A站，没有不能说的秘密

这两天关于数据泄露的新闻有点多。

先是A站在其官网上发布了《关于AcFun受黑客攻击致用户数据外泄的公告》称，A站受到黑客攻击，“近千万条用户数据外泄”，其中包括用户ID、昵称、“加密存储”的密码等信息，暗网报价40万；而后，疑似摩拜单车的用户数据在暗网大卖，标价整体40万，且已经有人买了；晚上，网传“12306数据疑似泄漏”，从2016年到2018年3月的近三千万条用户信息被以10个比特币的价格在暗网售卖，信息内容包括用户密码，支付信息及密码保护答案等。

一天之内，三次大规模数据泄露新闻轰炸，IT之家小编安全感瞬间全无，生怕一个诈骗电话打过来，禁不住忽悠给人把肾骗走……

不过，很快摩拜和12306便出面辟谣了，说自家数据并没有泄露，请用户放心。但A站的信息却实打实的泄露了，根据A站的公告，此次大面积数据泄漏主要是因为网站本身的安全做的不够，并表示，接下来A站将对服务做全面系统加固，升级技术架构和安全体系。

这次事件着实反映了国内网络数据安全的紧迫现状，不管是黑客攻击也好，内部泄漏也好，最终受害的还是用户，君不见，因数据被骗致死的徐玉玉、宋振宁，离开这个世界也不过才两年时间。

此类事件屡屡发生，黑客攻击向来都扮演着一个重要角色，比如如希拉里邮件门、雅虎5亿用户资料被窃等事件，都是出自黑客之手。威瑞森最近的一份《数据泄露调查报告》(DBIR)显示，2017年约50%的数据泄露是犯罪团伙所为，目的很简单，就是为了获取经济利益。

当然针对本次的A站数据泄露事件，黑客攻击只是其中一部分，另一部分则是A站自己承认的本身安全系统问题，如果这一公告属实，那么A站有可能会受到法律的惩罚。

2017年6月1日，我国颁布了《网络安全法》，明确划分了网站运营者的责任范围。其中《网络安全法》明确规定：网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息，最高可被处以50万元罚款，甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚。

注意，是最高50万元的惩罚。这对一个泄露近1000万条数据的知名企业来说是不是有点太低了？还不够在北京四环买个厕所啊！但实际上，即使真的被判担责，A站的罚款可能也不会达到50万元。

2018年1月，中国人民银行曾发布一则行政处罚信息，处罚对象包括四大国有银行和民生、光大、广发、中信、浦发等多家银行，还包括保险公司、资产管理公司等多家金融机构。处罚信息显示，这些金融机构在过去两个月时间里，都曾发生泄露信息、瞒报数据等违规行为，有银行机构不仅过失泄露信息，而且未经授权便查询个人信用信息，甚至违法出售个人信息。

如此恶性的数据泄露，也只有三家金融机构的单个罚单超过50万，A站此次事件的严重程度应该远不能比吧。

相比之下，欧盟刚刚发布的《一般数据保护条例》（GDPR）则要狠得多，其规定了两个等级的处罚：第一等级最高可处以1000万欧元，或上一财年全球营业额2%的行政处罚，以较高者为准；第二等级最高可处以2000万欧元，或上一财年全球营业额4%的行政处罚，以较高者为准。

如果碰上这样的法律，A站怕是早就关门歇业了。说句实在的，要想唤起国内企业对于用户隐私数据的重视，这样的重罚是非常有必要，否则一纸道歉了事，恐怕说不过去。

A站的安全系统的无心之失，就已经够人头疼的了，但另一方面，有些企业对用户的隐私泄露就不太好说了。

据中国国家信息安全测评认证中心调查显示，信息安全的现实威胁主要是内部信息泄露和内部人员犯罪。威瑞森最的上述报告显示，2017年25%的攻击都是内部人所致，主要是求财、找情报，或者就是一时疏忽或误操作了。

黑客攻击尚能以安全系统进行预防，但如果是公司内部人员倒卖信息，就变得很难杜绝和防范了。由于各种利益的诱惑，管理者或者有机会接触数据的员工私下把客户的数据卖给第三方（各种广告商和黑产），这些数据大多按照真实和丰富程度，按条计费出售。所谓“千防万防，家贼难防”就是这个道理。

更何况，有的企业对用户的隐私并没有足够的重视，并认为“中国人对隐私问题的态度更开放，也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下，他们就愿意这么做。”