“華住數據疑似泄露”事件引發廣泛關注。8月28日，有科技機構在網上爆料，并傳出一張黑客出售疑為華住酒店集團客戶數據的截圖，其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息。

有媒體記者對已流傳出的信息做了隨機測試，在16人中，有1人電話為空號，3人表示數據與本人不符，5人表示信息基本一致，7人電話未打通。這份天量級別的個人信息包是從哪里泄露的？目前，上海長寧警方已介入調查，希望能夠全面查清此案。

其實，發生類似的事件并非偶見，相反，近年各大網站、應用乃至醫療等機構的信息泄露不斷，用戶的信息一再“被裸奔”：

——2014年12月，12306上的超13萬條用戶數據，在網上被傳播售賣，包括賬號密碼、身份證、郵箱等。

——2015年，線上票務營銷平臺大麥網被發現存在安全漏洞，600余萬用戶賬戶密碼遭到泄露。

——2015年，網易163/126郵箱數億賬號信息泄漏。

——今年6月，著名二次元網站AcFun承認，受黑客攻擊致用戶數據外泄。

這并不是中國所獨有的問題，而是大數據時代全球的尷尬：

——2016年，3200多萬個Twitter用戶登錄信息被放到“暗網”上叫賣。

——2017年3月至7月期間，美國凱悅集團旗下11個國家的41家凱悅酒店支付系統被黑客入侵，大量客戶信息泄露。

——今年7月，新加坡政府公開承認，黑客入侵了新加坡保健服務集團(SingHealth)的系統，盜取了150萬名患者的個人信息，其中甚至包括總理李顯龍的個人信息。

“撞庫”挖開了“信息堰塞湖”

泄露信息數量從萬級到千萬級，再到億級，受害者從平民百姓到一國總理，誰都不能免疫于無妄之災。為什么泄露頻率越來越高，數量越來越大，犯罪越來越猖狂呢？

大數據時代，信息即資產，商業巨頭們用戶群體廣泛，匯集大量用戶信息，進行客戶特征畫像、精準營銷。互聯網寡頭高度集中，他們手中掌握著億級的用戶信息，形成了一個個“信息堰塞湖”，也成為不法分子的首選。

另一方面，當下以“撞庫”為主要手段的盜號方式，使信息泄露像原子鏈式反應，瞬間呈指數型增長。

在早些年，盜取他人賬號主要靠植入木馬，密碼字典則靠軟件生成，能夠盜取的個人信息數量相當有限，針對木馬的防范也相對比較簡單。但是，近幾年頻繁出現網站數據庫泄漏事件，使“撞庫攻擊”成為主流。

何謂“撞庫”？黑客入侵A網站后拿到的用戶名、密碼等數據，再去B網站嘗試登錄，這是因為很多人在不同網站、信箱會使用相同用戶名、密碼。而且黑客還會把盜取的數據進行“拖庫”，把數據存到自己的所謂“社工庫”里，在暗網上出售、交流，這樣黑客們掌握的公民個人信息越來越多，“撞庫”也就越來越方便。

事實上，每天都有數以萬計被盜QQ號流入黑灰產業鏈，這些QQ號關聯著海量應用賬號；2011年，專業IT網站CSDN600萬用戶數據泄漏，成為網站數據庫泄漏的第一聲“芝麻開門”；2015年，網易郵箱數億賬號泄漏……這些都給黑客提供了充分的“子彈”去“撞庫”。

因為“撞庫”用的是真實的用戶名和密碼，廠家應對難度被迫提升：真假唐僧都會念緊箍咒，怎么來識別？廠家往往通過手機驗證、驗證碼（字母扭曲、漢字識別、移動滑塊），識別是網絡攻擊，還是用戶“自然人”在使用，其實是一個簡單的圖靈試驗。

結果道高一尺，魔高一丈，網絡黑灰產業鏈又繁衍出一個亞行當——“碼工”專門人工通過驗證碼來“撞庫”。今年6月，全國首例“撞庫打碼案”在杭州宣判，此案中犯罪分子盜取大量用戶名和密碼之后，又雇傭了上百名“碼工”對圖片驗證碼進行打碼，從而盜入他人的淘寶賬號。

“撞庫”的黑灰產業龐大到什么程度呢？有報告稱，2016年機器人流量占全網流量的51.8%，而惡意機器人流量占據了全網流量的28.9%！甚至全球有近百萬人充當“碼工”，以人肉“撞庫”為生。而且從全球攻擊流量去向來看，截至2017年3月，中國占了67.62%，美國占據了27.12%，可以說，中國是“撞庫攻擊”的重災區。

一次海量的“撞庫”成功，可能引爆另一次天量的撞庫；大規模的個人信息泄露，預示著下一次的規模更大。信息泄露，像生物繁殖的邏輯斯蒂曲線一樣，一路飆升。反復迭代衍生的“撞庫”，像是打開了潘多拉魔盒，對責任的溯源卻越來越模糊。

信息安全常識應成為“生存技巧”

空泛地喊一兩聲網絡安全意義不大，針對天量的網絡灰產，需有足夠強力手段和精準的保護。

首先，應該認識到“撞庫”問題的嚴重性，公民要關注自己的信息安全。就像進入汽車時代要關注交通安全一樣，大數據時代里，信息安全常識應成為必要的“生存技巧”，網民首先要學會“自救”。

占到全網流量的28.9%的惡意機器人，很多干的就是“撞庫”勾當。但是，破解“撞庫”說簡單也很簡單，只需用戶在不同網站、APP、電子郵箱，特別是電子銀行之間使用不同的密碼。那種一套密碼走天下的小白思維，會成為撞庫的“神助攻”。

在近年各家網站、應用屢屢發生千萬級信息泄露的情況下，你的個人信息已被出賣，其實是一個大概率事件，所以說網民要學會止損，在網絡應用上打“密碼隔水艙”。

其次，保護個人信息安全，不僅是企業的社會責任，更是法律義務。網絡安全，不僅關乎財產權，還直接關乎公民的生命安全，“徐玉玉案”就直接緣于當地的高招信息被泄露。《網絡安全法》規定，“網絡運營者在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施”；《消費者權益保護法》也規定：經營者要“確保信息安全，防止消費者個人信息泄露、丟失”。今后強制性的信息保護規范，必須成為企業的硬性標配，全面構建信息安全社會。

第三，對于網絡盜取公民信息、“撞庫”的社會危害性，法律應有充分認識。當個人信息數據達到億級時，它就不是商業安全問題，而是社會安全問題。但是，目前《刑法》規定的“非法獲取計算機信息系統數據罪”等罪名都量刑較輕，甚至有時比醉駕還要輕。

結果，不少技術宅只為了逞強好奇，就強行攻破數據庫，結果打開了潘多拉魔盒，自己還不知道。比如，前述的全國首例“撞庫打碼案”中，三名被告人最終都只被判處了緩刑。

大數據時代，賽博空間已然降臨，它不是存在于科幻小說當中，而是深深地嵌入了我們的生活。原子鏈式反應式的“撞庫攻擊”，短時間內會愈演愈烈，治本之道是在全球范圍內徹底鏟除網絡黑灰產業，強化對盜取網絡信息犯罪的嚴懲，強化企業的網絡安全責任；但對公民個人來說，還得趕快“自救”改密碼！