“華住數(shù)據(jù)疑似泄露”事件引發(fā)廣泛關(guān)注。8月28日，有科技機(jī)構(gòu)在網(wǎng)上爆料，并傳出一張黑客出售疑為華住酒店集團(tuán)客戶數(shù)據(jù)的截圖，其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息。

有媒體記者對已流傳出的信息做了隨機(jī)測試，在16人中，有1人電話為空號，3人表示數(shù)據(jù)與本人不符，5人表示信息基本一致，7人電話未打通。這份天量級別的個人信息包是從哪里泄露的？目前，上海長寧警方已介入調(diào)查，希望能夠全面查清此案。

其實，發(fā)生類似的事件并非偶見，相反，近年各大網(wǎng)站、應(yīng)用乃至醫(yī)療等機(jī)構(gòu)的信息泄露不斷，用戶的信息一再“被裸奔”：

——2014年12月，12306上的超13萬條用戶數(shù)據(jù)，在網(wǎng)上被傳播售賣，包括賬號密碼、身份證、郵箱等。

——2015年，線上票務(wù)營銷平臺大麥網(wǎng)被發(fā)現(xiàn)存在安全漏洞，600余萬用戶賬戶密碼遭到泄露。

——2015年，網(wǎng)易163/126郵箱數(shù)億賬號信息泄漏。

——今年6月，著名二次元網(wǎng)站AcFun承認(rèn)，受黑客攻擊致用戶數(shù)據(jù)外泄。

這并不是中國所獨有的問題，而是大數(shù)據(jù)時代全球的尷尬：

——2016年，3200多萬個Twitter用戶登錄信息被放到“暗網(wǎng)”上叫賣。

——2017年3月至7月期間，美國凱悅集團(tuán)旗下11個國家的41家凱悅酒店支付系統(tǒng)被黑客入侵，大量客戶信息泄露。

——今年7月，新加坡政府公開承認(rèn)，黑客入侵了新加坡保健服務(wù)集團(tuán)(SingHealth)的系統(tǒng)，盜取了150萬名患者的個人信息，其中甚至包括總理李顯龍的個人信息。

“撞庫”挖開了“信息堰塞湖”

泄露信息數(shù)量從萬級到千萬級，再到億級，受害者從平民百姓到一國總理，誰都不能免疫于無妄之災(zāi)。為什么泄露頻率越來越高，數(shù)量越來越大，犯罪越來越猖狂呢？

大數(shù)據(jù)時代，信息即資產(chǎn)，商業(yè)巨頭們用戶群體廣泛，匯集大量用戶信息，進(jìn)行客戶特征畫像、精準(zhǔn)營銷?；ヂ?lián)網(wǎng)寡頭高度集中，他們手中掌握著億級的用戶信息，形成了一個個“信息堰塞湖”，也成為不法分子的首選。

另一方面，當(dāng)下以“撞庫”為主要手段的盜號方式，使信息泄露像原子鏈?zhǔn)椒磻?yīng)，瞬間呈指數(shù)型增長。

在早些年，盜取他人賬號主要靠植入木馬，密碼字典則靠軟件生成，能夠盜取的個人信息數(shù)量相當(dāng)有限，針對木馬的防范也相對比較簡單。但是，近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，使“撞庫攻擊”成為主流。

何謂“撞庫”？黑客入侵A網(wǎng)站后拿到的用戶名、密碼等數(shù)據(jù)，再去B網(wǎng)站嘗試登錄，這是因為很多人在不同網(wǎng)站、信箱會使用相同用戶名、密碼。而且黑客還會把盜取的數(shù)據(jù)進(jìn)行“拖庫”，把數(shù)據(jù)存到自己的所謂“社工庫”里，在暗網(wǎng)上出售、交流，這樣黑客們掌握的公民個人信息越來越多，“撞庫”也就越來越方便。

事實上，每天都有數(shù)以萬計被盜QQ號流入黑灰產(chǎn)業(yè)鏈，這些QQ號關(guān)聯(lián)著海量應(yīng)用賬號；2011年，專業(yè)IT網(wǎng)站CSDN600萬用戶數(shù)據(jù)泄漏，成為網(wǎng)站數(shù)據(jù)庫泄漏的第一聲“芝麻開門”；2015年，網(wǎng)易郵箱數(shù)億賬號泄漏……這些都給黑客提供了充分的“子彈”去“撞庫”。

因為“撞庫”用的是真實的用戶名和密碼，廠家應(yīng)對難度被迫提升：真假唐僧都會念緊箍咒，怎么來識別？廠家往往通過手機(jī)驗證、驗證碼（字母扭曲、漢字識別、移動滑塊），識別是網(wǎng)絡(luò)攻擊，還是用戶“自然人”在使用，其實是一個簡單的圖靈試驗。

結(jié)果道高一尺，魔高一丈，網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈又繁衍出一個亞行當(dāng)——“碼工”專門人工通過驗證碼來“撞庫”。今年6月，全國首例“撞庫打碼案”在杭州宣判，此案中犯罪分子盜取大量用戶名和密碼之后，又雇傭了上百名“碼工”對圖片驗證碼進(jìn)行打碼，從而盜入他人的淘寶賬號。

“撞庫”的黑灰產(chǎn)業(yè)龐大到什么程度呢？有報告稱，2016年機(jī)器人流量占全網(wǎng)流量的51.8%，而惡意機(jī)器人流量占據(jù)了全網(wǎng)流量的28.9%！甚至全球有近百萬人充當(dāng)“碼工”，以人肉“撞庫”為生。而且從全球攻擊流量去向來看，截至2017年3月，中國占了67.62%，美國占據(jù)了27.12%，可以說，中國是“撞庫攻擊”的重災(zāi)區(qū)。

一次海量的“撞庫”成功，可能引爆另一次天量的撞庫；大規(guī)模的個人信息泄露，預(yù)示著下一次的規(guī)模更大。信息泄露，像生物繁殖的邏輯斯蒂曲線一樣，一路飆升。反復(fù)迭代衍生的“撞庫”，像是打開了潘多拉魔盒，對責(zé)任的溯源卻越來越模糊。

信息安全常識應(yīng)成為“生存技巧”

空泛地喊一兩聲網(wǎng)絡(luò)安全意義不大，針對天量的網(wǎng)絡(luò)灰產(chǎn)，需有足夠強(qiáng)力手段和精準(zhǔn)的保護(hù)。

首先，應(yīng)該認(rèn)識到“撞庫”問題的嚴(yán)重性，公民要關(guān)注自己的信息安全。就像進(jìn)入汽車時代要關(guān)注交通安全一樣，大數(shù)據(jù)時代里，信息安全常識應(yīng)成為必要的“生存技巧”，網(wǎng)民首先要學(xué)會“自救”。

占到全網(wǎng)流量的28.9%的惡意機(jī)器人，很多干的就是“撞庫”勾當(dāng)。但是，破解“撞庫”說簡單也很簡單，只需用戶在不同網(wǎng)站、APP、電子郵箱，特別是電子銀行之間使用不同的密碼。那種一套密碼走天下的小白思維，會成為撞庫的“神助攻”。

在近年各家網(wǎng)站、應(yīng)用屢屢發(fā)生千萬級信息泄露的情況下，你的個人信息已被出賣，其實是一個大概率事件，所以說網(wǎng)民要學(xué)會止損，在網(wǎng)絡(luò)應(yīng)用上打“密碼隔水艙”。

其次，保護(hù)個人信息安全，不僅是企業(yè)的社會責(zé)任，更是法律義務(wù)。網(wǎng)絡(luò)安全，不僅關(guān)乎財產(chǎn)權(quán)，還直接關(guān)乎公民的生命安全，“徐玉玉案”就直接緣于當(dāng)?shù)氐母哒行畔⒈恍孤??！毒W(wǎng)絡(luò)安全法》規(guī)定，“網(wǎng)絡(luò)運營者在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施”；《消費者權(quán)益保護(hù)法》也規(guī)定：經(jīng)營者要“確保信息安全，防止消費者個人信息泄露、丟失”。今后強(qiáng)制性的信息保護(hù)規(guī)范，必須成為企業(yè)的硬性標(biāo)配，全面構(gòu)建信息安全社會。

第三，對于網(wǎng)絡(luò)盜取公民信息、“撞庫”的社會危害性，法律應(yīng)有充分認(rèn)識。當(dāng)個人信息數(shù)據(jù)達(dá)到億級時，它就不是商業(yè)安全問題，而是社會安全問題。但是，目前《刑法》規(guī)定的“非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪”等罪名都量刑較輕，甚至有時比醉駕還要輕。

結(jié)果，不少技術(shù)宅只為了逞強(qiáng)好奇，就強(qiáng)行攻破數(shù)據(jù)庫，結(jié)果打開了潘多拉魔盒，自己還不知道。比如，前述的全國首例“撞庫打碼案”中，三名被告人最終都只被判處了緩刑。

大數(shù)據(jù)時代，賽博空間已然降臨，它不是存在于科幻小說當(dāng)中，而是深深地嵌入了我們的生活。原子鏈?zhǔn)椒磻?yīng)式的“撞庫攻擊”，短時間內(nèi)會愈演愈烈，治本之道是在全球范圍內(nèi)徹底鏟除網(wǎng)絡(luò)黑灰產(chǎn)業(yè)，強(qiáng)化對盜取網(wǎng)絡(luò)信息犯罪的嚴(yán)懲，強(qiáng)化企業(yè)的網(wǎng)絡(luò)安全責(zé)任；但對公民個人來說，還得趕快“自救”改密碼！