除网站的安全性差外，本次泄密事件中备受诟病的还有明文密码库。所谓明文密码库，即在对用户密码信息存储时未进行加密处理，黑客获得数据库后，所有的用户名、密码一目了然，更加容易利用。

蒋涛解释称，各家网站的明文密码库都有复杂的历史原因，CSDN是在2010年9月之后才采用了密文存储。“这不是一家的问题，而是行业性的问题。”

但是，加密存储也并不一定意味着安全。多位受访的网络安全专家告诉财新《新世纪》记者，现在相对简单的MD5加密方法已经不安全，黑客圈建立了庞大的MD5值的“字典库”，通过“查字典”的方式很快就能破解还原。

马杰建议，在进行密文存储时，还需要对加密算法做一些改变，或多次加密，安全性能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在破解不了的情况，但至少会大大增加破解的成本和时间，降低数据库对黑客的吸引力。

乌云平台撰文称，最好的安全应该是自始至终就有人为安全负责，将安全落实到公司的流程制度规范以及基础技术架构里去，形成完善的安全体系，并且持续更新迭代，“如果以前没有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公司或者外部顾问。但是记住，不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。

黑色产业链

有人负责发掘漏洞，有人负责根据漏洞开发利用工具，有人负责漏洞利用工具的销售，有人负责刷库，有人负责洗库，有人负责销售，还有人利用数据库钓鱼、诈骗、发送垃圾邮件

大规模的泄密事件，也使得互联网江湖中最为隐秘的黑色产业链再度引人关注。“熊猫烧香”病毒让公众知道了病毒黑色产业链，而此次的泄密事件则指向了数据交易的黑色产业链。

马杰告诉财新《新世纪》记者，最近几年，“黑帽子”黑客圈内的盈利模式发生了一些变化。最早是“挂马”比较挣钱，通过发现漏洞SQL注入，然后想办法获得网站权限，在网页上挂上木马程序，中了木马程序的机器就成为“肉鸡”，通过木马控制“肉鸡”来赚钱。比如说盗号、弹窗、导流量等。

“早几年木马猖獗的时候，一个服务器能控制几万台的‘肉鸡’。即使只是IE自动跳转到某一页面，每年也能带来可观的流量和收入。”李铁军说，还有黑客利用系统漏洞和木马进行“钓鱼诈骗”，从个人客户一端入侵网银系统，进行非法转账等。

后来，“挂马”和“钓鱼”被各大安全公司打击得非常厉害，特别是免费杀毒软件在个人终端的普及。而这个时候，地下黑客发现，刷库是个更快、更直接的赚钱方法。

最近几年，围绕数据交易的黑色产业链正在逐步形成。在地下黑客圈内，一些大型网站的数据库被明码标价，一个数据库整个端下来，价值数百万元到上千万元不等。

拖库成功后，到手的数据库可以有很多用途，比如直接卖给被刷库网站的竞争对手。黑客还可以利用部分互联网用户“多家网站一个用户名一个密码”的习惯，去试探别的网站数据库。这叫“撞库”，技术上也很容易实现，只需要编写一个脚本，自动不断用已盗取数据库里的信息去请求登录。由于都是正常请求，被撞的网站也很难防范，所以也会有网站“躺着中枪”。

安全业内人士称，刷库之后，黑客拿着数据库去“撞”有虚拟币系统的游戏网站、腾讯，以及网上银行、支付宝及电子商务网站，都是必然会发生的事情。如果撞到了重合用户，将其账号内虚拟资产、网银洗劫一空都是再自然不过了。

经过多次倒卖和“洗库”之后，数据库还能被卖给价值链的末梢买家——利用账号信息来发送广告、垃圾邮件、垃圾短信的推销公司。通常情况下，数据库的价格越卖越便宜，流传的范围也就越广，距离曝光也就越近。

(责任编辑：)