2011年的冬天比以往来的晚了一些，但也比以往更冷了一些。气温的骤降已经让人猝不及防，这个月相继爆出各大门户网站的用户数据泄漏，让在实名制下的互联网大部分的用户这个冬天过的更加艰难。

事件回顾

2011年12月22日前后
人人 —— SNS中的佼佼者，上面用户信息真是程度很高
多玩 —— 一个在线游戏平台，YY语音提供者，游戏用户的集散平台
178 —— 国内游戏资讯类网站
7K7K —— 休闲游戏网站中的王者
嘟嘟牛 —— 网吧周边软件服务
猫扑 —— 当年八卦总坛，积累了大批量的老用户
以及其他一批高知名度的数据争相涌现出来给中国网民拜年，而正处于实名制风口浪尖的新浪微博也似乎不甘寂寞，也散了近500W的用户数据作为年终红利，不仅如此，原来中国的程序员聚集地——CSDN也被爆出600W的用户数据。更有甚者传闻，支付宝数据也遭到泄漏（支付宝的邮件信息据个人查证确实已有很大一部分已经泄露，今年的儿童节1元包邮，亲，你懂得！）。

好吧，看看上面的网站吧，你多玩了吗？你拥有178，7K7K了么？或者用嘟嘟牛了吧？ —— 都没有？看来是个绝对的好孩子啊，那猫扑，人人，新浪微薄，支付宝，CSDN总该有你的身影了吧？ —— 还没有？！ 好吧，上面的数据也许太少了，不过没关系，告诉你一个好消息，2011年12月25日，天涯发布了权威的4000W用户数据，4000W，涵盖2010年以前的所有天涯用户。这回，该有你了吧？ —— 不管你有没有，我是有了，上面的数据清清楚楚告诉我，我中招了！明文的密码和个人信息就像一丝不挂的女人一样直愣愣的躺在那里！

密码应该怎么设置？以前朋友经常问我：你是做技术的，你建议下，这密码应该怎么设置才好？，每每此时此刻，我总带着无比的自豪，以十分的耐心来解释：密码啊，一般不要单独用纯数字，纯字母来设置，这样很容易被猜到的，也不要太短了，太短也好猜的，最好要8位以上，以字母数字和特殊字符组成，这样被猜中的难度就更大了。然而，在这次的用户信息泄密中，无论你是什么强密码，都是一样的赤裸裸的被展现出来了。

失去安全的网站，给用户带来巨大风险！

随着时间的推移，网站自身处于盈利以及粘度等一系列目的，往往会将功能进行扩展，扩展当前最主流的方向是：1.电商化；2.SNS化。并且越来越多的将手伸向用户的绝对真实数据（这里绝对真实数据指的是现实中的数据，其中不乏包含个人隐私）。如果用户在平台活动越多，他就越有可能将真金白银放在网站上，并且将自己的一些个人信息甚至是隐私信息提交给网站。上面这些网站或多或少都已经包含了这些，其中，我在CSDN上被泄露的帐号中就包含绝对真实数据 —— 个人简历！

那么，一旦用户数据被泄漏，对用户造成的风险已经绝非是是个帐号的问题了，丢失的还有可能是用户的真金白银，更严重的还有自己的个人信息甚至是重要的隐私信息！

光鲜的在外跑马圈地，数据维护漏洞多

不知道外国人，但至少我知道很多国人做事情往往很浮躁，一个功能，往往只要能用，就先放出来用，要是有些疑问，往往负责的人会以绝对经典的话来回答：等有时间再来慢慢弄，现在功能上线最重要。当然，我能理解这种决策的动机，但我却对这种动机带来的后果感到担忧，这无形中，给幕后的某些居心叵测的窥探者带来丰厚收入。

研发如此，维护更是如此，在维护中，往往维护人员各显神通，只要能折腾折腾就好，规范严重不足。但网站外面积极推广圈地的过程中，决策层往往忽略安全，或者说，安全问题只要不是很严重，就睁眼闭眼直接无视，由于彻头彻尾的不重视，要求信息安全就只能纸上谈兵了，在网站小的时候，往往不会被恶意用户盯上，等一旦盯上了 ，已经回天乏力。这时候，再次被漠视的，又只能是用户了，一个公告，一封邮件，一场媒体会就将自己的责任抹的一干二净。抹干净之后，网站继续赚钱，或者换个网站继续，而吃亏的有且仅有那些用户。

反思后，我们还得带痛前行

在这次大网站集中大泄露数据之后，留给我们的是什么？

对用户来说，我想至少应该明白：

1. 不是所有网站你设置复杂的密码就安全的，当然，设置简单密码肯定是不安全的；

2. 加强自己的安全观念，不要一号走天下，那样你死的会很惨；

3. 需要时刻提防自己的资金安全，以防被不法分子篡夺自己的血汗；

4. 需要注意，切不要对网站过度信任，请适当保留自己隐私数据，让自己不至于会被扒的一干二净；

如果这种事件都怪罪在所谓的黑客头上，我是怎么也是不可能会谅解的，网站对保护数据的安全应该负有不可推卸的责任，我也决不认同网站报个警，一封邮件或者一个公告就打发用户的行为，这只能让用户增加对网站的不满和不信任，请拿出一些行动，为确实的信息安全做自己该做的事情，不要一味顾着赚用户的钱，还顺带把用户卖了！

文章为原创，转载请注明出处：Mitchell Chu's Blog