泄密门两嫌犯被拘：白天安全工程师 晚上黑客.docVIP

泄密门两嫌犯被拘：白天安全工程师 晚上黑客轰动一时的用户信息泄漏事件终于有了“买单者”。 1月12日，本报记者从北京市公安局了解到，CSDN（中国软件开发联盟）泄密的两名嫌疑人已被刑事拘留。其中一名为北京籍黑客，另一名为外地黑客。 “这两名嫌犯是盗库的嫌犯，公安机关抓到之后，我们对其藏有的用户库进行了比对。”CSDN创始人兼总裁蒋涛亦向本报记者证实。 包括这2人，截至目前，公安机关查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄露案件3起，刑事拘留4人，予以治安处罚8人。 此前的10日，国家互联网信息办通报称，CSDN、天涯等网站信息泄漏，目前公安机关正在溯源。 其中京东商城确遭入侵，但数据并未泄漏；YY语音聊天网站泄漏的数据系该公司员工从内部数据库窃取；工商银行等金融机构的系统并未被入侵。新浪微博、开心网、当当网、人人网、凡客等网站均未被入侵，部分账号密码系利用公开库进行破解而获得。 内外控失效 这位盗取CSDN用户数据库的员工可能涉嫌‘非法入侵计算机系统罪’。”知名IT律师赵占领告诉记者，“刑法第285条显示，非法侵入计算机系统，或者采取其他技术手段获取计算机系统中的数据，情结严重者会判处 3年以下有期徒刑，情节特别严重者判处3年到7年。” 并且，提供用户数据、传播用户信息、出售个人信息等行为也违反了法律，“非法出售、提供个人信息，判处3年以下有期徒刑。” 实际上，本报了解到，由于法律意识淡薄，以及抱着好玩的态度，很多在互联网公司从事安全的技术员工，以及安全厂商的技术员工都或多或少的盗取、传播过用户的信息库。 在黑客圈，黑客往往认为盗取用户信息并不带来多少危害，只要本能上觉得只要不要进行售卖、钓鱼等明显的盈利行为，那么就并不违法。 “大家都会觉得没事。因为此前，互联网上，根本没有人因为用户信息泄漏的问题而被抓。” 星云融创CEO马杰说。 据马杰介绍，安全厂商会与自己的员工、互联网公司会与安全系统的员工签订相关的协议，协议里会逐条写清楚在供职期间不允许做危害公共安全的事情。 “但是这个禁令基本无效，因为最终做不做危害公共安全的事情，还要看员工本人。”马杰告诉记者，安全从业人员一般都服务于不同的公司，关系并不紧密。黑客这个行业并没有行业“潜规则”来对黑客的行为进行规范。 “白天安全工程师，晚上黑客” “CSDN对敏感信息不敏感，也缺乏安全意识。”蒋涛承认，包括CSDN在内的国内大型网站安全意识都很薄弱。 据蒋涛介绍，目前，整个互联网的安全现状极不乐观：70%以上的加密算法密码库都可以通过高频碰撞破解，80%以上的互联网公司都存在漏洞，60%以上有安全策略的公司还存在着漏洞，地下数据库显示，网站暴露出来的问题甚至更多。 这些漏洞，也就是黑客入侵的基础。 众多的黑客潜伏在IT互联网公司。在这次泄密门事件中，YY语音聊天的信息泄漏是其员工自身来泄漏的，而窃取CSDN用户数据也是互联网公司的技术人员干的。 “这是企业员工的自发行为，和企业并没有关系。但这也说明了安全行业身份的多重性。”一位黑客告诉记者，这些人可能白天是某企业的安全工程师，晚上就是黑客。 据一位资深黑客介绍，这些用户数据库早已是黑客圈公开的秘密；但这一次整个互联网行业的用户信息被泄漏，背后可能有某些商业组织在推动。 “在国内，黑客的圈子虽然小，但大多是个人，组织松散，并且，行业也有自律。一般不会产生这样大的爆库行为。”这位黑客称。 一般情况下，用户库都只是在黑客圈中传播，但一旦进入大众视野，影响便没法控制，因为有很多通道可以进行传播。比如，迅雷、黑客圈的QQ群、论坛的FTP下载。 据北京市公安局相关处室透露，CSDN和天涯这两家网站曾在2009年以前遭入侵，数据泄漏也发生在两年前，近期这两家网站并没有遭到攻击。 “这一次，黑客是善意的，爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露，实际上，他们手里有最新的库，但出于对行业环境的考虑，没有把这些库爆出来。 泄密门曾有预警 在密码泄漏事件中，一个叫做乌云漏洞平台（W）从不为人熟知的专业平台一下跃入大众视野。乌云吸引了一大批黑客，他们在发现企业漏洞时，便将这些漏洞与补丁传到这些网站上去。 但是，这个平台一直不受企业待见。蒋涛亦坦承，事发之前，乌云漏洞平台把大部分漏洞做出了预警，告诉了相关企业，但各个企业并没有引起足够重视，没有及时提醒用户修改密码，导致后来一发不可收拾。 缘何企业对预警如此忽视？ 这缘于黑客与企业之间多年形成的微妙关系。这些企业对黑客往往是又气又恼。在黑客面前，企业就像一个学生。黑客老师天天挑学生的毛病，刚开始可能觉得是正向激励，日子久了，自然对黑客没好脸色。 更有一些公司极端地认为，没有黑客，企业的漏洞在某种程度上来说就不存在，“即便存在，也不打紧。只要不暴露，就可以视而不见”。 但是，企业又无