2016年8月14日，王宝强与马蓉宣布离婚，而紧接着第二天，网上就流出了马蓉与王宝强经纪人宋喆的开房艳照。事实上不只是艳照，宋喆的履历、住址、常去的酒店、开房记录、甚至曾经在豆瓣上用小号发的约炮活动等等，统统被网友扒了个干净。这难道就是黑客的力量？资深网络安全工作者程维（化名）认为，其实并不是。

现如今我们在注册很多网站，都需要进行邮箱验证，而电子邮箱出于安全性考虑又会绑定手机号码等内容，因此当邮箱账号密码泄露时，用户与这个电子邮箱关联的很多信息都将暴露在外。这次宋喆的个人信息之所以暴露的如此彻底，归根结底是由于他的常用邮箱是一个网易邮箱。

网易在2015年10月被曝光发生大规模数据泄露事件，主要内容就是网易邮箱的账号密码，泄露数据量超过5亿条。虽然网易早已修复了相关漏洞，但想想宋喆的经历，仍然在使用网易邮箱的用户有没有背后一凉？

不只是网易，90%的网站都曾经发生过数据泄露

用户每天登陆网站的账号密码、注册时使用的手机号和个人信息、APP和软件中关联的电话簿等等，这些用户数据都保存在网站的数据库当中。有的互联网公司会租用大型服务器，例如阿里云、华为云等，来作为自己的数据库，也有的公司会自己建立服务器。但无论哪种方式，都没有绝对安全的说法。

程维说：“几乎所有的网站都存在漏洞，区别只是这个漏洞有没有被发现。”360旗下补天漏洞响应平台在2015年初发布的中国区用户数据泄露统计表，不完全统计了2011至2014年发生用户数据泄露的网站和数据量。但就是这一份“不完全统计“中，发生数据泄露的网站接近200家，泄露的信息数据超过7亿条，覆盖了电商、保险、游戏、出行、住宿、交友、招聘、在线医疗咨询等等各个行业，内容包括姓名、证件号码、网站账号密码、IP地址、简历、航班及乘车信息、酒店开房信息、邮箱、快递编号、住址等各个方面。

而相比于企业的网站，一些政府部门的网站保护更薄弱，流出的信息却更危险。程维告诉笔者，除了国家重点部门的技术人员比较重视以外，像教育、医疗、社会保障这样的民生部门实际上都存在比较大的安全漏洞监管问题。这部分流出信息，大部分都被用于电信诈骗，社会影响很大。

窃取数据需要的技术不复杂，从业人群大部分是大学生

网站数据泄露只有较少一部分是由于定向攻击，大部分都是由于网站安全防护上存在漏洞。一旦有些漏洞在修复之前被黑客发现，他们就会利用漏洞对数据库中的信息进行拷贝，行业内管这种行为叫“拖库”。

程维表示，像他们这样有本职工作，在正规公司上班的人，是不会做这样的事情的。一方面是风险太大，一旦被公安机关调查出来就要面临牢狱之灾；另一方面，只是出卖数据并没有太高的收益，程维透露，现在普通的数据，像电话号码这种价格都很便宜，5块钱就能买到1000条以上。

恰恰是那些技术一般，没法进入正轨公司的人，才是数据泄露的罪魁祸首。事实上绝大多数“拖库“的事情，都是在校大学生甚至未成年人做的。大学生的法律意识比较薄弱，经济状况不好，也就有不少人在数据库上面动了“歪心思”。

而很多公司，甚至政府机构并不重视网络信息安全的工作，漏洞发现不及时、处理速度慢，因而给了黑客可乘之机。存在这种情况的网站，很容易发生数据泄露。对多少有些这方面技术的大学生而言，数据偷起来很容易，没什么技术含量。

不重视网络安全的主要原因，追究数据泄露事件的取证难度大

目前，国家已经制定了相关的法律法规来规范网络信息安全问责制度，但这些法律条款实际执行起来有难度，最大的障碍在于取证。

一方面，网站数据丢了，并不会去追回和调查。首先，网站一般并不知道是否被偷过数据。因为仅仅是拷贝数据是不太可能在网站服务器内留下痕迹的，而对于一些监管松懈的网站来说，并不能第一时间发现漏洞，时间一长，更难追查。其二，哪怕公司得知了数据泄露，也不会公开这一消息。毕竟承担泄露数据的舆论压力，与可以挽回的损失相比要重太多。

另一方面，受害者很难追究网站发生数据泄露的责任。虽然在2015年11月1日，刑法第286条刚刚增加新的条款，对于泄露用户数据造成恶劣影响，且没有及时补救的企业，将被追求刑事责任。但是这条法律却难以真正执行。主要原因是受害者很难拿出直接证据，来证明数据就是该公司泄露的。没有了证据，追究责任就无从谈起。除非是外界舆论压力太大，纸包不住火了，公司才有可能出面承担责任。

然而数据泄露对公司造成危害是必然的

目前对于企业而言，国家的企业信用评价体系建立的不完善，类似现象没有办法实现“现世报”。然而一旦曝光，对企业造成各方面的伤害是必然的。一方面对于普通用户，容易对涉事公司产生不信任感，用户获取和新业务的开展就会碰壁。世纪佳缘就是一个例子，自从它去年4月被曝光存在大规模数据泄露现象后，网上很难看到一句用户好评。

另一方面，企业如果被曝光有大规模数据泄露，基于安全信用考核标准的牌照，例如金融支付牌照的申请就难以被通过。

而数据泄露事件被曝光，现在能直观反映出对公司影响的数据就是股价。2016年9月23日，雅虎对外公布有超过5亿条数据泄露，当日雅虎股价直接下跌3.06%。业内人士认为，仅由于这次事件会选择抛弃雅虎的用户就超过5%，换算之后的人数大约在500至1000万人。

中小企业在网络安全保护上落后，想要改善还需要提高重视程度

程维透露，虽然大公司每次曝光出数据泄露事件，泄露的数据量都很大，影响很严重，但其实他们安全工作做得还是更好一些。主要原因在于，安全工作很大程度决定于人才。个人技术水平和团队积极性，在很大程度上决定了一个公司网络安全防护程度。中小型企业和一部分传统企业往往刚刚踏足互联网相关产业，大部分精力和资金的投入都还在产品的研发和运营上，尚未对网络安全提起重视，更谈不上组建优秀的网络安全团队。

想要保护用户的网络信息安全，归根结底还是需要公司本身重视。

重视网络信息安全，就要重视技术人才。以阿里巴巴为例，阿里在2002年开始引进网络安全人才，到目前已经有超过1000人的安全团队。程维透露，阿里安全部门和运维人员的待遇应该是行业内最高的，所以很少有人会跳槽，也不断有新的牛人进去。另外，成立规模合理的安全团队，多关注国内漏洞响应平台，也可以在一定程度上降低数据泄露发生的概率。程维告诉笔者，目前国内有数家漏洞相应平台，而他们背后还有一大批“白帽子”，这些人并不利用网站漏洞盈利，而是在发现漏洞后将信息挂在响应平台上，供涉事网站浏览和修补使用。一些中小企业和传统企业如果没有完善的网络安全防护机制，不妨多关注这方面的信息，也可以起到一定的作用。

网络安全概念股：立思辰、拓尔思、联络互动、启明星辰、同有科技、榕基软件、北信源、任子行、启明星辰、卫士通、东方通、美亚柏科、绿盟科技、蓝盾股份、南威软件、同方股份。