“泄密门”两嫌犯被拘：白天工程师晚上黑客(2)

　　据北京市公安局相关处室透露，CSDN和天涯这两家网站曾在2009年以前遭入侵，数据泄漏也发生在两年前，近期这两家网站并没有遭到攻击。

　　“这一次，黑客是善意的，爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露，实际上，他们手里有最新的库，但出于对行业环境的考虑，没有把这些库爆出来。

　　泄密门曾有预警

　　在密码泄漏事件中，一个叫做乌云漏洞平台（Wooyun.org）从不为人熟知的专业平台一下跃入大众视野。乌云吸引了一大批黑客，他们在发现企业漏洞时，便将这些漏洞与补丁传到这些网站上去。

　　但是，这个平台一直不受企业待见。蒋涛亦坦承，事发之前，乌云漏洞平台把大部分漏洞做出了预警，告诉了相关企业，但各个企业并没有引起足够重视，没有及时提醒用户修改密码，导致后来一发不可收拾。

　　缘何企业对预警如此忽视？

　　这缘于黑客与企业之间多年形成的微妙关系。这些企业对黑客往往是又气又恼。在黑客面前，企业就像一个学生。黑客老师天天挑学生的毛病，刚开始可能觉得是正向激励，日子久了，自然对黑客没好脸色。

　　更有一些公司极端地认为，没有黑客，企业的漏洞在某种程度上来说就不存在，“即便存在，也不打紧。只要不暴露，就可以视而不见”。

　　但是，企业又无法“忽视”黑客。因为，黑客冷不防就会给上“温柔一刀”。一些大的互联网企业甚至直接“招安”黑客，纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。

　　“其实，黑客需要的是肯定。”上述安全行业工程师告诉记者，在乌云的平台上，企业会给提交漏洞的黑客以积分，用作鼓励。黑客也愿意无私提交发现的漏洞，如此形成了一个良性循环。

　　应对之策

　　“未来，各个网站应该和类似乌云漏洞的平台合作。”蒋涛倡议，未来，国内安全界和技术界不应该再有隔离。

　　CSDN开始全方位亡羊补牢。1月11日，CSDN与阿里云展开针对网站安全的战略合作。据蒋涛介绍， CSDN将采用阿里云邮箱，并把该邮箱与其他邮箱隔离，避免一个邮箱泄漏，“全城皆失”的情况。并且，还将接受阿里云提供的其他服务。

　　“我们应该和那些安全做得好的企业合作。”蒋涛称，除百度、阿里、腾讯等大公司，以及某些游戏厂商外，许多国内的互联网公司，包括CSDN在内，并没有太多实力去成立一个专门的安全工程师团队。

　　蒋涛告诉记者，CSDN会加强自身的安全策略，把网站的非核心数据与核心数据进行隔离，减少有价值数据的接口；并且正在向安全部门申请信息系统的等级保护，接受信息安全监管部门的相关管理。并且，CSDN还会引入相应的安全审核机制，防止数据信息从内部泄漏。

来源：《21世纪经济报道》