传播网民账户密码库可能违法

最近这么集中的，连续的发布这么多真假难辨的所谓互联网用户帐户信息，实在让人难以捉摸到底背后是什么。是单纯的黑客自爆，还是另有原因？

但是至少，单纯的从技术角度来讲：

1，以中国目前的互联网用户基数、互联网服务数量和与之对应的更为庞大的互联网账户数量来看，几百万，甚至上千万账户数据，所占比例应该比乍一想的要小。同时基于中国互联网用户普遍的素质，以及大量存在的测试型、临时性采用零级密码的帐户信息，少有用心的黑客即使只是通过一本百万级别的密码字典，也可以在一段时间内通过暴力破解来获取相当大的用户账户数据。

简单的说吧，就是所曝光的那些用户帐号密码信息，如果是密码相对简单的账户，那么黑客也许不用通过后门入侵数据库去下载明文信息就能通过暴力破解而获得。

当然，对于那些特别复杂的密码，比如 ppnn13%dkstFeb.1st 这种的还出现在列表里，而且经尝试为真的话，那就不是上面说的这个情况了。

2，技术和安全的发展是一个渐进的过程，还是之前我说过的，你不能随便就要求任何一个家里的大门都和银行金库一样，同理，互联网公司发展往往非常快，一个小公司做3、5年之内就成长起来，但是其相应的后台技术在某些方面存在临时性的滞后是可以理解的（当然，像CSDN这样专业的网站还有这么久的历史但是却还用明文存储用户密码的行为是不可原谅的）。比如开心、人人、多玩等网站，从创办到崛起到上市，几年光景。当初创办的时候谁都不知道还有没有明天，创业公司招聘难大家都清楚，有人能做前端能做界面就不错了，后台和安全性根本不可能是这些公司重点考虑的方向。因此一些产品存有这样或者那样的漏洞也就在所难免。当然，对于大公司来说成长变大实力增强之后，代码总会重写，漏洞总会修补，但是在代码重写之前，漏洞修补之前，公司肯定是先变大变强了的，否则也没资源重写代码修补漏洞。因此这期间有一个时间差。这时候系统的漏洞是易于被攻击并且攻击者也看得上你的数据的。

特别是最近一些创业公司喜欢用一些开源的项目做基础来搭建自己的服务，比如用Discuz系列的论坛程序，用ECShop系列的电商程序，用最土的团购等等，这样产品搭建会快很多，但是开源程序也更容易被黑客研究并发现漏洞。更是有很多网站使用了开源的项目搭建自己的服务以后，却不注意更新升级，导致自己的服务中留存有很多早就被发现并公开的系统漏洞，最后导致自己的后台易于被黑客入侵……

3，无论如何，公开这些信息的人都已经涉嫌违法犯罪。

4，前面提到真假难辨就是在于，现在这些帐号和密码的下载成了网络上的热门关键词，因此和很多曾经的“XX门”一样，这些关键词和下载资源成了骗取流量甚至传播病毒的一个良好载体。更有甚者，如果我做一个论坛，用这些关键词来发表帖子，但是要求回复可见下载地址，或者注册用户才可以下载，我又会通过这样的帖子骗取多少用户帐户信息呢？

各位，如果你不是在做研究，就别下载这些对你没用的用户数据了。如果你有一个网站，更不要去传播这些数据的下载，真有可能有法律风险，各位小心！