2011年年底，“改密码了吗”成了一句网络风行的问候语。事情的缘起是，2011年12月21日，国内最年夜的法度员社区网站CSDN被爆出有逾越600万用户的注册资料遭泄露。随后还有消息说，有多家网站的用户信息也被泄露，于是很多网站提醒注册用户，尽快修改注册密码，尤其是在不合网站注册的账户，不要使用相同的密码，以防被黑客破解。这场密码危机引发了IT界的年夜讨论：那些放在互联网虚拟世界的小我信息事实该如何庇护？在很多专家看来，此次密码泄露事件正在拷问我国的互联网平安。1月6日召开的中国计较机学会青年计较机科技论坛上，CSDN总裁蒋涛坦言，作为一个论坛性质的社区网站，曩昔确实轻忽了网络平安问题。国度网络信息平安手艺研究所所长杜跃进则指出，网站对互联网平安的重视水平并没有跟网络日新月异的成长同步。可以说，互联网平安一直没有受到应有的重视。其短板问题还体现在法令律例方面。北京邮电年夜学传授李欲晓介绍说，按照现有的法令，网民很难就自己的信息被泄露进行维权。CSDN认可对平安问题重视不敷论坛上，蒋涛首次披露了该网站的平安审计述说。而在曩昔的10多天里，蒋涛被频频追问的问题是，用户的信息是怎么被泄露出去的，哪个环节出了问题？蒋涛介绍说，去年12月21日，泄露事件被披露确当天，CSDN就请了一家网络平安手艺公司对网站平安进行审计。按照平安公司提供的审计述说，此次CSDN资料泄露事件吐露出该网站的四个平安问题：第一是开源系统等第三方系统存在缝隙，致使CSDN系统存在平安风险；其次是应用法度存在跨站脚本缝隙；第三，网站存在年夜量系统后台认证缝隙，如平安品级较弱的口令等；第四，一些已经停用但还在线上的老系统由于平安级别低，泄露了年夜量信息。CSDN是一个以论坛用户为主的社区，负责人蒋涛一直认为，这样一个法度员讨论手艺问题的网站，对黑客来讲没有太多的商业好处可以挖掘，所以并没有高度重视网站的平安问题，直到此次用户资料被泄露。蒋涛说，他们有将近100台办事器，但只有3个运维人员。运维工作包含老的系统缝隙升级、数据备份、认证办理等，3小我底子做不过来，最终致使隐患爆发。在谈到未来解决密码泄露办法时，蒋涛介绍说，为了减小数据泄露的风险，提高网站系统的平安性，CSDN目前正在向平安部分申请信息系统品级庇护，以接管信息平安监管部分的监督办理。别的，CSDN还会强化网站核心办事的平安，把网站的非核心办事与核心业务进行隔离，以减小系统平安风险。同时，CSDN将采纳相关办法，加年夜黑客取得数据的本钱，下降网站数据对黑客的价值。据体会，CSDN也将在网站后台引入平安审核机制，从内部杜绝数据泄露的可能性。互联网平安警钟早已敲响有网民说，CSDN密码泄露事件敲响了中国互联网平安的警钟，但在杜跃进看来，曩昔10年间，警钟早已敲响多次，但互联网平安一直没有受到应有的重视。杜跃进说，在互联网成长的早期，网站平安可能就是个面子问题：被黑客抨击打击了，网站面子上欠都雅。但随着互联网日新月异的成长，网络成为人们日常生活的一部分，那些与苍生生活密切相关的网站一旦受到抨击打击，有可能影响到社会的运转。遗憾的是，网络在社会生活中的地位越来越重要，但网络的平安问题却没有取得足够重视。按照杜跃进的阐发，曩昔10年来，黑客对网络平安的抨击打击水平步步提升。最早可能就是把网站黑了，或窜改一下网站的内容；后来，就呈现了趋利性的抨击打击，比如垂钓设套，挂木马窃取用户的账户；再后来，就呈现了窃取网站后台数据牟利的行为。但网站的平安戍守并没有与黑客的抨击打击水平同步升级。在杜跃进看来，在网络平安较劲中，抨击打击者屡屡到手有三方面的原因。首先是网站的平安意识稀薄。网站经营商或是办事提供商既不重视平安问题，也不知道该怎么做。杜跃进举例说，不久前他曾被邀请去插手一个网络媒体年夜会，轮到他讲平安问题时，很多单位的负责人都走了。于是他就问：“如果产生重年夜网络平安事件该怎么办？”因为能做决定的带领不在！其次是手艺上的短板。再者是制度缺陷，很多网站认为平安不是什么年夜问题，以至于制度放置上没有体现对平安的重视。法令短板致用户维权难这次CSDN密码泄露事件，小我用户是直接管害者。李欲晓认为，此次事件中，用户隐私权和名誉权都受到了不合水平的侵害，但要维权却坚苦重重。李欲晓阐发此次CSDN密码泄露事件中的法令责任时认为，在此次事件中，网络办事提供者和黑客抨击打击者显然有责任，但由于与网络平安相关的立法滞后，目前追究网站和黑客的法令责任较为坚苦，现有的法令律例对国度平安、小我权益的庇护都有缺失。据李欲晓介绍，目前我国很多法令条款，比如《刑法修正案（七）》、《互联网信息办事办理体例》、《计较机信息网络国际联网平安庇护办理体例》等都有涉及小我信息法令庇护的内容，可是其中并未提到用户因网站遭受黑客抨击打击密码泄露，或用户因此受到损失，网站应该承担怎么样的责任。一个严峻的现实是，目前的法令对黑客的破坏行为可能难有约束力。早在2009年《刑法修正案（七）》新增的“侵犯公民信息平安罪”，就已经对黑客、商业网站或其内部人员歹意泄露用户信息牟利的行为作出追究责任的规定。因此，黑客此类行为组成犯法，但问题的关头是“黑客在哪儿，他们是谁？”黑客都追不到，该如何科罪。对用户来讲，可以向公安机关报案，但依据现有的法令只能寻求民事赔偿，并且小我如何通过手艺手段查到黑客身份，或界定经济损失都存在很年夜难度，小我用户维权很是难。李欲晓说：“因为电子证据手艺性太强，并且很容易被窜改，所以取证很难。”在论坛现场有人提问李欲晓，如果因为密码泄露致使银行账户的资金被窃取，能不克不及起诉银行或网站。李欲晓直言，依据现有的法令律例可以进行这方面的诉讼。但起诉之后不一定会取得有利的判决，因为在侵权责任法和民法方面，还没有明确的规定。