《庄子·箧》篇里有一个故事：为防范小偷开箱盗宝，主人刻意将箱子层层裹藏，不断加固锁匙，以为这样就安全了。但遇到大盗，直接抱着百宝箱就跑了，还唯恐箱子捆绑不结实。通俗的寓言蕴含深刻的道理。新近大规模爆发的账户泄密事件敲响了网络安全警钟，而紧锣密鼓推行的实名制会不会开启隐私泛滥的撒旦之门？

“我被骇到了吗？”

“我的账号被盗了吗？”这个问题引发了亿万网友纠结和抓狂的岁末恐慌。

近日，一个名为“Am I hacked？”（我被骇到了吗？）的个人网站一夜蹿红，成为QQ群、微博、社交网络和形形色色的论坛帖子转发、推荐的热点。这里没有强拆引发的群体性事件，也没有郭美美和“仓老师”演绎的香艳新闻，它只有一行文字：“Am I hacked？”和一个搜索框，却吸引了成千上万的网民昼夜不休的访问。流量暴增10倍，小小的个人网站频繁宕机，繁忙程度可以同春运期间的铁路订票系统相比。

“老子半夜爬起来检测密码，总算登上去了……‘杯具’了，连中三元，没天理啊，常用的邮箱账号和网银密码全部走光！”署名叫“愤怒的小鸟”的网友在百度贴吧里发飙。他不是唯一因为牵挂自己网络账号不安全而睡不着觉的人，近来，众多有类似遭遇的网友在网上大倒苦水。

一个名叫宓俊的成都在校生利用个人空间，借用了国外一家著名的网络安全网站的名字，架构了这个简陋的查询系统。不同于那家专门致力于检测用户电脑主机、扫描网络系统安全的国外网站，宓俊的个人系统只提供一项最简单功能：你的网络账户是否在近期国内爆发的大规模泄密事件中“中彩”了。用户只需将自己的网络用户名或电邮地址输入进去，系统就会反馈该账户对应的密码是否已被破解。记者比“愤怒的小鸟”幸运一些，经测试，常用的账号中，只有一个在破解列表中，泄密网站是天涯网。

另外还有几家网站提供类似服务，截至发稿时，总查询量已经突破200万人次。

史上最恶劣的泄密案

就在2011年即将过去的时候，一连串接踵而至的大规模网络账户泄密事件震惊了网络界。最初被披露出来的是国内著名的程序员网站CSDN，该网站承认，至少有600万社区注册账户，包括用户名、邮箱以及密码信息被泄漏。令人难于理解的是，这家全球中文网站排名第27位、被公认为国内最专业的IT技术网站竟然成为此次泄密事件中首例牺牲品，被泄密的账户数量相当于该网站全部注册账户数的三分之一。

而CSDN 600万账户泄密事件不过是冰山一角。连日来，一连串骇人听闻的网站集体泄密事件被次第披露出来：多玩游戏网泄漏800万用户数据，天涯网4000万账户信息泄漏。著名编剧宁财神和一大批新浪微博用户都称发现自己的天涯账号于近几日被盗，无法使用。媒体披露，51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、美空网、珍爱网、京东商城等众多网站也曝出数据泄漏危机。业界估算，此次泄密案涉及到的账户总数量超过了1亿个，创历史之最。更令人不安的是，Donews 爆料：近日有476万新浪微博的用户信息遭黑客泄漏，且被盗用户信息文件已经在网络上传播。新浪微博官方账号“微博小秘书”随即否认了这条信息，表示“新浪微博用户账号信息采用加密存储，并未被盗。”对于有部分账户出现登录异常，新浪称，这是“极小部分用户因使用和其他网站相同账号密码，可能导致其微博账号不安全。”实际上，人人网、腾讯QQ被传密码泄漏，情形跟新浪微博相同，都是由于部分用户“偷懒”设置相同账号密码，结果导致一点击破，全线溃防。

“由于开放密码（OpenID）的流行和广泛使用，此次泄密事件后果可能被严重低估，绝不仅仅是已经公布的十几家网站，几乎所有使用开放密码机制的网站都存在风险。”一位网络安全专家对记者说。据介绍，OpenID是一种以用户为中心的数字身份识别框架，它具有开放、分散、自由等特性，它省缺了过去用户需要每个网站单独注册、必须记忆大量密码账号的麻烦，采用一个已经注册的“通用账号”，与新的网站进行关联，无须重复注册，即可轻松登录。然而方便固然是方便了，一旦账户泄密，就意味着所有OpenID网站门户洞开。

金山毒霸产品经理“hzqedison”被指是此次泄密事件的关键环节之一。他承认曾把108M的CSDN用户数据文件包传到了迅雷会员分享区。虽然他很快就删除了链接，但该数据已在各大黑客论坛和QQ群中迅速传开。他在微博上公开道歉。金山公司表示，此事是该产品经理在做分析工作时，操作不当造成的，不慎被外人获知，绝非恶意传播。金山还称已“掌握了始作俑者的部分资料，其他证据仍在搜集中，很快就会提交给警方。”

全文阅读：http://www.techzg.com/aq/2012/0107/546.html