安全宝CEO马杰：数据库泄露网站仅几家

安全宝CEO马杰(腾讯科技摄)腾讯科技讯（乐天）12月30日消息，中国互联网最严重的一次帐号泄露事件从21日爆发至今，不但没有降温反而愈演愈烈。安全宝CEO马杰在腾讯微论坛上表示，现在网上所公布出来的数据库，真正能验证的只是有限的这几家。马杰指出，通过对数据内容的观察和分析，很多的数据库泄露其实是通过已经泄露的数据库中撞库撞出来的，还有在网站上贴张图出来，说有某某某的数据库有多少万，通过PS完全可以实现。这并不是说那些网站没有泄露过，而是很多贴出来的东西有点哗众取宠，是浑水摸鱼。马杰称，从用户数据库这个问题看，在安全行业里，这早已不是什么秘密，这些网站安全性在资深安全从业人员看来，几乎就是皇帝的新衣。几乎所有网站的安全风险，安全性
都有待进一步提高。此次帐号泄露事件是一个灾难，也是一个好事，让互联网公司意识到安全的重要性。以下是对话实录：腾讯科技：最近关于网络安全的这个话题也非常热，包括天涯、支付宝这样一些网站都牵涉其中了，我们在座的有一位是专门做安全的，马杰作为安全行业的老从业者，您怎样去看待目前这个行业
里面出现的网络安全的问题？马杰：刚才周源讲到了基本需求问题，我就在想，安全是不是基本需求呢？我想在座所
有的男同胞是不是都有一个体会，你女朋友被你要求的最多的是什么？安全感是不是。我想因此我得一个结论，安全应该也是基本需求吧，只不过大家说安全的时候，都很重视，
但是实际要为它花钱的时候又很小气，是不是这也是一个现状。过去这么多年，我做了很多年安全之后的一个感觉，个人用户以前很多公司，包括我的前公司瑞星在内的多家公司，做了很多的推动工作，让用户逐渐的重视到了安全，并且最后在几个特定的安全事件里推波助澜下，比方说红色代码，晚期的熊猫烧香等等这些事件的推动下，用户认识到安全的重要性。网站本身呢，它是一个发展的过程，前些年应该说网站很重要，现在网站挣钱了，这才真正重要了。在这个
前提之下，大家才能逐渐意识到在这上需要进行安全的投入。我之
所以创业来做这个网站安全这块，也是做了很多年安全之后，我个人的一个感觉就是个人安全这块打得一塌糊涂了，咱还是不进去了。企业安全这块，也有很多领导型的企业在里面，我所选择的这块，网络安全，网站安全这块，我
认为是一个成长很好，但是现在又没有领导型的企业的这么一个地方。并且我们又适时的看到了很多问题，本来我想大家对这个问题的认识过程，可能还需要稍微再长一点这个周期，这次几家公司在密码问题上所暴露出来的安全性上的严重缺乏，使得这一天稍微早一点的被大家意识到了网站本身安全的重要性，现在是全民改密码。在座的各位，我也呼吁一下大家去看看自己密码有没有泄露，该改的密码早点改，最近包括腾讯微博，新浪微博上面很多用户说，他们的微博帐号不知道为什么被别人盗用了，其实原理很简单，就
是因为这几个泄露的大的数据库跟你微博上用的密码是一样的，他来猜，你用的一样的，他就控制了你的微博帐号，大家也应该去改一改。通过这个事件体现出来即使像我们这种大型的社区，或者大型的论坛，它们都缺乏很多基础的安全性的建设工作。我觉得这次这个事件是一个灾难，同时也是一个好的事情，让我们互联网公司意识到安全的重要性。腾讯科技：我想接下来问一个问题，现在消息一发出来，比如说当当有上千万的用户密码泄露，支付宝有一两千万的用户资料泄露，有一种说法，说这是别人故意放出来的消息，故意就想唯恐天下不乱，也有一些人想从中浑水摸鱼，具体从这个事件的背后，您怎样
来看待这个问题，到底是不是真的有人想浑水摸鱼，还是这个事情就是真的有这么严重？马杰：首先我想说浑水摸鱼和事件的严重性，这两者不冲突，在前天
下午，蒋涛请了圈内的很多朋友，包括做安全的，以及涉及可能泄密码的很多公司一起搞了一个小型的座谈会，这个会比较封闭，所以大家发言也就比较猛。安全圈也是很资深的一个朋友，我也非常认同他的说法，他说从用户数据库这个问题本身来看，在安全行业里，这早已经不是什么秘密了，这些网站的安全性在资深的安全从业人员看来，几乎就是皇帝的新衣。有没有哪家能幸免？几乎没有。但是这个几乎没有不代表说真的这些库就大范围泄露了，而是说在真正的高水平的黑客面前，几乎无一幸免都可以拿到一定程度的权限或者数据，只是说泄露的范围有多大，泄露的程度有多大，这是严重性问题。回过头来说，是不是浑水摸鱼呢，现在网上所公布出来的数据库，其实真正能验证的，真的是有限的这几家，很多的传闻，对我们来说，我们也不太方便去验证，这个验证本身也涉嫌到不太合法。但是通过对数据内容的观察和分析，我们觉得有很多库，比方说通过某一个大库，再到这个网站上去撞库撞出来的，这个是一部分。另外还有在网站上贴张图出来，说有某某某的数据库有多少万，这种完全是PS一下都是可以的。我并不是说那些网站没有泄露过，或者有泄露过，或者有安全风险，而是说很多贴出来的哗众取宠的东西，里面有很多确实是浑水摸鱼的。但是这些几乎所有网站的安全风险，安全性都有待进一步提高。