黑客產(chǎn)業(yè)規(guī)模價值達上百億 有嚴(yán)格分級代理制度

　　打開一個導(dǎo)航頁廣告及流量收入就有2000萬元

　　近日，天涯社區(qū)承認約4000萬用戶的郵箱、社區(qū)密碼等資料外泄

　　昨天，京東商城也出現(xiàn)漏洞，用戶資料難保

　　“這兩天改密碼改到手軟�！北本〤BD工作的白領(lǐng)李浩告訴記者，通過查詢，得知自己的天涯賬號已被泄露，而他的開心網(wǎng)、人人網(wǎng)、微博等幾乎所有賬號都使用相同ID、密碼，不得不一一更改。

　　中國互聯(lián)網(wǎng)正在遭遇史上最大規(guī)模的用戶信息泄露事件——12月21日至26日短短幾天時間，多家大型網(wǎng)站的用戶數(shù)據(jù)庫被泄露，幾千萬用戶賬號和密碼被公開。

　　而業(yè)內(nèi)人士認為，最近公開的僅僅是部分在黑客交易市場中流傳很久的老舊數(shù)據(jù)庫，不同黑客組織實際掌握的用戶數(shù)據(jù)庫規(guī)模應(yīng)該遠大于1億條，而目前中國黑客的黑色產(chǎn)業(yè)鏈規(guī)模價值或達上百億元。

　　京東商城用戶資料大量泄露

　　漏洞報告平臺烏云27日發(fā)布消息稱，有漏洞導(dǎo)致京東商城用戶資料已大量泄露。

　　該漏洞詳情為：“京東商城在某些業(yè)務(wù)上存在用戶權(quán)限控制不當(dāng)?shù)穆┒�，�?dǎo)致用任意用戶登錄系統(tǒng)后，都可以正常訪問到所有用戶的信息，包括姓名、地址、電話、Email等�！�

　　昨天京東已經(jīng)確認，稱危害等級為中，漏洞評級為10，并且將馬上處理。

　　新浪微博否認用戶密碼外泄

　　CSDN、天涯社區(qū)等知名大論壇的用戶密碼大批外泄事件導(dǎo)致互聯(lián)網(wǎng)界“草木皆兵”。26日，據(jù)傳用戶密碼已外泄的新浪微博、人人網(wǎng)、開心網(wǎng)等網(wǎng)站先后公開聲明賬戶密碼安全；支付寶、騰訊QQ等互聯(lián)網(wǎng)服務(wù)亦公開了用戶資料加密流程。

　　繼本月中旬CSDN網(wǎng)站600萬用戶賬戶信息和密碼外泄后，天涯社區(qū)上周日承認用戶資料外泄，據(jù)估算約有4000萬用戶的郵箱、社區(qū)密碼等資料外泄。前者是中國最大的計算機技術(shù)社區(qū)，后者是最大的論壇社區(qū)，二者密碼泄露事件引起各界關(guān)注，眾多其他網(wǎng)站也發(fā)生密碼泄露的傳言開始大規(guī)模流傳。

　　天涯社區(qū)提醒修改密碼

　　新浪微博26日下午正式回應(yīng)稱，新浪微博用戶賬號信息采用加密存儲，并未被盜。在對流傳的數(shù)據(jù)資料包進一步研究后，新浪微博表示“經(jīng)核實，該份數(shù)據(jù)絕大部分不是新浪微博賬號。極小部分用戶因使用和其他網(wǎng)站相同賬號密碼，可能導(dǎo)致其微博賬號不安全。我們已對這部分用戶做了保護，并提醒所有用戶盡快進行賬號安全設(shè)置”。

　　記者使用與天涯社區(qū)相同的注冊郵箱登錄新浪微博時，亦收到系統(tǒng)首頁提示稱，該郵箱與一些網(wǎng)站外泄資料中的郵箱相同，并要求修改密碼。

　　人人網(wǎng)、開心網(wǎng)26日表示，網(wǎng)站密碼采用加密方式保存，從未發(fā)生過外泄情況。

　　某活躍于黑色產(chǎn)業(yè)鏈的知名黑客，一年能夠賺5000多萬；一些大網(wǎng)站的數(shù)據(jù)庫是明碼標(biāo)價，一個庫端下來，價值600多萬；黑色產(chǎn)業(yè)鏈的人開始向一些網(wǎng)站收保護費，標(biāo)準(zhǔn)是一個月兩萬。

　　CNNIC《第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，2011年上半年，有過賬號或密碼被盜經(jīng)歷的網(wǎng)民達到1.21億人，占24.9%。

　　數(shù)字 1.21億人

　　數(shù)字 80%

　　據(jù)360分析評估，上述被盜號的1.21億網(wǎng)民群體中，80%以上是因為黑客刷庫后獲取了網(wǎng)民的賬號密碼數(shù)據(jù)，危害遠遠超過盜號木馬。

　　知名黑客一年能賺5000多萬

　　隨著泄密事件愈演愈烈，隱藏在背后的黑客產(chǎn)業(yè)鏈也浮出水面。

　　天涯社區(qū)公關(guān)經(jīng)理初蒙26日告訴記者，天涯被盜取的用戶賬號規(guī)模低于網(wǎng)絡(luò)傳言的4000萬。不過，業(yè)內(nèi)人士預(yù)計，泄露網(wǎng)站數(shù)據(jù)庫的行為可能會引發(fā)連鎖效應(yīng)，更多網(wǎng)站的數(shù)據(jù)會被黑客放出。

　　在今年9月的一場信息安全論壇上，Chown Group(信息安全專業(yè)委員會)發(fā)起者之一李麒曾表示，目前中國黑客的黑色產(chǎn)業(yè)鏈規(guī)模價值上百億元。他舉例稱，某活躍于黑色產(chǎn)業(yè)鏈的知名黑客，一年能夠賺5000多萬；一些大網(wǎng)站的數(shù)據(jù)庫是明碼標(biāo)價，一個庫端下來，價值600多萬；黑色產(chǎn)業(yè)鏈的人開始向一些網(wǎng)站收保護費，標(biāo)準(zhǔn)是一個月兩萬。

　　單純倒賣用戶數(shù)據(jù)庫并不賺錢

　　李麒稱，目前黑色產(chǎn)業(yè)鏈已經(jīng)有了嚴(yán)格的代理制度，金牌總代、區(qū)域總代、一級總代、二級總代，制造木馬，大木馬里再裝小木馬，針對不同的游戲都能做，此外，從制造木馬到買賣、銷售、分銷、洗信已經(jīng)有了一條龍服務(wù)。

　　一般而言，單純倒賣用戶數(shù)據(jù)庫并不賺錢，有些數(shù)據(jù)庫經(jīng)過多次交易后，幾百個賬號的價格只有幾分錢，因此不少黑客盜取用戶數(shù)據(jù)庫之后通過發(fā)布詐騙信息、轉(zhuǎn)賣給黑公關(guān)或競爭對手等多種途徑完成利益最大化的變現(xiàn)。

　　例如，不少黑客利用密碼庫嘗試竊取QQ、MSN等聊天軟件賬號和微博、人人、郵箱等賬號，向好友發(fā)送借錢詐騙消息，發(fā)布廣告信息或釣魚詐騙鏈接。

　　網(wǎng)游用戶是黑客攻擊重點對象

　　一些花銷頗多的網(wǎng)游用戶也是黑客攻擊的重點對象。一些游戲廠商的用戶數(shù)據(jù)庫被黑客竊取后，可能被黑客轉(zhuǎn)賣給其競爭對手，成為競爭廠商爭奪用戶資源的“營銷對象”。金山網(wǎng)絡(luò)安全專家李鐵軍透露，這些數(shù)據(jù)在剛被盜取出來時售價非常昂貴，某些游戲廠商上百萬的玩家用戶資料包可以賣到百萬元的高價。

　　更嚴(yán)重的情況還有，當(dāng)黑客利用密碼庫在網(wǎng)上支付平臺自動批量發(fā)起交易，如果恰好試探出用戶泄露的密碼和網(wǎng)上支付密碼相同，支付賬戶中的余額就可能被黑客全部盜取。

　　國內(nèi)知名黑客綠色兵團創(chuàng)始人Goodwell昨日亦指出，如果能控制100萬的用戶電腦終端，不管是惡意插件還是木馬或是小軟件，只要黑客能“挾持”用戶的一些操作，哪怕是打開IE跳到一個默認的導(dǎo)航頁面，也能為其帶來每年2000萬元的廣告及流量收入。

　　“明文密碼”被看做罪魁禍?zhǔn)?/strong>