉得它的责任是什么？如果工作没做好，是不是也有加害者的身份附在他们身上一部分？

杜跃进：我觉得首先他们确实也是受害者，因为用户失去对他们的信任的话，对这些互联网企业发展是不利的。但是在目前的情况下，我觉得我们在法律上面并没有特别清晰的要求说如果是这些企业泄漏了用户的数据，被人偷走的话，他们应该承担什么样的法律责任。因此对于互联网企业来说，做得好的可能是需要他们要有一个强的社会责任感，或者是他们长期发展战略的要求来自我约束的。

白岩松：那您觉得从我们的角度来说，不能天天听他们，只是给他们做点思想工作，大家表个态度，互联网企业一定要尊重用户，在技术上他能不能做到？另外，关键是有没有一种硬约束能让他们不做到就会受到惩罚？

杜跃进：我觉得这个是有的，而且其实有关部门也在做这些事情，就是说在互联网企业如何提升自己的安全防护能力方面，我们国家其实是有一个大的政策，就是等级保护政策，工信部本身也有一个11号令，就是2010年开始正式实施的，在这个令下面，对于通讯行业本身是要有强制的，要做到什么样的安全标准，要做什么样的防护和接受检查。但是对于以前这个令只是在通信行业的运营商那边在做，工信部在2011年8月份其实已经开始对网站这些增值电信行业开始在做这个工作，只是进度没有这么快。这次这个事件发生之后，把这个进度又加快了一下，据我所知，已经在近期对几个重要的大的网站实施了定级，定级之后就会强制他们要按照什么样的标准来做。这些工作都做下来之后，其实会让我们的网站的安全防护水平得到很大的一个提升。

白岩松：最后一个问题，杜所长，我们可以反向去思考一下这个问题，很多人都认为2012年中国互联网网民人数一定会超过5个亿。在5个亿这样一个平台上，如果我们的互联网的信息安全得不到保障的话，后果会是什么？

杜跃进：

后果是极其严重的。因为我刚才说到的这个会整个动摇我们产业的信心，产业的信心没有了，整个的发展就会失去很大的一个动力。

白岩松：好，非常感谢杜所长今天接受我们的采访，谢谢。

其实我们今天谈的是在互联网上的密码或者说信息的安全，昨天有关部门的通告让我们感觉到欣慰，没有我们想象的这么严重，但是在生活当中这样的例子不严重吗？我举两个例子，比如说一个母亲他的孩子在上中学，她会到一个课外的地方报了课外的班，自打她报完这个班之后，几乎每天都会接道不同的学校直接说出她的姓名，然后说你的孩子是不是还需要到我这儿上另外的班？请问这个信息是谁给传递出去的？还有比如说我自己，我身边的好多人也是同样如此，汽车上了保险，每到保险快要到期之前，都会接到至少10个以上的问白先生或者哪个先生，您的保险马上要到期了，是不是需要到我这儿来上保险？请问这样的信息又是谁泄漏出去的呢？我想我们很多现在一提到互联网信息泄漏时候的不安全感与整体环境当中的信息被泄漏得太多紧密相关。

在这一点上我也看到了一位同事写的一段话，王攀《河南商报》的评论员，说：“一些谣言和信息安全个案之所以能引起这么大的恐慌，与其说是互联网脆弱，不如说是人们对信息安全心理没底。在我的身边，手机号码、身份证号、职业、家庭住址，甚至连生个孩子都能轻易被商家掌握，在这种情况下哪能不慌，对此需要完善互联网安全的管理制度，但更需要重建整个社会的信息安全信心。”没错，这点非常重要。接下来我们要从一个相对技术的角度去分析一下，究竟那些黑客是通过什么样的方法就把我们这些以为穿着衣服的人给变成裸体了呢？

今天，天涯社区网站仍然挂着公告：近期互联网帐号安全问题频发，为保障用户个人隐私和安全，我们对有安全风险的帐号启动了限制登录保护。

昨天，国家互联网信息办通报说天涯社区数据泄密源于一位19岁的无业人员徐某某出于炫耀目的的发帖称网站数据密码被泄漏。虽然天涯社区已就用户数据泄漏一事通过微博、邮件、手机短信等多种渠道向用户公开致歉。但这起泄密事件暴露出来的安全漏洞问题却必须引起高度警惕。除了以炫耀为目的的19岁无业人员徐某某，网站需要应对的还有“刷库”和“撞库”两种地下黑客非常流行的攻击方式。

杜跃进：有很多非常有目标的攻击，他(黑客)可能就是为了潜伏在你的计算机里面，但是它一般不会针对我们普通的老百姓，但是它会针对非常重要的信息系统、非常重要的人员，在里面潜伏下来获得非常非常有价值的材料，或者是获得非常非常大的破坏力。

虽然“刷库”和“撞库”这林种新武器鲜为人知，但专家强调它的危害超过一般的盗号木马。

杜跃进：这个黑客现在是在充分利用我们每个人不可能记住这么多的不同的口令这一点，他只要找到一个突破口，偷到你的用户数据、你的口令，拿这个信息就把你所有的别的地方跑一遍。这样的话，你的电子商务(密码)被人偷了，你的个人邮件可能都完全被人家控制了等等，都可以做得到，这是非常严重的一个威胁。

记者了解到，目前被盗的网站数据都是采取明文存储的方式，所有网民帐号密码都直接暴露在黑客面前。专家告诉记者数据泄漏事件突显了网站安全意识的薄弱。对国内近200万个网站而言，安全防护都需要进一步检讨，除了安全意识和技术缺陷，某些软件商的推波助澜也使密码门的事件影响不断扩大。

姜奇平中国社会科学院信息化研究中心秘书长：杀毒行业也需要自律，不能是你自己卖杀毒软件，自己再传播病毒，那么对于这类的问题恐怕也要提前预防和处理。

白岩松：现在有两个快速发展，一个快速发展是中国的互联网发展速度太快了，另一方面，人们的安全意识由于不断地出现问题，的确也快速的在增长，这两者之间可以平衡吗？听听专家的态度。

姜奇平：我觉得这个是反映了现在信息安全滞后于网民速度的增长，就是说我们采取的目前的安全措施不足以应对这样大规模的黑客的攻击。另外，可以看出黑客的技术正在提高，所以我们的信息安全，特别是密码的保护这方面暂时走在后面，这是矛和盾之间的关系。但是现在显然矛和盾的这种较量里面，现在是矛更尖利一些，当然这个也会促进将来防范技术的提高，包括措施得更加严密。有一些是属于管理上的问题，比如明文的密码，这个是一个管理问题，不是技术问题，类似这样暴露的很多漏洞会在以后慢慢弥补。目前从法律来说，信息安全法要加快出台，否则的话，我们即使抓到了，无法可依，消费者遇到这种问题投诉无门。

白岩松：2009年的《刑法修正案》当中，其实新增了关于个人信息一旦被泄漏，造成了严重的后果的话是要被判刑的，最高是要被判到三年的徒刑。那么今后是不是法律的这种利剑要更多的具有威慑的作用，这是期待法律。另一方面恐怕也得跟我们自己去说说，比如说我们的有些密码实在太简单了，123456，这样让人家破译一下，不用黑客，白客有时候都能给破译，还有有的太过于简单，太过于不太在意，所以恐怕要想安全也需要我们每个人拥有安全意识。

【事件回顾】

2011年12月29日：网传上亿用户银行卡信息遭泄相关银行迅速辟谣

2011年12月26日：天涯社区遭遇黑客用户密码泄漏

2011年12月21日：多家网站被曝用户数据库泄露 600万用户信息被公开

【事件解决】

2012年1月10日：互联网信息办公布近期网站用户信息被泄露事件查处情况

2012年1月5日：央行要求互联网支付机构应防止客户信息泄露

2012年1月3日：中国银联提醒：谨记用卡安全避免个人信息泄露

2011年12月8日：工信部介入信息泄露事件要求网站修复漏洞