在大數(shù)據(jù)和云計算的時代，互聯(lián)網(wǎng)正在重構整個制造業(yè)和服務業(yè)的運行體系，買方和賣方的對接越來越依賴于大數(shù)據(jù)，而不是實體的店面、中介。數(shù)據(jù)庫的作用越來越重要，但安全卻難有保障。本專題中的調查試圖呈現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)泄露中環(huán)環(huán)相扣的鏈條，而對案例的分析則試圖呈現(xiàn)公民個人維權之難，這有賴于互聯(lián)網(wǎng)法治建設的推進。

天微微亮，大鳥（化名）結束了一晚上的任務，他用涼水洗了一把臉，起身，去公司上班。

在白天，他是某互聯(lián)網(wǎng)公司的程序員。晚上，他是互聯(lián)網(wǎng)論壇上活躍的“白帽子”。

“白帽子”是業(yè)內的俗稱，即正面黑客，他們通過識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中的安全漏洞，發(fā)出漏洞警告，從而提醒企業(yè)或其他單位在被黑客侵入前修補漏洞。

由于白天工作時間不允許，大鳥只能用晚上的時間做“白帽子”的工作。這讓他很疲憊，如果進入到了活動狀態(tài)，大鳥可能會有很長一段時間都在高度緊張的精神狀態(tài)中度過。

除了在論壇中得到被同行贊許的快感，很多時候，他們面對的是一群對漏洞不屑的人。因為每次被曝出漏洞之后，許多企業(yè)的第一反應是“辟謠”，而不是直面問題。

在大數(shù)據(jù)和云計算的時代，互聯(lián)網(wǎng)正在重構整個制造業(yè)和服務業(yè)的運行體系，買方和賣方的對接越來越依賴于大數(shù)據(jù)，而不是實體的店面、中介。數(shù)據(jù)庫的作用越來越重要，但安全卻難有保障。

或許因為企業(yè)對漏洞不屑的態(tài)度，一些技術人員會警告企業(yè)——既然你不屑，我就干一單給你看。一些技術人員拿著漏洞去要挾企業(yè)，換取報酬，涉及利益巨大，一些人甚至很短時間就完成原始資本積累。白帽子是以其行為來判斷，但也有可能在某些時間里，變成真正的黑客。

在國內，目前逐漸形成了一些漏洞舉報的平臺，如烏云網(wǎng)、360都建立了舉報漏洞的機制，方法各不相同。國家互聯(lián)網(wǎng)應急中心也建立了漏洞共享平臺，每周發(fā)布信息安全漏洞周報。

一些企業(yè)的態(tài)度也變得開明起來，如1月14日，特斯拉的官方訂購平臺被白帽子發(fā)現(xiàn)漏洞，原價30萬元的預訂金，白帽子可以在后臺將之修改為一元錢。特拉斯得知后迅速修復了該漏洞，并承認該筆訂單有效，同時還從總部郵寄了官方紀念品送給白帽子。

21世紀經(jīng)濟報道記者通過半個月的調查，接近了多位白帽子，他們中的部分不愿意透露真實姓名；同時，21世紀經(jīng)濟報道記者也試圖從被業(yè)內稱之為“社會學工程庫”的論壇，尋找活躍在數(shù)據(jù)買賣鏈條上的人。此外，通過分析已有的案例和司法判決，也可以探尋這個龐大黑色產(chǎn)業(yè)在互聯(lián)網(wǎng)時代日益形成的安全隱患。

入侵

“你不要社我啊。”這是一句從事網(wǎng)絡安全程序員們的“行話”。“社”是指社會學工程庫，他們把獲取海量的個人信息稱為社會學工程分析。

在社工論壇上，你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個人信息資料，如開房資料、考研學生資料、公積金信息等，一般都是幾十上百萬條信息打包出售，他們將這些打包出售的數(shù)據(jù)庫俗稱為“褲子”。

而“社”一個人，則意味著在網(wǎng)絡上挖掘與這個人有關的各種資料，通過不同網(wǎng)站的海量數(shù)據(jù)，破解密碼、下載資料……

一般而言，第一步需要入侵某個網(wǎng)站的后臺系統(tǒng)。這個過程并不復雜，對一個電腦迷而言，一個剛入行的中學生就可能有能力侵入一個普通網(wǎng)站。

大鳥對我們講述了他的故事。第一次學習黑客技術是大一的暑假，他花了一個月的時間在寢室自學。不久后，就已經(jīng)可以進入學校網(wǎng)站的后臺了。

從這一刻開始，數(shù)據(jù)就有了被泄露的危險。大鳥不會將數(shù)據(jù)下載下來用于己用，僅用來檢測網(wǎng)站是否存在漏洞，但他告訴21世紀經(jīng)濟報道記者，黑客入侵網(wǎng)站與白帽子檢測網(wǎng)站，在技術路徑上幾乎是相同的。

大鳥不崇拜儀式感，他不喜歡稱之為戰(zhàn)斗，但這確實是一場戰(zhàn)斗，雖然戰(zhàn)利品只是為了滿足一種孩童式的好奇、對技術偏執(zhí)的渴望，但把它稱之為一場發(fā)生在“入侵者”與技術“看守者”之間的戰(zhàn)斗或許并不為過。

在大鳥的印象中，記憶最深的一次入侵行動是他在正式做一名職業(yè)白帽子之前。那是一次比較復雜的行動。大鳥發(fā)現(xiàn)了一家國外網(wǎng)站，對其原代碼十分感興趣，為了看到代碼，他決定“入侵”這家網(wǎng)站。

大鳥先找擁有域名的這個人，查他的信息，發(fā)現(xiàn)此人是外國人。因為不是中國人，所以不能掌握太多他的信息。接下來尋找這個域名下的子域名。

經(jīng)過分析，發(fā)現(xiàn)一些子域名放在幾臺普通VPS（Virtual Private Server 虛擬專用服務器）上，打開幾個頁面是空的。掃了幾個端口也沒發(fā)現(xiàn)端倪，他知道從這幾臺VPS上很難找到問題，于是他決定找一下它的VPS提供商。

如果拿到VPS提供商的權限，就可以獲取它所有VPS的權限，自然也就獲取了該域名所指向的VPS權限。隨后他發(fā)現(xiàn)這個VPS服務商的運維配置有一些問題，一步一步滲透下去，最終找到了該VPS提供商所有用戶控制面板的賬號密碼，最后找到了對應人的賬戶密碼。

拿到用戶密碼后，大鳥登陸了對方的控制面板。VPS是以控制面板進行操作的，進入控制面板就可以操控他服務器上的文件，但是沒有文件打包編輯功能。最后，大鳥上傳一個了網(wǎng)頁后門，便獲得了它的代碼。

經(jīng)過十分復雜的程序，大鳥獲取了這臺服務器的權限，順利看到了代碼。

或許從技術上，這并不算很難，但對于大鳥來說，這次“入侵”的復雜性遠遠高于技術，經(jīng)過一個多月的“戰(zhàn)斗”，看到代碼后，他選擇讓自己大睡一場，進入冬眠。(責任編輯：韓杰)