中国黑客产业链价值达百亿 泄密门可能纯属虚构

　　从12月21日CSDN的640万用户账户、密码、邮箱遭黑客泄露，到后来天涯的969万账号超过4000万数据、人人网的476万个账号、网易土木论坛的4.3GB数据、太平洋电脑网200万账户、多玩的830万账户等等，密码泄露事件愈演愈烈。

　　据互联网安全专家李铁军介绍，这次泄露的数据都不是最新的，可以判断为多层转手之后意外流出的数据库，如果不是这些数据泄露，估计公众仍然不知情，可能受到的伤害更大。

　　密码是怎么传出来的？

　　12月21日，一份名为“CSDN-中文IT社区-600万.rar”的文件在互联网疯传。据报道称，传出这份文件的是一名金山毒霸的产品经理，他将密码数据库上传到网络，随后被其他用户大量转发。这个微博名为“hzqedison”的用户后来在其微博发表声明称，他并非黑客，只是在一个QQ聊天群里看到CSDN的数据库下载地址，通过迅雷的离线下载功能下载了该文件来检查自己的账号是否被泄露。

　　这件事的始作俑者是谁已经无据可查，但是这批泄密资料确实是通过网络下载工具迅雷被人意外下载的。据这名业内人士称，上述网站和论坛的密码、个人信息等数据其实早在数月前已经被黑客获取，并在私下里传播，本来相安无事，谁知碰到其中某个黑客用了新版本的迅雷，因有“相关推荐”功能，于是所有数据大白于天下。而且，现在这些资源已经被无数次分享，已经无法阻止相关数据的传播。

　　为了搞清楚密码泄露的路径，记者下载了一款版本为7.2.4.3312的迅雷下载软件，并且使用迅雷下载一个编程程序，在下载过程中，迅雷就在其相关推荐栏里面给出了“CSDN-中文IT社区-600万.rar”的相关下载地址，也就是最初泄露的密码。

　　业内人士称，部分黑客通过邮箱内部交流黑来的数据库，其中一些人通过迅雷离线下载或者高速通道下载，这样这些数据库就保留在了迅雷服务器。而其他用户在使用迅雷下载时，通过“相关推荐”功能把黑客用来内部交流的数据下载了下来。

　　12月23日，迅雷相关负责人在接受采访时表示，迅雷已经全面屏蔽了与CSDN泄密有关的文件，不仅用户无法通过迅雷下载平台下载相关内容，试图通过迅雷快传、迅雷网盘等迅雷产品进行传播的行为也将被绝对禁止。

　　实际上，现在迅雷的“相关推荐”功能还在运作，而泄露的密码文件却变换了名称，以各种方式在继续传播。据业内人士说，迅雷软件能够屏蔽掉某一个“相关推荐”，但是用户通过简单的操作就能改变文件的MD5编号，从而绕过迅雷的屏蔽。

　　为何黑客网站如此容易？

　　继社交网站、论坛的密码被泄露之后，电子商务网站京东商城也被曝出存在高危漏洞，圆通速递的主页被黑，加剧了网民对于网络信息安全的担忧。

　　12月26日，网友“我心飞翔”在专业安全网站“乌云”上提供的资料显示，京东商城存在高危险的漏洞，可能导致用户资料完全泄露。京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录系统后，都可以正常访问到所有用户的信息，包括姓名、地址、电话、E-mail等。而此事已经得到了京东的确认，其对举报者回复：感谢对京东的关注，我们马上处理。

　　12月28日，圆通速递公司的网页被篡，空荡荡的网页上只有一句话“JUSTFORFUN”(就是为了好玩儿)，并且留下了一个名字，eleven& FnH4ck！。据李铁军介绍，圆通的主站被黑，很可能被“拖库”(数据库程序员专业名词，从数据库导出数据，也就是数据泄露了)。

　　面对用户数据被盗，CSDN在12月21日发布道歉信称：这次泄露的密码多是2009年4月之前注册的，因为当时使用的都是明文密码。后来程序员始终未对此进行处理，一直到2009年4月才修改了密码保存方式，改成了加密密码，但部分老的明文密码未被清理。

　　据李铁军介绍，用户提交资料到网站、论坛时都是明文的，一般情况下网站会对这些数据做加密处理，以保护安全。没有做加密的，就全是明文。

　　相比之下，密文要略好一些，加密的方式也很多，通常认为，直接从密文逆向解密出明文是不可能的(需要超强的计算能力和非常长的时间)。

　　但是李铁军指出，黑客才不是笨蛋，黑客绝不会用这种逆向思维。他们已经收集了海量的明文和密文对照的字典，通过这些字典，提交密文立刻可以查到明文，就像查字典一样简单；而且成功概率非常惊人，超过90%。

　　李铁军说，从网络技术来讲，没有黑不了的网站。但是这次密码泄露所暴露出来的并非是技术问题，而是管理问题。CSDN、天涯等网站使用了明文密码使得黑客的易如反掌。网站关心的是内容，是产品服务，安全只处于不重要的角落。从另一个角度看，就算数据被盗了和网站的服务又有多大关联呢？反正丢的只是网民数据，网站仍然在，网站没有直接损失，那怎么会有人为安全投入资金和人力呢？很多网站就是这样想的。

　　到底是谁获利了？

　　业内人士认为，最近公开的仅仅是部分在黑客交易市场中流传很久的老旧数据库，而目前中国黑客的黑色产业链规模价值或达上百亿元。

　　据中国鹰派联盟网的创立者万涛透露，CSDN这样的明文密码库，如果不是定向销售，估值也仅会在数千到几万人民币。整个产业链并不复杂，但最终被榨取的除了用户账户内的有限财富外，还有用户本身的隐私和数据。

　　据媒体报道，此次密码泄露事件也是乌云网最先报告的。之后的一周时间里乌云又发布了多个网站密码被泄露的消息，该网站一时间炙手可热。

　　密码泄露事件爆发后，网络上开通了许多查询账户安全的网站，仅记者用过的就有两家。有趣的是，这两家的检测结果并不一致。李铁军说，有人就是借此宣传自己。