“这两天改密码改到手软。”北京CBD工作的白领李浩奉告《第一财经日报》，通过查询，得知自己的天涯账号已被泄露，而他的高兴网、人人网、新浪微博等几近所有账号都使用相同ID、密码，不克不及不一一更改。

中国互联网正在遭遇史上最年夜范围的用户信息泄露事件——12月21日至26日短短几天时间，多家年夜型网站的用户数据库被泄露，几千万用户账号和密码被公开。

而业内人士认为，最近公开的仅仅是部分在黑客买卖市场中传播好久的老旧数据库，不合黑客组织实际掌握的用户数据库范围应该远年夜于1亿条，而目前中国黑客的黑色财产链范围价值或达上百亿元。

黑客的好处链

随着泄密事件愈演愈烈，隐藏背后的黑客财产链也浮出水面。

天涯社区公关司理初蒙昨日奉告本报，天涯被窃取的用户账号范围低于网络传言的4000万。不过，业内人士预计，泄露网站数据库的行为可能会引发连锁效应，更多网站的数据会被黑客放出。

此前，CNNIC《第28次中国互联网络成长状况统计述说》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。

据360阐发评估，上述被盗号的1.21亿网民群体中，80%以上是因为黑客刷库后获得了网民的账号密码数据，危害远远逾越盗号木马。

在本年9月的一场信息平安论坛上，Chown Group(信息平安专业委员会)倡议者之一李麒曾暗示，目前中国黑客的黑色财产链范围价值上百亿元。他举例称，某活跃于黑色财产链的知名黑客，一年能够赚五千多万;一些年夜网站的数据库是明码标价，一个库端下来，价值六百多万;黑色财产链的人起头向一些网站收庇护费，标准是一个月两万。

李麒称，目前黑色财产链已经有了严格的代办署理制度，金牌总代、区域总代、一级总代、二级总代，制造木马，年夜木马里再装小木马，针对不合的游戏都能做，别的，从制造木马到买卖、销售、分销、洗信已经有了一条龙办事。

一般而言，纯真倒卖用户数据库其实不赚钱，有些数据库颠末多次买卖后，几百个账号的代价只有几分钱，因此很多黑客窃取用户数据库之后通过发布信息、转卖给黑公关或竞争敌手等多种途径完成好处最年夜化的变现。

例如，很多黑客操纵密码库测验测验窃取QQ、MSN等聊天软件账号和微博、人人、邮箱等账号，向老友发送借钱消息，发布告白信息或垂钓链接。

一些花消颇多的网游用户也是黑客抨击打击的重点对象。一些游戏厂商的用户数据库被黑客窃取后，可能被黑客转卖给其竞争敌手，成为竞争厂商争夺用户资源的“营销对象”。金山网络平安专家李铁军透露，这些数据在被刚窃取出来时售价很是昂贵，某些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价。

更严重的情况还有，当黑客操纵密码库在网上支付平台自动批量倡议买卖，如果恰好试探出用户泄露的密码和网上支付密码相同，支付账户中的余额便可能被黑客全部窃取。

国内知名黑客绿色兵团首创人Goodwell昨日亦指出，如果能节制100万的用户电脑终端，非论是歹意插件仍是木马或是小软件，只要黑客能“挟持”用户的一些操作，哪怕是打开IE跳到一个默认的导航页面，也能为其带来每年2000万的告白及流量收入。

“明文密码”是罪魁罪魁?

在一系列的用户信息泄露事件中，采取的“明文密码”被看作是“罪魁罪魁”。

“最不服安的保存体例是直接存储明文，用户密码什么样，网站数据库就存成什么样。这种情况一旦数据库泄露，黑客便可直接掌握所有密码。”360平安工程师石晓虹博士对记者说。

“对黑客而言，明文密码的窃取的确就是探囊取物，不是他们想不想要，而是要不要的问题。”一位受害企业员工对记者说。

CSDN在报歉信中透露，CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat法度整合验证带来的，后来的法度员始终未对此进行措置。直到2009年4月那时的法度员修改了密码保存体例，改成了加密密码。可是直至2010年8月底CSDN才清理失落所有明文密码。采取明文密码是一个相对低真个模式，很容易就被黑客破解。

而天涯社区暗示，由于汗青原因，天涯社区早期使用过明文密码，此次被盗的是2009年之前的备份数据，2010年之后升级改革了天涯社区用户账号办理功能，使用了强加密算法，解决了用户账号的平安性问题。