【林勇(Lion)简介：中国红客联盟创始人。2011年9月22日，被誉为“中国黑帽子大会”的COG2011信息安全论坛在上海召开，lion荣获COG信息安全社会影响力奖。他重组了中国红客联盟，新网站于2011年11月1日开放。】

网络导报记者(以下简称“记者”)：根据你对这次上亿用户密码泄露事件的判断，你认为它会是什么人或者组织所为?

林勇(以下简称“林”)：不清楚。现在也不好乱猜测。

记者：按照《COG黑客自律公约》的界定，“社会普通公众的隐私权，尤其是儿童与未成年人应当得到保护。以买卖社会普通公众隐私信息为目的的活动不是黑客行为。”那么，这次泄露事件属于黑客行为吗?

林：这次密码泄露，依据小道消息说是有人为了炫耀放出来的。黑客圈子内部交换数据比较正常，但放出数据来估计是受到anonymous组织(一个组织松散的全球黑客组织)的影响。我本人认为这些放数据出来的人没有一些道德底线，做人做事还是要有原则的。我不认为这是一个黑客行为。

记者：即便这些数据库已经被卖了多次，但公布出来，也会形成巨大的舆论冲击。这里面是否会有一些其他的利益诉求?

林：不排除这些人在下一盘大棋。

记者：有的网站说这次被盗的数据为“2009年之前的备份数据”，是这样吗?

林：这次泄漏的数据应该是09年到2011年积累的数据。攻击所利用的漏洞我估计大多是java structs2和discuz x2的漏洞。可以说是目前浮出水面的最大的一次网络安全事件，但实际上这只是冰山一角。

记者：龚蔚说明年可能会有更大的爆发，涉及到数亿移动互联网用户。这是不是就是你说的“冰山一角”?

林：暴露的只是冰山一角。也不多说了。

记者：在不知道黑客入侵手法的情况下，被泄密的网站要求用户更改密码以求安全，你认为这样做除了心理安慰之外，有实际效果吗?

林：毕竟很多人是用通用密码的，一个沦陷了所有账户都暴露了。网站遇到攻击后，提醒用户改密码还是很有必要的。当然，改密码不只是被攻击的这个网站的密码要改，很多的账户密码都要更改。建议不重要的账户可以用通用密码，重要的email、淘宝之类的一定要设置单独密码。

记者：如果说这些黑客的目标在于大型网站的数据库，那么，对此事负责的显然只是这些网站。网站致歉就足够了吗?

林：出了事的企业一定要开展全面排查，找出攻击源头，修补相关漏洞，并加强安全防范措施。同时，数据一定要采用强加密方式保存，这次很多明文密码泄露，可以看出这些企业对用户是很不负责任的。这不是一个道歉就能说得过去的。

记者：是的，道歉没用。这件事情似乎强加给了黑客一些羞辱。那这个事件对黑客圈子来说，是否也会有一些影响?比如，找到那个公布信息的源头?今后打击这方面的行为?

林：对黑客圈子的影响绝对是有的。国家刚公布2012年要开展为期一年的打击黑客专项行动，这下刚好撞枪口上了。我们也在猜测其背后的实际目的。我们希望国家能加大打击力度，让更多的人走上正途，净化一下这个圈子。

记者：你对这件事是不是感到很愤怒?有人说泄露数据的这个人坏了行规，黑客圈要清理门户。

林：两方面吧。一是感到震惊，买卖公众数据确实是很不道德的。这东西我知道很早在流传，但没想到有人敢放出来，这损害的是公众利益。第二，从积极方面讲，我觉得这是对网络安全行业的促进，经过这次事件的洗礼，网络安全在很多企业将占有一席之地。

记者：网络安全已经成为一个全球性话题。有人说，这次密码泄露事件是针对实行网络实名制的?

林：这次密码泄露事件不排除是对实名制的挑战。实施实名制应该建立在安全保障的前提下。在网络安全还没得到充分重视，一些网站的保护措施还不够的背景下，如果盲目实行实名制，还再让“人”如入无人之境的话，到时候泄露的就不只是一堆密码和邮箱了。

记者：老鹰也很担心这一点。

林：网络安全应该是开展互联网业务的基础保障。特别是以后进入云的时代，所有数据都在网上的情况下，网络安全会更加重要。而目前的情况是，网络安全得不到企业的重视，网络安全人才在企业也得不到重视。

企业不重视安全，对网络安全投入不够，造成网络应用漏洞很多，让人有机可趁;网络安全技术人员得不到重视，在企业的地位和收入不高。生活的压力，让很多人铤而走险，投入了“黑产”的怀抱，结果造成网络安全圈子的混乱局面。所以，要改变这种现状需要多方努力。很希望看到国家加大这方面投入。

记者：数据的力量非常强大，也非常可怕!如果安全做好了，就可以驯服它，让它发挥正面作用了。

林：这是对互联网企业敲响的一次警钟，也是网络安全这个行业发展的一个契机。这个事件的根源在于，有些人盯上了这些企业的数据库，因为它们能换到钱。有利益的驱使，就必然有人去冒险。现在暴露的只是账户密码和邮箱，如果将来泄露的是姓名、性别、电话、家庭住址、身份证号、银行账号呢?

记者：银行卡一般是六位数的密码，那不是更容易破解吗?或者说，银行系统有更安全的保障措施?

林：那得看加密手段了。直接联网猜，3次机会，6位数字的密码还算安全。但如果让黑客拿到数据库就麻烦了，特别是网银账户。

(责任编辑：)