互联网用户信息“裸奔”揭秘

据报道 前不久，天涯社区的4000万用户信息被泄漏，占到天涯用户总数的60%。

用户信息遭到泄露的互联网公司“人人自危”，纷纷自查用户数据库，同时以邮件、短信等方式通知用户更改个人密码。

“实际上，自互联网诞生之日起，互联网用户数据的交易就开始了。”金山毒霸反病毒工程师李铁军告诉记者，现在暴露出来是因为用户信息经过多次贩卖，已经变得“廉价”，甚至免费了，之前用户信息的价格非常高。

互联网公司的盈利模式基本分为两种，一是广告，二是向用户收费。这两种模式的共同基础是，为用户提供某个免费产品或服务以获得流量，再通过广告或道具收费来赚钱。

对于互联网公司而言，最值钱的就是用户数据。只要拥有了这些数据，就可以做定向的广告推送，还可以分析用户的行为，进行更具针对性的营销。其中，游戏、SNS网站用户的信息价值最可观。业内估计，1000万游戏用户的信息价值达到几百万甚至上千万元。

“所有的网站都‘死守’这些用户数据，它们可以随时变现。”前述互联网行业人士说道。

因此，接下来的现象就屡见不鲜。某些网站的用户想注销账户，却被提示无法注销。在SNS网站上，用户注销后，相关的信息并不会删除，用户再用相同的邮箱注册，之前的个人信息、记录、日志、照片全部可以恢复。那些倒闭的网站，绝大部分不会销毁用户数据。

这些有价值的用户信息是如何被泄漏出去的呢？

一位业内人士告诉记者，一般而言，信息泄漏有两个渠道：一是“黑客”攻破公司的防火墙，盗取存于服务器上的用户信息；二是某些网站主动售卖用户数据，以谋取利益。

获得用户信息后，这些贩卖者就会泡在论坛、社交网站甚至黑客网站里。因为这里存在大量的求购或贩卖用户信息的需求。而交易双方一般通过互联网进行交易，并不见面。

一位不愿意透露姓名的行业人士告诉记者，由于购买用户信息代价不菲，那些花高价买了用户信息的人会想办法将这些信息再兜售出去。由于电子化的信息售卖起来很方便，会导致用户信息被多次转手泄露。

“用户信息泄漏，并不会损害互联网公司的利益，只是用户受到损失。”这位互联网人士告诉记者。

“现在泄露的用户信息都是直接保存密码原文（明文），没做任何加密。”金山快盘CTO杨钢告诉记者，如果做了不可逆加密后，即使数据库被拖走，里面的密码也解不开，只能看到用户名。

对于常用的加密方法，黑客已经搜集到了大量的解密方法，破解起来并不是一件难事。

“互联网公司对安全性心存矛盾。”李铁军认为，对于互联网公司来说，产品的用户体验是第一位。形成好的用户体验往往是简单、易用的产品，安全往往与复杂对应，会在一定程度上影响易用性。因此，无一例外，互联网公司都优先选择了用户体验。

一位互联网安全专家告诉记者，很多网站采用明文密码的方式让用户信息“裸奔”，即便对安全性有所重视，也只是选择MD5方式（一种加密算法），一般不会选择SHA1方式。因为虽然SHA1比MD5强度高，但是MD5比SHA1快，互联网需要的就是快。但是MD5并不完全可靠，若要保证用户的安全，最好选择SHA1。

李铁军认为，安全防护不只是一个技术问题，企业也不只是安装了防火墙和杀毒软件就完成了安全防护，需要专人来实时监控。安全运维人员需要根据访问列表来及时辨别哪些是入侵，哪些是正常访问，并进行及时处理。

据该人士介绍，互联网公司建立自己的安全运维团队，需要的成本投入很大。比如，大型B2C购物网站每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。但是目前，这些公司的安全投入不过几百万，有的只有几十万。

而从整个行业来看，据一家券商TMT研究部门的调研数据，目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其信息安全支出在整个IT支出中占到10%。相比之下，互联网行业的安全投入有些“捉襟见肘”。