上亿银行密码遭泄？ 专家称背后疑有利益集团操控

　　自12月21日CSDN、天涯社区证实用户资料密码泄露，席卷国内互联网公司的泄密事件已持续发酵一周。12月28日，网络传出交通银行（601328）、民生银行（600016）等多家国内银行上亿个客户的账户资料也遭泄密，但随后相关银行否认；昨日，微博(http://weibo.com)传出支付宝和京东商城有用户信息外泄可能，对此支付宝和京东商城也均予以否认；与此同时，广东省公安厅出入境政务服务网被曝出存在漏洞，大量申请人姓名、护照号码、港澳通行证号码遭到泄露，广东省公安厅则回应称确实存在漏洞，但已修复。

　　缘何如此庞大数量的用户信息在短时间内被密集泄露？互联网知名评论人谢文表示，短期内集中爆发的泄密事件怀疑背后有商业利益集团操控。

　　“泄密”事件簿1：支付宝、京东

　　回应：“没有人能获得用户私密资料”

　　让国内互联网用户人人自危的泄密事件源于12月21日，国内知名程序员网站CSDN被“刷库”，600万用户信息遭泄露。时隔4日后，天涯网站传出有4000万用户的密码流出，此后，包括世纪佳缘、多玩网、珍爱网等多家知名网站的用户数据资料相继“沦陷”，用户资料信息被放到网上公开下载。

　　在美团网等团购网站被曝波及两天后的12月29日，微博也传出支付宝以及京东有账号信息泄露可能。不过，支付宝以及京东商城迅速做出回应并发表声明，称传言并不属实。支付宝公司在声明中称：这些账户并非从支付宝里泄露出去的。支付宝表示，单纯支付宝账号不是私密信息，在很多地方都可以被搜集到。只有账号没有密码，对用户资金安全没有任何威胁。支付宝采取金融级的信息安全标准去保护用户信息及资金安全，支付宝承诺没有任何人能从支付宝获得用户的密码等私密信息。

　　京东商城信息部副总裁李大学在接受采访时则强调：“截止目前为止，京东商城没有对外证实过任何漏洞的存在。京东商城本着对用户负责的态度，正在核查漏洞。自漏洞被发布后，京东商城方面一直积极地与该漏洞的发布者联系，期望为用户带来一个安全的网购环境。”

　　此外，截止记者发稿时，记者通过浏览为互联网公司提供漏洞及风险报告的乌云平台发现，支付宝的用户资料大量泄露的危害等级已经被调至低级别——只有账号没有密码，不会对用户构成资金安全的威胁。

　　“泄密”事件簿2：多家国内银行

　　回应：“此消息严重失实”

　　12月28日，“挨踢客”网站曝出包括国内多家银行的用户数据已经泄露，其中交通银行7000万，民生银行3500万的消息。并贴出据称是报料网友提供的泄密账户信息截图。根据网传的信息截图，泄露数据的银行包括交通银行、民生银行、工商银行（601398）等，数据包含了用户的姓名、卡号、密码等敏感信息。目前这些数据尚未核实真实性。

　　对此，交通银行企业文化部总经理胡晏斌回应中国网财经中心记者，并第一时间发布微博辟谣，称此消息不属实。详细情况待核实后会确切回复。

　　而民生银行相关负责人也就此事回应中国网财经中心记者，称网友上传图片中的卡号明显不是民生银行用户的，此消息严重失实，民生银行随后将在官网发布澄清公告。

　　“泄密”事件簿3：广东省公安厅出入境政务服务网

　　回应：“确有漏洞，已修补完毕”

　　“广东省公安厅出入境政务服务网网上申请数据泄露，几乎全部提交网上申请的真是（实）姓名、护照号码、港澳通行证号码遭到泄露，目前该漏洞还没有修复。”昨日，新浪认证用户知名IT独立博客“月光博客”在其微博中接连发布三条微博称，广东省公安厅出入境政务服务网站有技术漏洞，普通用户可以绕过登陆页面查找网站内数据信息，曾在网上申请过出入境的市民个人资料可能被泄露。被泄露的信息数量有444万之多。还在微博中附带泄露疑似市民个人资料的截图，引来众多网友的高度关注，议论纷纷。

　　昨日下午2时许，记者发现微博内容后，立即尝试登录广东省公安厅出入境政务服务网站，可出入境服务网已经无法登录。直至下午6时许，省公安厅出入境政务服务网才重新开放。记者登录网站后发现，网站上并没有对泄露事件给出解释和说明。但网站所有功能均已恢复。

　　随后记者通过搜索发现，一名叫作“刺刺”用户曾在11月29日发布省公安厅出入境网站网上申请数据泄露的漏洞信息。“月光博客”向记者证实，确实是“刺刺”最先发现并发布了出入境信息漏洞。

　　昨晚9时，广东省公安厅通过其官方微博“平安南粤”发布消息回应此事，“近日，网上有消息称，广东省公安厅出入境政务服务网存在技术漏洞问题。广东省公安厅对此高度重视，迅速成立专责小组对该情况进行核查。经初步调查，该网站确实存在技术漏洞，现已修补完毕。”

　　泄密原因

　　互联网企业信息安全支出低

　　有业界专家表示，用户对账户的不良使用习惯是导火索。据了解，在CSDN被爆出的640万网民用户密码中，单纯以“123456789”、“12345678”、“11111111”等极其简单的排列组合方式的网民数量高达52万之多，无需任何技术支持便可破解。

　　支付宝相关负责人则指出，“一些会员习惯在注册任何网络账户时都用同一个邮箱，并设置成相同的密码，由此导致账户的不安全。”

　　但除了网民的个人使用习惯外，导致泄密门事件愈演愈烈的另一因素是国内互联网企业信息安全支出比重偏低。据相关数据显示，目前，中国互联网公司的信息安全支出，在整体IT支出中的比重不到1%，相较于国外8%~10%的投入。

　　有业内专家透露，“在被泄露的用户密码中，的确存在着部分互联网企业采用了明文密码保存方式，该网站被黑客攻破，用户密码便如同‘裸奔’一样，毫无任何保护措施可言。此外，一些互联网企业还存在一个普遍问题，就是为了降低成本，而将密码存储的服务器挂到了外网上，对黑客而言，攻破网站后盗取密码便轻而易举了。

　　除此以外，随着泄密事件的再度升级，背后隐藏的商业产业链危机开始被互联网业界关注。此前，据CNNIC《第28次中国互联网络发展状况统计报告》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。据360分析评估，上述被盗号的1.21亿网民群体中，80%以上是因为黑客刷库后获取了网民的账号密码数据，危害远远超过盗号木马。

　　在今年早些时候的信息安全论坛上，Chown Group（信息安全专业委员会）的李麒曾在接受媒体采访时更是指出，目前中国黑客的黑色产业链规模价值已经高达百亿元。

　　因此，对于短期内传出庞大数量的用户信息被密集泄露现象，互联网知名评论人谢文称，泄密门事件恐不止黑客入侵简单，背后是否有商业利益操控值得推敲。

　　专家提醒

　　遭泄密必须重置所有密码

　　对于此次互联网泄露事件，金山毒霸安全专家李铁军称在超过1亿的网络账号和密码遭泄露后，多个服务器数据库资料被黑客窃取，给上亿用户账号泄露带来的是安全灾难，仅凭简单的修改泄露账号的登录密码不可能完全解除。因为黑客入侵邮箱后可分析联系人关系，朋友、亲人、同事、业务关系链被挖掘，黑客可根据信息的价值选择下一步入侵方向。攻击可发起诸如欺诈、钓鱼、发送病毒邮件、发送垃圾邮件等恶意攻击，导致亲朋好友可能由此邮箱被盗而受到牵连。

　　对此，李铁军在接受记者采访时建议：网民应该检查修改所有与泄露账号有关的服务，尽可能将重要服务和不重要服务分别管理；重置所有重要服务的登录密码，确保重要服务的用户名密码只使用一次。

　　此外，支付宝方面提醒消费者，改掉图简单“一个账户走天下”的不良习惯，用户对网银、网上支付账号要使用单一的高强度的密码，如果支付账号提供了双重密码保护，两个密码也一定要设置成不同。