这些有价值的用户信息是如何被泄漏出去的呢？

一位业内人士告诉记者，一般而言，信息泄漏有两个渠道：一是“黑客”攻破公司的防火墙，盗取存于服务器上的用户信息；二是某些网站主动售卖用户数据，以谋取利益。

获得用户信息后，这些贩卖者就会泡在论坛、社交网站甚至黑客网站里。因为这里存在大量的求购或贩卖用户信息的需求。而交易双方一般通过互联网进行交易，并不见面。

一位不愿意透露姓名的行业人士告诉记者，由于购买用户信息代价不菲，那些花高价买了用户信息的人会想办法将这些信息再兜售出去。由于电子化的信息售卖起来很方便，会导致用户信息被多次转手泄露。

“用户信息泄漏，并不会损害互联网公司的利益，只是用户受到损失。”这位互联网人士告诉记者，这样的机制让用户“反抗无效”，只有“任人宰割”。

安全投入不足1%

“现在泄露的用户信息都是直接保存密码原文（明文），没做任何加密。”金山快盘CTO杨钢告诉记者，如果做了不可逆加密后，即使数据库被拖走，里面的密码也解不开，只能看到用户名。

道高一尺，魔高一丈。对于常用的加密方法，黑客已经搜集到了大量的解密方法，破解起来并不是一件难事。

“互联网公司对安全性心存矛盾。”李铁军认为，对于互联网公司来说，产品的用户体验是第一位。形成好的用户体验往往是简单、易用的产品，安全往往与复杂对应，会在一定程度上影响易用性。因此，无一例外，互联网公司都优先选择了用户体验。

一位互联网安全专家告诉记者，很多网站采用明文密码的方式让用户信息“裸奔”，即便对安全性有所重视，也只是选择MD5方式（一种加密算法），一般不会选择SHA1方式。因为虽然SHA1比MD5强度高，但是MD5比SHA1快，互联网需要的就是快。但是MD5并不完全可靠，若要保证用户的安全，最好选择SHA1。

李铁军认为，安全防护不只是一个技术问题，企业也不只是安装了防火墙和杀毒软件就完成了安全防护，需要专人来实时监控。安全运维人员需要根据访问列表来及时辨别哪些是入侵，哪些是正常访问，并进行及时处理。

“目前，中国只有浏览量在前100的网站有自己专业的安全运维人员，前1000的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”一位互联网行业人士坦言。

据该人士介绍，互联网公司建立自己的安全运维团队，需要的成本投入很大。比如，大型B2C购物网站每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。但是目前，这些公司的安全投入不过几百万，有的只有几十万。

而从整个行业来看，据一家券商TMT研究部门的调研数据，目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其信息安全支出在整个IT支出中占到10%。相比之下，互联网行业的安全投入有些“捉襟见肘”。

“再不注意保护用户信息，互联网公司的品牌将会受极大伤害。”李铁军认为，安全就像是大楼里的消防措施，平常看起来并没有发挥多大作用，但一旦发生问题，如果安全不到位，那么造成的损害会很大。

(责任编辑：)