近日，關(guān)于網(wǎng)易郵箱數(shù)據(jù)泄漏事件鬧得沸沸揚揚。該郵箱辟謠稱自身系統(tǒng)并未被攻破，但消息發(fā)布方烏云漏洞平臺也言之鑿鑿。不論是被攻破，還是其余網(wǎng)站失守致殃及網(wǎng)易，不可否認(rèn)的是，大面積網(wǎng)民的個人信息，確實被泄漏了。為什么中國網(wǎng)民的“內(nèi)褲”如此易扒，被窺探隱私有何風(fēng)險，作為網(wǎng)民之一的你，還安全嗎?

信息早泄漏多時，突然爆出是榨干最后利益

網(wǎng)易郵箱被爆出數(shù)億用戶個人信息與密碼泄露，這一事件在今天內(nèi)由于某匿名人士在國內(nèi)最大的Web安全漏洞上報平臺“烏云”上提交曝光，而在一瞬間內(nèi)引爆了整個我國網(wǎng)絡(luò)圈與各大媒體;然而有趣的是，安全業(yè)內(nèi)圈子對此事卻反應(yīng)平靜，并沒有大廈將傾、世界末日的驚恐景象。

事實上，該郵箱有一個庫在外面小范圍流傳，早就是安全圈內(nèi)心知肚明又無從考證的一個“真實的流言”，大量發(fā)生的其代理的某網(wǎng)游盜號事件以及部分用戶的網(wǎng)上支付產(chǎn)品被盜用事件不斷從側(cè)面映證著這一點。

??

直到頻發(fā)的iPhone手機(jī)被遠(yuǎn)程鎖定以勒索機(jī)主錢財?shù)木W(wǎng)絡(luò)犯罪案件，才將這個事實推到前臺。因為我國的蘋果用戶們很多都習(xí)慣于使用網(wǎng)易郵箱來注冊Apple ID以使用蘋果所提供的各種設(shè)備與云服務(wù)，所以大量的Apple ID被通過網(wǎng)易郵箱的密碼進(jìn)行登錄或?qū)⒃O(shè)備遠(yuǎn)程鎖定以敲詐勒索了。這無疑是一種極為高調(diào)的行動，所帶來的結(jié)果就是：大家紛紛修改自己的密碼，而這個庫也將在被隱秘利用了許久之后失去自己的價值。

但換個角度來看，這恰恰說明這份數(shù)量龐大的郵箱信息數(shù)據(jù)庫其實已經(jīng)存在了太久，久到其真實價值已經(jīng)被“黑色產(chǎn)業(yè)圈”榨取殆盡(反復(fù)“洗庫”)，因此才會在它生命周期的最后一刻瘋狂利用一把，然后在事件被人揭破以后徹底公開，于是這個“真實的流言”功成身退，鞠躬下臺。

“黑色產(chǎn)業(yè)圈”產(chǎn)出“社工庫” 專欺普通網(wǎng)民

網(wǎng)絡(luò)空間既然有諸多明面上的生意之道，自然也有不能見光的陰暗交易，這種交易隨著我國互聯(lián)網(wǎng)的發(fā)展而蓬勃生長，已經(jīng)成為了年產(chǎn)值數(shù)十億的巨大而完整的產(chǎn)業(yè)鏈。

安全學(xué)術(shù)界將自己所從事的領(lǐng)域由原有的“網(wǎng)絡(luò)安全”逐漸進(jìn)化為“信息安全”，這又從側(cè)面說明了“黑色產(chǎn)業(yè)”也罷、個體攻擊者都將關(guān)注點放在了“信息”本身上。因為在任何時代，信息才是最有價值的無形資產(chǎn)。入侵重要組織，如政府部門、銀行證券業(yè)等，固然可以快速帶來巨大利益，但也同樣帶來較高的技術(shù)難度以及被抓風(fēng)險，對“黑色產(chǎn)業(yè)圈”的“生意人”們來說不符合生意之道;于是他們將目光轉(zhuǎn)向你我，互聯(lián)網(wǎng)時代的普通網(wǎng)民，不懂網(wǎng)絡(luò)安全技術(shù)，取得敏感身份信息簡直容易至極。雖然個體價值有限，但勝在數(shù)量巨大，聚沙成塔，其總體價值足以養(yǎng)活一個巨大的產(chǎn)業(yè)圈。

“大數(shù)據(jù)時代之下，個人隱私早已無所遁形”，這句話已經(jīng)被重復(fù)過無數(shù)次?！吧绻臁闭谴罅烤奂脩綦[私的地方?！吧绻ぁ闭?，社會工程學(xué)也，實質(zhì)是黑客技術(shù)之外綜合利用情報學(xué)、心理學(xué)甚至騙術(shù)等知識的總稱而已。無數(shù)的“社工庫”里充滿著海量的用戶注冊郵箱、登錄ID、QQ號、常用密碼、銀行賬號、真實姓名、手機(jī)號碼等個人敏感信息。

“社工庫”個人信息從何而來?

一方面由大量網(wǎng)民們自行貢獻(xiàn)：點擊木馬、訪問登錄釣魚網(wǎng)站、設(shè)置簡單登錄口令等;另一方面由信息服務(wù)的提供方泄露而出：“拖庫”(網(wǎng)站數(shù)據(jù)庫被黑客全部下載)事件以及XSS(跨站注入)導(dǎo)致的用戶權(quán)限劫持或密碼明文被盜取事件，以及內(nèi)外勾結(jié)主動出售用戶個人信息事件等。互聯(lián)網(wǎng)用戶日常所需要使用的網(wǎng)絡(luò)應(yīng)用如此之多，而個人敏感信息的內(nèi)容種類與泄露方式也如此之多，體積與數(shù)量巨大的“社工庫”存在也就不足為奇了。

以下幾類常用信息，常常是“社工”們竊取隱私的“重點照顧對象”。

??

一是網(wǎng)名或注冊ID。作為網(wǎng)絡(luò)用戶首要的識別符號，一般人都會在選擇的時候注重唯一性與可識別性，這反而為攻擊者提供了方便，他們可以簡單地通過網(wǎng)名或者注冊ID將分散在不同平臺上的各種相關(guān)信息關(guān)聯(lián)起來，形成屬于該個體的全面完整數(shù)據(jù)庫。

接下來是QQ號。社工庫中歷來將QQ號作為重要的數(shù)據(jù)指標(biāo)：結(jié)合外泄的QQ群信息庫導(dǎo)致無數(shù)曾在同學(xué)同事群中使用實名標(biāo)注群名片的用戶真名曝光。同時，QQ郵箱在各大社交網(wǎng)站、移動互聯(lián)網(wǎng)應(yīng)用注冊時的廣泛使用，足以將各大網(wǎng)站的用戶行為數(shù)據(jù)、社會關(guān)系等與其真實姓名聯(lián)系起來了。

然后是真實姓名、手機(jī)號碼、銀行賬號等線下信息。我們做不到在網(wǎng)上給電話充值的時候不留手機(jī)號碼;也做不到在網(wǎng)上訂機(jī)票時不留下自己的真實姓名與身份證號碼。但當(dāng)騙子操著廣東話直呼你名字，叫你明天到他辦公室一趟的時候，才發(fā)現(xiàn)整個互聯(lián)網(wǎng)就是一片黑暗森林。

整片由無數(shù)信息所組成的黑暗森林，其根基是電子郵件服務(wù)。電子郵件服務(wù)是當(dāng)前唯一無需提交其他憑證即可隨意申請的主流互聯(lián)網(wǎng)服務(wù)，也是使用互聯(lián)網(wǎng)用戶服務(wù)的第一個入口。甚至可以夸張一點說，誰取得了電子郵件服務(wù)的控制權(quán)，誰就掌握了互聯(lián)網(wǎng)用戶的生命線。

信息泄露危害財產(chǎn)安全 誰該擔(dān)責(zé)?

此次事件最要命的一點是，國內(nèi)使用該郵箱的人不在少數(shù)，并且不少網(wǎng)民的支付寶賬號、網(wǎng)游賬號、網(wǎng)上銀行、Apple ID等關(guān)聯(lián)著大額甚至巨額資金的賬號與其綁定，故增強(qiáng)了網(wǎng)民的憤慨，集體指責(zé)其郵箱安全系統(tǒng)。那么，這次事件的責(zé)任方，究竟在誰?

首先，防御措施不足導(dǎo)致用戶數(shù)據(jù)外泄的責(zé)任，該網(wǎng)站是必然需要承擔(dān)的。

其次，泄漏數(shù)據(jù)的郵箱有沒有做過基本防護(hù)?據(jù)目前公開信息，此次曝光數(shù)據(jù)是2012年的該郵箱部分用戶數(shù)據(jù)(確實被隱秘利用了三年)，這些數(shù)據(jù)是已經(jīng)過了MD5算法進(jìn)行換算存儲的，而現(xiàn)在的其早已使用MD5+SALT的形式來對用戶數(shù)據(jù)進(jìn)行強(qiáng)度更高的防護(hù)。

另外，作為互聯(lián)網(wǎng)用戶的我們也同樣要承擔(dān)責(zé)任：我們使用各種簡單好記的口令;使用同一個郵箱綁定了許多關(guān)鍵應(yīng)用;重復(fù)使用同樣的ID與密碼，這些隱私意識薄弱的行為，為盜取信息的“社工”打開了方便之門。

最后，整個社會，包括所有使用互聯(lián)網(wǎng)信息系統(tǒng)以及政府機(jī)關(guān)、企業(yè)與組織機(jī)構(gòu)，對自身信息系統(tǒng)防護(hù)的刻意忽視，對公民與用戶敏感信息安全的漠不關(guān)心，對內(nèi)部人員的信息安全管理、信息安全審計與問責(zé)機(jī)制的缺失，都是造成當(dāng)前互聯(lián)網(wǎng)上“社工庫”泛濫的罪魁禍?zhǔn)住?/p>

這次郵箱安全事件其實正是一聲響亮的警鐘，敲給所有的網(wǎng)民和信息安全管理部門。應(yīng)提高自己的信息安全意識與防護(hù)能力，否則此類事件將會一次又一次、越來越嚴(yán)重地繼續(xù)爆發(fā)下去。