密码门事件商机利益链追踪：小网站开拉用户

汤浔芳 北京报道

“密码门事件”不断升级，越来越多的网站加入“沦陷”名单。

12月27日晚，中国计算机学会青年计算机科技论坛广州分会(以下简称CCF广州)召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为，这次事件是迄今为止“中国互联网史上最大信息泄露事件。”

这样的“大事件”百年难遇，一向躁动的互联网开始“按捺不住”。不少网站借机浑水摸鱼，打起了那些“裸奔”的用户信息的主意。它们向用户邮箱发“更名密码”的通知，吸引用户，而这些邮箱之前并没有在该网站注册。

面对突如其来的大规模用户信息泄露，诸如CSDN、天涯等信息被泄露网站显得有些“手足无措”。

“以前，论坛并没有被列入安全等级要求，并不属于敏感数据。” CSDN总裁蒋涛表示很无奈，没想到，这一次CSDN成了“众矢之的”。

CCF广州的专家们呼吁，由工信部门和公安部门牵头，成立专门的调查组，针对本次事件进行调查，并公布调查结果。他们同时建议，针对用户资料和个人隐私，政府尽快建立法律法规进行规范，以维护个人权益。

浑水摸鱼

看着“免费”的真实用户数据，不少网站自然无法克制自己“垂涎三尺”的欲望。

“有些网站把这些公开库的数据直接导入自己的用户库，也发通知给用户更改密码，来获取用户。有些网站趁机通知用户更改密码，乘机激活用户。”蒋涛在接受记者采访时说道。

几千万的用户信息完全裸露在透明的互联网上。看着“免费”的真实用户数据，不少网站自然无法克制自己“垂涎三尺”的欲望。

据新浪微博上的一位用户透露，一些网站亦向自己发送了邀请邮件，如本地生活信息类网站、比价返利网站，以及本地生活类网站。对此，58同城CEO姚劲波(微博)予以否认：“58同城只是比对公开库，如果在58注册的用户名、密码和公开库一样，那么会发邮件通知，并没有借机拉新用户。”

即使是给注册用户发送邮件，那么也能够“唤醒”不少沉睡的用户。一位互联网专家以腾讯QQ为代表举例道，目前，腾讯QQ的注册用户近10亿，日活跃用户约为1.6亿。他告诉记者，腾讯的活跃用户比例算是很高的，其他网站更低，有些用户甚至忘记了注册过的网站的用户名与密码。

“一夜之间，中小网站拥有几千万潜在用户。”一位中小网站的站长告诉记者，这些公开的信息资料不需要花钱购买，平常做点邮件营销都需要花钱买邮箱。在这样的利益驱动下，许多中小网站开始蜂拥而上。

据他介绍，对中小网站来说，只要有几万用户就是一个“相当有规模”的网站，每个月几千名活跃用户带来的流量可以赚取1万多元。虽然邮件带来的用户注册率很低，一般只有1%，但由于这次泄露的邮箱数据都是百万、千万级别，集结在一起，数量就相当可观。

不仅中小站长获益，而且那些利用机器发帖、刷僵尸粉的网络水军公司也获益颇多。“这些公司甚至都不用再用机器去注册了，直接使用这些账号就可以了。”中小网站站长风妖告诉记者。

公开信息的泄露更激起了网络犯罪的“浪潮”。反钓鱼网站联盟相关负责人表示，这几天，网络钓鱼、垃圾邮件的活跃度增强。“这两天，垃圾邮件暴增。”一位天涯账号被泄露的用户抱怨。

泄密网站应对差

只有少部分信息泄露的网站给用户的注册邮箱发送了更改密码的通知邮件。

据一位不愿意透露名字的CSDN用户介绍，她的CSDN账户信息被泄露，通过一连串事件，搜狐、Gmail、网易、雅虎等邮箱全部“沦陷”，一觉起来全部无法登录。这些邮箱是她登录论坛、SNS、支付宝，以及各种购物网站的方式，“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联，她无法通过密码取回的方式来取回这些邮箱。

“我只有将全部的信用卡、所有用过网上支付的卡都冻结了，搞得现金流紧张。”她苦笑，为了这件事情，她花了整整一天的时间。接下来，还要花不少时间来重新注册邮箱、网站，开始她的互联网生活。

“这些企业在保护用户信息时，没有尽到应尽的责任，后来的补救工作也做得不到位。” CCF成员、华南师范大学计算机学院副院长单志龙在接受记者采访时认为。

据记者多方调查，目前，只有少部分信息泄露的网站给用户的注册邮箱发送了更改密码的通知邮件。大多网站只是通过公告、站内信的方式来通知用户更改密码。如，天涯、人人、飞信等网站在登录页面通知，果壳、知乎等网站通过邮件通知。

对于用户信息大规模泄露的CSDN、天涯来说，邮件通知也并不合适。因为，用户名与密码已经泄露，会使得许多邮箱无故被盗，往邮箱里发邮件，真正的收件人是黑客。

蒋涛坦言，CSDN一直在努力补救。12月21日，CSDN的用户信息泄露后，他立刻联系了网易、QQ、263、新浪等邮件服务商，让其帮忙向用户发邮件，更改密码。

“即便是找代发邮件的公司，一台机器一天也只能发几十万封，600万封邮件也需要一两天的功夫，无法在当天完成。并且，找邮件代发公司并不安全。”蒋涛觉得左右为难。

在“密码门”泄露期间，“密码泄露查询”网站大受追捧。据了解，金山网络、星云融创等安全厂商都推出了类似的密码泄露查询服务。

“我们已经承认对这些泄露的账号和密码负责，这些数据就属于我们公司的商业‘机密’。”蒋涛则认为，在法律上，这些在线查询账号的平台，实际上侵犯了诸如CSDN、天涯等信息被泄露公司的权利。