2016年8月14日，王寶強與馬蓉宣布離婚，而緊接著第二天，網上就流出了馬蓉與王寶強經紀人宋喆的開房艷照。事實上不只是艷照，宋喆的履歷、住址、常去的酒店、開房記錄、甚至曾經在豆瓣上用小號發的約炮活動等等，統統被網友扒了個干凈。這難道就是黑客的力量？資深網絡安全工作者程維（化名）認為，其實并不是。

現如今我們在注冊很多網站，都需要進行郵箱驗證，而電子郵箱出于安全性考慮又會綁定手機號碼等內容，因此當郵箱賬號密碼泄露時，用戶與這個電子郵箱關聯的很多信息都將暴露在外。這次宋喆的個人信息之所以暴露的如此徹底，歸根結底是由于他的常用郵箱是一個網易郵箱。

網易在2015年10月被曝光發生大規模數據泄露事件，主要內容就是網易郵箱的賬號密碼，泄露數據量超過5億條。雖然網易早已修復了相關漏洞，但想想宋喆的經歷，仍然在使用網易郵箱的用戶有沒有背后一涼？

不只是網易，90%的網站都曾經發生過數據泄露

用戶每天登陸網站的賬號密碼、注冊時使用的手機號和個人信息、APP和軟件中關聯的電話簿等等，這些用戶數據都保存在網站的數據庫當中。有的互聯網公司會租用大型服務器，例如阿里云、華為云等，來作為自己的數據庫，也有的公司會自己建立服務器。但無論哪種方式，都沒有絕對安全的說法。

程維說：“幾乎所有的網站都存在漏洞，區別只是這個漏洞有沒有被發現。”360旗下補天漏洞響應平臺在2015年初發布的中國區用戶數據泄露統計表，不完全統計了2011至2014年發生用戶數據泄露的網站和數據量。但就是這一份“不完全統計“中，發生數據泄露的網站接近200家，泄露的信息數據超過7億條，覆蓋了電商、保險、游戲、出行、住宿、交友、招聘、在線醫療咨詢等等各個行業，內容包括姓名、證件號碼、網站賬號密碼、IP地址、簡歷、航班及乘車信息、酒店開房信息、郵箱、快遞編號、住址等各個方面。

而相比于企業的網站，一些政府部門的網站保護更薄弱，流出的信息卻更危險。程維告訴筆者，除了國家重點部門的技術人員比較重視以外，像教育、醫療、社會保障這樣的民生部門實際上都存在比較大的安全漏洞監管問題。這部分流出信息，大部分都被用于電信詐騙，社會影響很大。

竊取數據需要的技術不復雜，從業人群大部分是大學生

網站數據泄露只有較少一部分是由于定向攻擊，大部分都是由于網站安全防護上存在漏洞。一旦有些漏洞在修復之前被黑客發現，他們就會利用漏洞對數據庫中的信息進行拷貝，行業內管這種行為叫“拖庫”。

程維表示，像他們這樣有本職工作，在正規公司上班的人，是不會做這樣的事情的。一方面是風險太大，一旦被公安機關調查出來就要面臨牢獄之災；另一方面，只是出賣數據并沒有太高的收益，程維透露，現在普通的數據，像電話號碼這種價格都很便宜，5塊錢就能買到1000條以上。

恰恰是那些技術一般，沒法進入正軌公司的人，才是數據泄露的罪魁禍首。事實上絕大多數“拖庫“的事情，都是在校大學生甚至未成年人做的。大學生的法律意識比較薄弱，經濟狀況不好，也就有不少人在數據庫上面動了“歪心思”。

而很多公司，甚至政府機構并不重視網絡信息安全的工作，漏洞發現不及時、處理速度慢，因而給了黑客可乘之機。存在這種情況的網站，很容易發生數據泄露。對多少有些這方面技術的大學生而言，數據偷起來很容易，沒什么技術含量。

不重視網絡安全的主要原因，追究數據泄露事件的取證難度大

目前，國家已經制定了相關的法律法規來規范網絡信息安全問責制度，但這些法律條款實際執行起來有難度，最大的障礙在于取證。

一方面，網站數據丟了，并不會去追回和調查。首先，網站一般并不知道是否被偷過數據。因為僅僅是拷貝數據是不太可能在網站服務器內留下痕跡的，而對于一些監管松懈的網站來說，并不能第一時間發現漏洞，時間一長，更難追查。其二，哪怕公司得知了數據泄露，也不會公開這一消息。畢竟承擔泄露數據的輿論壓力，與可以挽回的損失相比要重太多。

另一方面，受害者很難追究網站發生數據泄露的責任。雖然在2015年11月1日，刑法第286條剛剛增加新的條款，對于泄露用戶數據造成惡劣影響，且沒有及時補救的企業，將被追求刑事責任。但是這條法律卻難以真正執行。主要原因是受害者很難拿出直接證據，來證明數據就是該公司泄露的。沒有了證據，追究責任就無從談起。除非是外界輿論壓力太大，紙包不住火了，公司才有可能出面承擔責任。

然而數據泄露對公司造成危害是必然的

目前對于企業而言，國家的企業信用評價體系建立的不完善，類似現象沒有辦法實現“現世報”。然而一旦曝光，對企業造成各方面的傷害是必然的。一方面對于普通用戶，容易對涉事公司產生不信任感，用戶獲取和新業務的開展就會碰壁。世紀佳緣就是一個例子，自從它去年4月被曝光存在大規模數據泄露現象后，網上很難看到一句用戶好評。

另一方面，企業如果被曝光有大規模數據泄露，基于安全信用考核標準的牌照，例如金融支付牌照的申請就難以被通過。

而數據泄露事件被曝光，現在能直觀反映出對公司影響的數據就是股價。2016年9月23日，雅虎對外公布有超過5億條數據泄露，當日雅虎股價直接下跌3.06%。業內人士認為，僅由于這次事件會選擇拋棄雅虎的用戶就超過5%，換算之后的人數大約在500至1000萬人。

中小企業在網絡安全保護上落后，想要改善還需要提高重視程度

程維透露，雖然大公司每次曝光出數據泄露事件，泄露的數據量都很大，影響很嚴重，但其實他們安全工作做得還是更好一些。主要原因在于，安全工作很大程度決定于人才。個人技術水平和團隊積極性，在很大程度上決定了一個公司網絡安全防護程度。中小型企業和一部分傳統企業往往剛剛踏足互聯網相關產業，大部分精力和資金的投入都還在產品的研發和運營上，尚未對網絡安全提起重視，更談不上組建優秀的網絡安全團隊。

想要保護用戶的網絡信息安全，歸根結底還是需要公司本身重視。

重視網絡信息安全，就要重視技術人才。以阿里巴巴為例，阿里在2002年開始引進網絡安全人才，到目前已經有超過1000人的安全團隊。程維透露，阿里安全部門和運維人員的待遇應該是行業內最高的，所以很少有人會跳槽，也不斷有新的牛人進去。另外，成立規模合理的安全團隊，多關注國內漏洞響應平臺，也可以在一定程度上降低數據泄露發生的概率。程維告訴筆者，目前國內有數家漏洞相應平臺，而他們背后還有一大批“白帽子”，這些人并不利用網站漏洞盈利，而是在發現漏洞后將信息掛在響應平臺上，供涉事網站瀏覽和修補使用。一些中小企業和傳統企業如果沒有完善的網絡安全防護機制，不妨多關注這方面的信息，也可以起到一定的作用。

網絡安全概念股：立思辰、拓爾思、聯絡互動、啟明星辰、同有科技、榕基軟件、北信源、任子行、啟明星辰、衛士通、東方通、美亞柏科、綠盟科技、藍盾股份、南威軟件、同方股份。