2016年8月14日，王寶強(qiáng)與馬蓉宣布離婚，而緊接著第二天，網(wǎng)上就流出了馬蓉與王寶強(qiáng)經(jīng)紀(jì)人宋喆的開(kāi)房艷照。事實(shí)上不只是艷照，宋喆的履歷、住址、常去的酒店、開(kāi)房記錄、甚至曾經(jīng)在豆瓣上用小號(hào)發(fā)的約炮活動(dòng)等等，統(tǒng)統(tǒng)被網(wǎng)友扒了個(gè)干凈。這難道就是黑客的力量？資深網(wǎng)絡(luò)安全工作者程維（化名）認(rèn)為，其實(shí)并不是。

現(xiàn)如今我們?cè)谧?cè)很多網(wǎng)站，都需要進(jìn)行郵箱驗(yàn)證，而電子郵箱出于安全性考慮又會(huì)綁定手機(jī)號(hào)碼等內(nèi)容，因此當(dāng)郵箱賬號(hào)密碼泄露時(shí)，用戶與這個(gè)電子郵箱關(guān)聯(lián)的很多信息都將暴露在外。這次宋喆的個(gè)人信息之所以暴露的如此徹底，歸根結(jié)底是由于他的常用郵箱是一個(gè)網(wǎng)易郵箱。

網(wǎng)易在2015年10月被曝光發(fā)生大規(guī)模數(shù)據(jù)泄露事件，主要內(nèi)容就是網(wǎng)易郵箱的賬號(hào)密碼，泄露數(shù)據(jù)量超過(guò)5億條。雖然網(wǎng)易早已修復(fù)了相關(guān)漏洞，但想想宋喆的經(jīng)歷，仍然在使用網(wǎng)易郵箱的用戶有沒(méi)有背后一涼？

不只是網(wǎng)易，90%的網(wǎng)站都曾經(jīng)發(fā)生過(guò)數(shù)據(jù)泄露

用戶每天登陸網(wǎng)站的賬號(hào)密碼、注冊(cè)時(shí)使用的手機(jī)號(hào)和個(gè)人信息、APP和軟件中關(guān)聯(lián)的電話簿等等，這些用戶數(shù)據(jù)都保存在網(wǎng)站的數(shù)據(jù)庫(kù)當(dāng)中。有的互聯(lián)網(wǎng)公司會(huì)租用大型服務(wù)器，例如阿里云、華為云等，來(lái)作為自己的數(shù)據(jù)庫(kù)，也有的公司會(huì)自己建立服務(wù)器。但無(wú)論哪種方式，都沒(méi)有絕對(duì)安全的說(shuō)法。

程維說(shuō)：“幾乎所有的網(wǎng)站都存在漏洞，區(qū)別只是這個(gè)漏洞有沒(méi)有被發(fā)現(xiàn)?！?60旗下補(bǔ)天漏洞響應(yīng)平臺(tái)在2015年初發(fā)布的中國(guó)區(qū)用戶數(shù)據(jù)泄露統(tǒng)計(jì)表，不完全統(tǒng)計(jì)了2011至2014年發(fā)生用戶數(shù)據(jù)泄露的網(wǎng)站和數(shù)據(jù)量。但就是這一份“不完全統(tǒng)計(jì)“中，發(fā)生數(shù)據(jù)泄露的網(wǎng)站接近200家，泄露的信息數(shù)據(jù)超過(guò)7億條，覆蓋了電商、保險(xiǎn)、游戲、出行、住宿、交友、招聘、在線醫(yī)療咨詢等等各個(gè)行業(yè)，內(nèi)容包括姓名、證件號(hào)碼、網(wǎng)站賬號(hào)密碼、IP地址、簡(jiǎn)歷、航班及乘車信息、酒店開(kāi)房信息、郵箱、快遞編號(hào)、住址等各個(gè)方面。

而相比于企業(yè)的網(wǎng)站，一些政府部門的網(wǎng)站保護(hù)更薄弱，流出的信息卻更危險(xiǎn)。程維告訴筆者，除了國(guó)家重點(diǎn)部門的技術(shù)人員比較重視以外，像教育、醫(yī)療、社會(huì)保障這樣的民生部門實(shí)際上都存在比較大的安全漏洞監(jiān)管問(wèn)題。這部分流出信息，大部分都被用于電信詐騙，社會(huì)影響很大。

竊取數(shù)據(jù)需要的技術(shù)不復(fù)雜，從業(yè)人群大部分是大學(xué)生

網(wǎng)站數(shù)據(jù)泄露只有較少一部分是由于定向攻擊，大部分都是由于網(wǎng)站安全防護(hù)上存在漏洞。一旦有些漏洞在修復(fù)之前被黑客發(fā)現(xiàn)，他們就會(huì)利用漏洞對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行拷貝，行業(yè)內(nèi)管這種行為叫“拖庫(kù)”。

程維表示，像他們這樣有本職工作，在正規(guī)公司上班的人，是不會(huì)做這樣的事情的。一方面是風(fēng)險(xiǎn)太大，一旦被公安機(jī)關(guān)調(diào)查出來(lái)就要面臨牢獄之災(zāi)；另一方面，只是出賣數(shù)據(jù)并沒(méi)有太高的收益，程維透露，現(xiàn)在普通的數(shù)據(jù)，像電話號(hào)碼這種價(jià)格都很便宜，5塊錢就能買到1000條以上。

恰恰是那些技術(shù)一般，沒(méi)法進(jìn)入正軌公司的人，才是數(shù)據(jù)泄露的罪魁禍?zhǔn)?。事?shí)上絕大多數(shù)“拖庫(kù)“的事情，都是在校大學(xué)生甚至未成年人做的。大學(xué)生的法律意識(shí)比較薄弱，經(jīng)濟(jì)狀況不好，也就有不少人在數(shù)據(jù)庫(kù)上面動(dòng)了“歪心思”。

而很多公司，甚至政府機(jī)構(gòu)并不重視網(wǎng)絡(luò)信息安全的工作，漏洞發(fā)現(xiàn)不及時(shí)、處理速度慢，因而給了黑客可乘之機(jī)。存在這種情況的網(wǎng)站，很容易發(fā)生數(shù)據(jù)泄露。對(duì)多少有些這方面技術(shù)的大學(xué)生而言，數(shù)據(jù)偷起來(lái)很容易，沒(méi)什么技術(shù)含量。

不重視網(wǎng)絡(luò)安全的主要原因，追究數(shù)據(jù)泄露事件的取證難度大

目前，國(guó)家已經(jīng)制定了相關(guān)的法律法規(guī)來(lái)規(guī)范網(wǎng)絡(luò)信息安全問(wèn)責(zé)制度，但這些法律條款實(shí)際執(zhí)行起來(lái)有難度，最大的障礙在于取證。

一方面，網(wǎng)站數(shù)據(jù)丟了，并不會(huì)去追回和調(diào)查。首先，網(wǎng)站一般并不知道是否被偷過(guò)數(shù)據(jù)。因?yàn)閮H僅是拷貝數(shù)據(jù)是不太可能在網(wǎng)站服務(wù)器內(nèi)留下痕跡的，而對(duì)于一些監(jiān)管松懈的網(wǎng)站來(lái)說(shuō)，并不能第一時(shí)間發(fā)現(xiàn)漏洞，時(shí)間一長(zhǎng)，更難追查。其二，哪怕公司得知了數(shù)據(jù)泄露，也不會(huì)公開(kāi)這一消息。畢竟承擔(dān)泄露數(shù)據(jù)的輿論壓力，與可以挽回的損失相比要重太多。

另一方面，受害者很難追究網(wǎng)站發(fā)生數(shù)據(jù)泄露的責(zé)任。雖然在2015年11月1日，刑法第286條剛剛增加新的條款，對(duì)于泄露用戶數(shù)據(jù)造成惡劣影響，且沒(méi)有及時(shí)補(bǔ)救的企業(yè)，將被追求刑事責(zé)任。但是這條法律卻難以真正執(zhí)行。主要原因是受害者很難拿出直接證據(jù)，來(lái)證明數(shù)據(jù)就是該公司泄露的。沒(méi)有了證據(jù)，追究責(zé)任就無(wú)從談起。除非是外界輿論壓力太大，紙包不住火了，公司才有可能出面承擔(dān)責(zé)任。

然而數(shù)據(jù)泄露對(duì)公司造成危害是必然的

目前對(duì)于企業(yè)而言，國(guó)家的企業(yè)信用評(píng)價(jià)體系建立的不完善，類似現(xiàn)象沒(méi)有辦法實(shí)現(xiàn)“現(xiàn)世報(bào)”。然而一旦曝光，對(duì)企業(yè)造成各方面的傷害是必然的。一方面對(duì)于普通用戶，容易對(duì)涉事公司產(chǎn)生不信任感，用戶獲取和新業(yè)務(wù)的開(kāi)展就會(huì)碰壁。世紀(jì)佳緣就是一個(gè)例子，自從它去年4月被曝光存在大規(guī)模數(shù)據(jù)泄露現(xiàn)象后，網(wǎng)上很難看到一句用戶好評(píng)。

另一方面，企業(yè)如果被曝光有大規(guī)模數(shù)據(jù)泄露，基于安全信用考核標(biāo)準(zhǔn)的牌照，例如金融支付牌照的申請(qǐng)就難以被通過(guò)。

而數(shù)據(jù)泄露事件被曝光，現(xiàn)在能直觀反映出對(duì)公司影響的數(shù)據(jù)就是股價(jià)。2016年9月23日，雅虎對(duì)外公布有超過(guò)5億條數(shù)據(jù)泄露，當(dāng)日雅虎股價(jià)直接下跌3.06%。業(yè)內(nèi)人士認(rèn)為，僅由于這次事件會(huì)選擇拋棄雅虎的用戶就超過(guò)5%，換算之后的人數(shù)大約在500至1000萬(wàn)人。

中小企業(yè)在網(wǎng)絡(luò)安全保護(hù)上落后，想要改善還需要提高重視程度

程維透露，雖然大公司每次曝光出數(shù)據(jù)泄露事件，泄露的數(shù)據(jù)量都很大，影響很嚴(yán)重，但其實(shí)他們安全工作做得還是更好一些。主要原因在于，安全工作很大程度決定于人才。個(gè)人技術(shù)水平和團(tuán)隊(duì)積極性，在很大程度上決定了一個(gè)公司網(wǎng)絡(luò)安全防護(hù)程度。中小型企業(yè)和一部分傳統(tǒng)企業(yè)往往剛剛踏足互聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)，大部分精力和資金的投入都還在產(chǎn)品的研發(fā)和運(yùn)營(yíng)上，尚未對(duì)網(wǎng)絡(luò)安全提起重視，更談不上組建優(yōu)秀的網(wǎng)絡(luò)安全團(tuán)隊(duì)。

想要保護(hù)用戶的網(wǎng)絡(luò)信息安全，歸根結(jié)底還是需要公司本身重視。

重視網(wǎng)絡(luò)信息安全，就要重視技術(shù)人才。以阿里巴巴為例，阿里在2002年開(kāi)始引進(jìn)網(wǎng)絡(luò)安全人才，到目前已經(jīng)有超過(guò)1000人的安全團(tuán)隊(duì)。程維透露，阿里安全部門和運(yùn)維人員的待遇應(yīng)該是行業(yè)內(nèi)最高的，所以很少有人會(huì)跳槽，也不斷有新的牛人進(jìn)去。另外，成立規(guī)模合理的安全團(tuán)隊(duì)，多關(guān)注國(guó)內(nèi)漏洞響應(yīng)平臺(tái)，也可以在一定程度上降低數(shù)據(jù)泄露發(fā)生的概率。程維告訴筆者，目前國(guó)內(nèi)有數(shù)家漏洞相應(yīng)平臺(tái)，而他們背后還有一大批“白帽子”，這些人并不利用網(wǎng)站漏洞盈利，而是在發(fā)現(xiàn)漏洞后將信息掛在響應(yīng)平臺(tái)上，供涉事網(wǎng)站瀏覽和修補(bǔ)使用。一些中小企業(yè)和傳統(tǒng)企業(yè)如果沒(méi)有完善的網(wǎng)絡(luò)安全防護(hù)機(jī)制，不妨多關(guān)注這方面的信息，也可以起到一定的作用。

網(wǎng)絡(luò)安全概念股：立思辰、拓爾思、聯(lián)絡(luò)互動(dòng)、啟明星辰、同有科技、榕基軟件、北信源、任子行、啟明星辰、衛(wèi)士通、東方通、美亞柏科、綠盟科技、藍(lán)盾股份、南威軟件、同方股份。