導語: 近日，關于網易郵箱數據泄漏事件鬧得沸沸揚揚。該郵箱辟謠稱自身系統并未被攻破，但消息發布方烏云漏洞平臺也言之鑿鑿。不論是被攻破，還是其余網站失守致殃及網易，不可否認的是，大面積網民的個人信息，確實被泄漏了。為什么中國網民的“內褲”如此易扒，被窺探隱私有何風險，作為網民之一的你，還安全嗎？

　　信息早泄漏多時，突然爆出是榨干最后利益

　　網易郵箱被爆出數億用戶個人信息與密碼泄露，這一事件在今天內由于某匿名人士在國內最大的Web安全漏洞上報平臺“烏云”上提交曝光，而在一瞬間內引爆了整個我國網絡圈與各大媒體；然而有趣的是，安全業內圈子對此事卻反應平靜，并沒有大廈將傾、世界末日的驚恐景象。

　　事實上，該郵箱有一個庫在外面小范圍流傳，早就是安全圈內心知肚明又無從考證的一個“真實的流言”，大量發生的其代理的某網游盜號事件以及部分用戶的網上支付產品被盜用事件不斷從側面映證著這一點。

　　直到頻發的iPhone手機被遠程鎖定以勒索機主錢財的網絡犯罪案件，才將這個事實推到前臺。因為我國的蘋果用戶們很多都習慣于使用網易郵箱來注冊Apple ID以使用蘋果所提供的各種設備與云服務，所以大量的Apple ID被通過網易郵箱的密碼進行登錄或將設備遠程鎖定以敲詐勒索了。這無疑是一種極為高調的行動，所帶來的結果就是：大家紛紛修改自己的密碼，而這個庫也將在被隱秘利用了許久之后失去自己的價值。

　　但換個角度來看，這恰恰說明這份數量龐大的郵箱信息數據庫其實已經存在了太久，久到其真實價值已經被“黑色產業圈”榨取殆盡（反復“洗庫”），因此才會在它生命周期的最后一刻瘋狂利用一把，然后在事件被人揭破以后徹底公開，于是這個“真實的流言”功成身退，鞠躬下臺。

　　“黑色產業圈”產出“社工庫” 專欺普通網民

　　網絡空間既然有諸多明面上的生意之道，自然也有不能見光的陰暗交易，這種交易隨著我國互聯網的發展而蓬勃生長，已經成為了年產值數十億的巨大而完整的產業鏈。

　　安全學術界將自己所從事的領域由原有的“網絡安全”逐漸進化為“信息安全”，這又從側面說明了“黑色產業”也罷、個體攻擊者都將關注點放在了“信息”本身上。因為在任何時代，信息才是最有價值的無形資產。入侵重要組織，如政府部門、銀行證券業等，固然可以快速帶來巨大利益，但也同樣帶來較高的技術難度以及被抓風險，對“黑色產業圈”的“生意人”們來說不符合生意之道；于是他們將目光轉向你我，互聯網時代的普通網民，不懂網絡安全技術，取得敏感身份信息簡直容易至極。雖然個體價值有限，但勝在數量巨大，聚沙成塔，其總體價值足以養活一個巨大的產業圈。

　　“大數據時代之下，個人隱私早已無所遁形”，這句話已經被重復過無數次。“社工庫”正是大量聚集用戶隱私的地方。“社工”者，社會工程學也，實質是黑客技術之外綜合利用情報學、心理學甚至騙術等知識的總稱而已。無數的“社工庫”里充滿著海量的用戶注冊郵箱、登錄ID、QQ號、常用密碼、銀行賬號、真實姓名、手機號碼等個人敏感信息。

　　“社工庫”個人信息從何而來？

　　一方面由大量網民們自行貢獻：點擊木馬、訪問登錄釣魚網站、設置簡單登錄口令等；另一方面由信息服務的提供方泄露而出：“拖庫”（網站數據庫被黑客全部下載）事件以及XSS（跨站注入）導致的用戶權限劫持或密碼明文被盜取事件，以及內外勾結主動出售用戶個人信息事件等。互聯網用戶日常所需要使用的網絡應用如此之多，而個人敏感信息的內容種類與泄露方式也如此之多，體積與數量巨大的“社工庫”存在也就不足為奇了。

　　以下幾類常用信息，常常是“社工”們竊取隱私的“重點照顧對象”。

　　一是網名或注冊ID。作為網絡用戶首要的識別符號，一般人都會在選擇的時候注重唯一性與可識別性，這反而為攻擊者提供了方便，他們可以簡單地通過網名或者注冊ID將分散在不同平臺上的各種相關信息關聯起來，形成屬于該個體的全面完整數據庫。

　　接下來是QQ號。社工庫中歷來將QQ號作為重要的數據指標：結合外泄的QQ群信息庫導致無數曾在同學同事群中使用實名標注群名片的用戶真名曝光。同時，QQ郵箱在各大社交網站、移動互聯網應用注冊時的廣泛使用，足以將各大網站的用戶行為數據、社會關系等與其真實姓名聯系起來了。

　　然后是真實姓名、手機號碼、銀行賬號等線下信息。我們做不到在網上給電話充值的時候不留手機號碼；也做不到在網上訂機票時不留下自己的真實姓名與身份證號碼。但當騙子操著廣東話直呼你名字，叫你明天到他辦公室一趟的時候，才發現整個互聯網就是一片黑暗森林。

　　整片由無數信息所組成的黑暗森林，其根基是電子郵件服務。電子郵件服務是當前唯一無需提交其他憑證即可隨意申請的主流互聯網服務，也是使用互聯網用戶服務的第一個入口。甚至可以夸張一點說，誰取得了電子郵件服務的控制權，誰就掌握了互聯網用戶的生命線。

　　信息泄露危害財產安全 誰該擔責？

　　此次事件最要命的一點是，國內使用該郵箱的人不在少數，并且不少網民的支付寶賬號、網游賬號、網上銀行、Apple ID等關聯著大額甚至巨額資金的賬號與其綁定，故增強了網民的憤慨，集體指責其郵箱安全系統。那么，這次事件的責任方，究竟在誰？

　　首先，防御措施不足導致用戶數據外泄的責任，該網站是必然需要承擔的。

　　其次，泄漏數據的郵箱有沒有做過基本防護？據目前公開信息，此次曝光數據是2012年的該郵箱部分用戶數據（確實被隱秘利用了三年），這些數據是已經過了MD5算法進行換算存儲的，而現在的其早已使用MD5+SALT的形式來對用戶數據進行強度更高的防護。

　　另外，作為互聯網用戶的我們也同樣要承擔責任：我們使用各種簡單好記的口令；使用同一個郵箱綁定了許多關鍵應用；重復使用同樣的ID與密碼，這些隱私意識薄弱的行為，為盜取信息的“社工”打開了方便之門。

　　最后，整個社會，包括所有使用互聯網信息系統以及政府機關、企業與組織機構，對自身信息系統防護的刻意忽視，對公民與用戶敏感信息安全的漠不關心，對內部人員的信息安全管理、信息安全審計與問責機制的缺失，都是造成當前互聯網上“社工庫”泛濫的罪魁禍首。

　　這次郵箱安全事件其實正是一聲響亮的警鐘，敲給所有的網民和信息安全管理部門。應提高自己的信息安全意識與防護能力，否則此類事件將會一次又一次、越來越嚴重地繼續爆發下去。