[[152753]]

10月19日網(wǎng)易”亮“了，烏云報告網(wǎng)易郵箱存在漏洞，涉及數(shù)億網(wǎng)易郵箱賬號和密碼(MD5加密)的泄露。這讓我想起前不久一個小事：

我和一位大學(xué)同學(xué)聚會，臨走卻發(fā)現(xiàn)我通訊錄里面沒有他的手機號碼，讓他撥我手機號碼，一撥就占線，檢查黑名單，果然他的手機號碼已經(jīng)被我屏蔽了。我當(dāng)時很納悶，為什么我要屏蔽同學(xué)的手機號碼呢？ 猛然想起來了：必然是同學(xué)的AppleID賬號被人黑了，被用來利用iMessage給通訊錄的好友群發(fā)垃圾短信，這才被我屏蔽。于是讓同學(xué)趕緊修改AppleID的密碼，開啟兩步驗證。

而郵箱賬號和密碼被泄露，嚴(yán)重性遠(yuǎn)遠(yuǎn)超過一般網(wǎng)站賬號泄露。因為用戶大量網(wǎng)站賬號都綁定在郵箱上，郵箱被破，就可以通過找回密碼輕易黑掉其他網(wǎng)站賬號。這正因為如此，很多人的AppleID被黑。

網(wǎng)站的核心用戶和賬號數(shù)據(jù)庫被黑，這些年已經(jīng)一而再再而三上演了，大概大家還對2012年初的密碼門事件記憶猶新，而2013年攜程的數(shù)據(jù)庫也被爆，用戶信用卡信息泄露，網(wǎng)易郵箱賬號的泄露應(yīng)該是近年來被爆出涉及賬號最多的泄露事件了。

然而這只不過是冰山一角，網(wǎng)絡(luò)安全的糟糕狀況遠(yuǎn)遠(yuǎn)超過大家的想象，就像酷殼陳皓所說的：“ 一般來說，進(jìn)入公眾視野的數(shù)據(jù)基本上是已被黑客搞了n多年了，已沒啥價值了 ”。

誠然如此，其實真正還有利用價值的被拖的用戶數(shù)據(jù)，黑客也不會隨便爆出來自斷財路。這里作為“密碼門事件”親歷者，不妨回顧一下背后的故事：

話說我在2010年3月底去了CSDN上班，在8月份計劃改造用戶登錄系統(tǒng)的時候發(fā)現(xiàn)：用戶密碼用明文保存了，更神奇的是，密碼其實同時保存了兩份：一份明文，一份加密過的。我非常驚訝，內(nèi)部詢問了一圈，也沒問出一個所以然。我到CSDN之前就聽聞CSDN被拖過庫，于是找了一個圈內(nèi)朋友曲折打聽了一下，沒得到確切的答復(fù)。不管怎樣了，先去掉了明文密碼，又對操作系統(tǒng)進(jìn)行了一次加固。然并卵，這個在2010年9月之前的用戶庫后來確實證明被拖了，盡管在我加固之后的用戶數(shù)據(jù)，倒是沒有再泄露。

這個2010年9月之前的庫直到2012年初才見諸公共視野，已被拖庫者把玩良久，該利用的價值早就利用的差不多了。

因為當(dāng)時CSDN是唯一主動承認(rèn)被拖庫，并且積極通知用戶、配合公安部門調(diào)查，所以得到了公安的信任，我比較深入的參與了后來的整個調(diào)查過程，親手鑒定了很多被拖過的庫。其中最令人嘆為觀止的是某CEO擅長炒股的上市公司，3億多賬號被拖光。

密碼門后來已經(jīng)有點失控了，每隔幾天放一個庫，變成了帶有懸念的行為藝術(shù)。其實黑產(chǎn)者沒有任何理由干這種不理智的自爆，干這事的完全是一個不懂“行規(guī)”的菜鳥，滿滿的成就感。這種既斷黑產(chǎn)者財路，也引起社會不安的作死行為終于惹了眾怒，黑白兩道聯(lián)手，很快就破案了，當(dāng)然也牽連了不少黑產(chǎn)者。

此案繳獲的戰(zhàn)利品之一：各個知名互聯(lián)網(wǎng)公司用戶庫，壓縮后的文件高達(dá)20多個TB的硬盤存儲容量，嘆為觀止，除了BAT這三家，沒有漏網(wǎng)之魚，或多或少被拖。

圍觀密碼門各個互聯(lián)網(wǎng)公司的繳獲品，其實可以看出一個清晰的規(guī)律： 公司的數(shù)據(jù)安全性和對技術(shù)的重視和投入程度是正相關(guān)的。越重視技術(shù)的公司，遭受的損失越?。辉侥暭夹g(shù)的公司，遭受的損失越大。

前網(wǎng)易的主程云風(fēng)同學(xué)也評論到：“關(guān)于網(wǎng)易賬號泄露的問題， 我想說，網(wǎng)易的統(tǒng)一認(rèn)證 URS 系統(tǒng),，我從 2004 年開始吐槽到 2011 年離開網(wǎng)易。期間專門寫千字以上的郵件不下三次，專門開過好幾次會都沒用。負(fù)責(zé)人換了幾撥， 沒有人意識到安全問題有多嚴(yán)重。”

Fenng同學(xué)說過一句很精辟的話：“技術(shù)在短期總是被高估的，而在長期總是被低估的”。技術(shù)投入都是浮在水面下的，無法很直觀的體現(xiàn)在公司的業(yè)務(wù)收入增長上，往往在長期被人所忽視。但是忽視技術(shù)的投入，遲早會被加倍的懲罰。

密碼門已經(jīng)過去了三年之久，如今的網(wǎng)絡(luò)安全狀況其實比當(dāng)時更加惡劣。且不說當(dāng)初遭受過拖庫的各個公司早已好了傷疤忘了痛，新涌現(xiàn)的創(chuàng)業(yè)公司技術(shù)水平更加慘不忍睹。

這三年移動互聯(lián)網(wǎng)泡沫期，技術(shù)人才嚴(yán)重匱乏，創(chuàng)業(yè)項目又發(fā)展速度過快，動輒一年跑到B輪C輪，根本沒有時間沒有人才在技術(shù)上夯實根基，哪怕是很多明星級技術(shù)創(chuàng)業(yè)的項目，自身對基本的網(wǎng)絡(luò)安全都沒有什么概念。一旦爆發(fā)第二次密碼門事件，其規(guī)模和烈度遠(yuǎn)遠(yuǎn)超過2012年。

那么如何提高自身的網(wǎng)絡(luò)安全性呢？

是不是我花點錢定期請安全公司幫我掃描一下系統(tǒng)漏洞，或者懸賞黑客購買漏洞呢？

這樣做的確有一些幫助，但是 治標(biāo)不治本

網(wǎng)絡(luò)安全不是一個簡單的漏洞問題，造成系統(tǒng)的網(wǎng)絡(luò)安全問題，往往是背后綜合性原因?qū)е碌?，例如?/p>

• 研發(fā)流程，系統(tǒng)上線流程缺乏規(guī)范化管理
• 研發(fā)團(tuán)隊平均水平低，缺乏基本的網(wǎng)絡(luò)安全方面的編程意識
• 系統(tǒng)架構(gòu)不合理，在隨著業(yè)務(wù)擴展的時候不停打補丁，導(dǎo)致系統(tǒng)性安全問題難以解決
• 不合理的研發(fā)周期，過緊的趕工導(dǎo)致對安全問題的人為放松

特別是其中的軟件系統(tǒng)架構(gòu)，運維架構(gòu)不合理導(dǎo)致的系統(tǒng)性網(wǎng)絡(luò)安全，問題尤為突出，這不是采取其他補救措施可以解決的，而且會隨著系統(tǒng)的發(fā)展，安全問題層出不窮。大多數(shù)創(chuàng)業(yè)公司，你讓老板花一大筆錢請安全公司掃描漏洞，解決立竿見影的問題，都很愿意；但是讓老板批準(zhǔn)研發(fā)團(tuán)隊投入時間和人力做短期看不到任何效果的系統(tǒng)架構(gòu)改造，幾乎沒有什么支持的。

網(wǎng)易的郵箱賬號泄露不會是最后一次，以后我們還會看到更加勁爆的安全事件，特別是互聯(lián)網(wǎng)金融野蠻發(fā)展的今天。不過還是那句話，能夠讓公眾看到的安全事件，其實都是失去了利用價值的用戶數(shù)據(jù)，那些正在讓黑產(chǎn)者悶聲發(fā)大財?shù)牟粫屇阒赖摹?/p>