盗密淘金 泄密门背后的黑色商业版图

　　一个密码就像一把钥匙，打开的不只是一个网页，而是一座阿里巴巴的金库。移动互联网络和不断发达的物流体系将世界拉平的同时，也重构了传统的商业模式，我们正在进入一个以用户为中心的精准消费时代，谁能够最为准确的掌握消费者的生日、口味、爱好，谁就能够攫取最大的商业利益。

　　盗密凶猛

　　当下，论坛、SNS、微博等互联网工具帮助人们在信息获取、圈子构建等领域创造便利，为人际关开辟新的疆土；iOS、黑莓和安卓操作系统等功能强大的智能手为人们提供通讯和娱乐便利。但与此同时，这些“工具”也无时无刻不在威胁用户隐私安全。无论联系人名单、上网喜好还是用户的个人行踪，都可能是服务提供商、智能手机应用程序自动收集的信息，一旦泄露后果难料。

　　根据目前已经证实的信息，有三家网站的用户数据库被确认发生了泄漏，泄漏数据的网站包括CSDN、天涯和多玩网（YY语音），其中CSDN、天涯的因为2009年使用的是明文密码，因此泄漏的用户密码是明文的，多玩网（YY语音）的数据是内部员工窃取的，网站未被入侵；有些网站是遭到了入侵，但是用户数据库都没有大规模泄漏，有些网站如人人网等，是通过其他明文密码数据库猜测破解。

　　是的，面对网络的普及，科技的发展，隐私安全正在面临全新的挑战。引言中介绍的那些报道，不过是九牛之一毛。从2011年末至今，一系列隐私泄露案件让关注这些信息的用户都笼罩在密码被盗，账号被滥用，私人信息被盗取的恐惧阴霾之中。只要你关注互联网就会知道此类泄密事件远不止国新办公布的内容，各种网站、手机、游戏服务平台，雷区遍布。

　　这些泄密事件和各种潜在的泄密隐患到底是什么原因造成的？或者说这一切背后又是一股什么样的力量在和传统的商业道德、技术水准在进行博弈？

　　账户背后的秘密

　　当然，首先我们不应当排除用户个人使用习惯方面的因素：在个人电脑、工作电脑、手机等终端上切换使用客户端时未作“登出”等必要的安全防范措施；或者设置、使用过于简单的密码。比方说：Hotmail账号密码外泄事件中，上完密码被公布，其中最短的密碼只有1個字节，40%的用户仅使用小写字母，20%的则只是用数字组合，排名第一位的密码是123456。也就是说，很多用户仍然习惯使用不伤脑筋的，同时安全强度也是经不起考验的密码，这些密码在黑客甚至哪怕只是普通“有心人”眼里都是一个个不堪一击的巨大诱惑。日前就有重庆90后仅有初中文化的高某便通过“破解”上述类似“傻瓜密码”获取数十万元的非法收入，最终获刑十四年。

　　其次，国内的互联网企业普遍不重视安全，对网络安全投入不够，网络安全技术人员得不到重视，在企业的地位和收入不高，造成网络应用漏洞很多，让人有机可趁。明文保存密码这回事，就好像你在家门口的石阶上摆了一叠大钞，绝对是一种考验路人的道德水准的行为。

　　但针对大规模的隐私信息暴露及其风险而言，用户习惯带来的因素只占很少一部分。因其产生的安全、防堵手段又必然永远滞后于或将存在的风险。稍加分析便不难得知，这一系列泄密及安全漏洞风波的背后又存在一个很大的疑点。那就是泄密者为什么会公开各大网站的用户数据库，其原因是什么，如果这个动机找不到，就很难了解泄密事件更深层的动机。

　　俗话说得好，无利不起早。正如计算机病毒的演变史一般，黑客及各种安防隐患背后的力量早已从DOS时代的炫技、恶作剧演变到当下一种以获取用户信息尤其是支付信息为核心动力的产业。手机及智能手持设备上各种泄露用户隐私的漏洞利用软件（类似木马）或者商业软件的相关“隐藏功能”也大都有其商业价值作推手。论坛、SNS、微博等平台大都是免费的；选择手机应用，很多国人用户都倾向于下载免费应用。而绝大部分网站、免费程序都使用广告软件，应用程序收集并转发这类‘个人’设备数据以构建广告档案，最终成为提供免费应用的服务商口袋中的收入。

　　是的，这些信息本身就是钱。垂涎这些信息的商家，可以通过合法的手段来取得。比如近年神州数码就外包了多家银行的信用卡商城，利用银行的数据库，精准地选择潜在客户，在取得授权后进行促销投递，由于精准地掌握了消费者的习惯甚至是购买方式，目前月均销售额已经突破亿元门槛。虽然其做法在商业模式和法律方面尚有值得商榷的空间，但尚属君子爱财取之有道。相比之下，另一种则是彻头彻尾的违法犯罪。用户低价或者免费使用服务或者应用，而服务商不满足于简单的广告收入，便动起了其合法汇集的用户个人信息的脑筋，将其视之为自己的财产，或“善加”利用或转卖他人；黑客们则利用自己手中的技术开始了各种无本儿的买卖。现在只需登陆谷歌搜索，便可方便的找到各种兜售个人信息的页面。在类似“XX业主数据”的网站，我们可以看到公开销售某年“XX万北京业主数据库”“XX万上海高档楼盘业主数据库”“XX万广州商务大厦业主数据库”等百余种信息。有些网站，个人信息被细分成“白领名录”“股民信息”“车主名录”“电视购物名录”“高端名录”“老板手机号码”等十一大类，其中更包括“手机高端用户”“高尔夫会员名单”“银行高管名录”“CEO培训班名录”“北京各高档俱乐部会员资料”等，甚至还包括学生家长、学校名录等。各种商业机构对于用户隐私的迫切需求，给黑客提供了活跃的土壤。

　　剪断黑利益链

　　这就好比医院、医生、医药代表和患者之间的一种转移支付。当医生觉得自己没能获得应得的收入，就会动“推方费”的脑筋，各种药商、号贩子通过法律之外的灰色地带攫取了不正当的利益。患者表面少支付了挂号费，但却支出了不必要的钱用来买药、彻夜排队挂号或者高价买号，自身利益受到了严重的损害，还把所在行业推向了一个非正常的轨道。

　　在上述诸多事件发生后，越来越多的人正在觉醒。正如大家明白枪支的出现并不应然导致人的生命终止一样，网络等高科技的发展也不应成为隐私和安全的坟墓。对待这些现象，我们首先应该通过立法的层面剪断这条利益链，加快信息安全等方面的立法工作，对这种盗取贩卖用户数据的行为进行威慑，对于泄漏、倒卖个人数据的行为追究刑事责任。日后，会有越来越多关于科技应用领域隐私权保护的立法，防止消费者在消费的同时被幕后看不见的手消费，购买的产品和服务更安全的为自己服务。

　　对那些疏于防范的商业网站和机构、服务提供商，也应给与惩罚，追究网站的渎职之责，落实网站对用户应予的赔偿。这样一来企业才会加大信息安全方面的投入，进行大规模的安全检查，也就不会发生“明文保存密码”这样的低级错误。

关注读览天下微信， 100万篇深度好文， 等你来看……