90后白帽子黑客：身懷利器，江湖慎行

孫靜

互聯(lián)網(wǎng)安全圈對(duì)“黑白”格外敏感。

比如90后從業(yè)者鄧煥，現(xiàn)在更喜歡自稱“安全研究者”，而不是“黑客”或者“白帽子”。

在大部分人的印象中，“黑客”是動(dòng)動(dòng)手指就可以讓銀行賬戶多出一串天文數(shù)字的少年天才，是電影中輕松攻破美國(guó)國(guó)防部安全系統(tǒng)的電腦高手，是勒索病毒“WannaCry”“熊貓燒香”等惡性病毒的制作者。而“白帽子”，雖然特指黑客中的守法群體，但這仍很難打消外界對(duì)他們的種種猜疑：會(huì)不會(huì)“白天白帽子，晚上黑帽子”？

鄧煥并不回避—幾乎每一個(gè)白帽子都會(huì)受到黑產(chǎn)的誘惑。他在初三時(shí)就收到一份開價(jià)數(shù)十萬元的“邀約”，希望其攻擊國(guó)內(nèi)某知名央企的OA系統(tǒng)，竊取財(cái)報(bào)。95后的“珈藍(lán)夜宇”，也多次在QQ上收到月薪10萬元的“境外工作機(jī)會(huì)”。

他們少時(shí)便學(xué)會(huì)警醒。這是一個(gè)如履薄冰的愛好。如果說85前一代靠自由、共享的黑客精神完成自我進(jìn)階，那么85后、90后一代，則注定要在利益交錯(cuò)的隱秘江湖經(jīng)受法律、人性的多重考驗(yàn)。

因?yàn)椋谂c白的界限，有時(shí)并不那么清晰。

野路子

在圈外人面前，“珈藍(lán)夜宇”從不會(huì)主動(dòng)亮明身份。

年少氣盛時(shí)愛炫技，同學(xué)朋友得知他是黑客后，紛紛拋來各種不靠譜的“求助”：能不能刷點(diǎn)Q鉆？怎么追回被盜QQ？幫哥們兒查下女友的手機(jī)？做個(gè)木馬程序？……還有年長(zhǎng)的親戚打來電話：家里電器壞了，你能過來修一下嗎？

他好脾氣地重復(fù)解釋：我不會(huì)，或者，我不做違法的事。

“珈藍(lán)夜宇”有一張稚氣未脫的臉。他高二輟學(xué)，18歲工作，到今年剛滿20歲。我們初次見面時(shí)，他身體緊貼桌沿兒，像個(gè)靦腆的中學(xué)生。這與“珈藍(lán)夜宇”在黑客圈子里的活躍形成反差。在搜狗、京東、騰訊等大廠商SRC（Security Response Center，安全響應(yīng)中心） 上，他收獲過不錯(cuò)的戰(zhàn)績(jī)排名。前同事記得，他有一疊京東購物卡，都是挖漏洞時(shí)獲得的平臺(tái)獎(jiǎng)勵(lì)。大家每次購物前，都先來找他兌換。

說起來很有意思，“珈藍(lán)夜宇”鉆研黑客技術(shù)，最初只是為了做外掛。

讀初中時(shí)，他迷戀一款叫《地下城勇士》的網(wǎng)游，在一次被盜號(hào)后，憤而報(bào)了個(gè)在線的外掛班。學(xué)費(fèi)300元，是他半個(gè)月的生活費(fèi)。也算下了血本。

但是劇情在隨后發(fā)生轉(zhuǎn)折。因?yàn)樽鐾鈷鞄淼某删透校h(yuǎn)遠(yuǎn)高出升級(jí)打怪的快感，“網(wǎng)癮少年”迷上了黑客技術(shù)。他開始自學(xué)，狂啃《非安全》—一本介紹網(wǎng)絡(luò)技術(shù)安全的雜志，當(dāng)年售價(jià)29元。

很多80后、90后黑客都有相似的經(jīng)歷。伴隨個(gè)人PC機(jī)的興起，電腦雜志在潛移默化中影響了一批人。“白帽匯”聯(lián)合創(chuàng)始人鄧煥記得，他從同桌的一本《QQ技術(shù)寶典》開始，買過《黑客手冊(cè)》《黑客防線》《黑客x檔案》等一堆黑客雜志。剛開始像看天書，很多東西不懂，卻又覺得有意思，就硬著頭皮往下讀，慢慢理解漏洞成因。

此后便是實(shí)戰(zhàn)。

“珈藍(lán)夜宇”最早入侵過“卡盟”商城，一個(gè)虛擬物品交易平臺(tái)。他點(diǎn)擊右上角的管理員登陸，隨手輸入一個(gè)弱口令“admin”（超級(jí)管理員），進(jìn)去了。當(dāng)時(shí)很多網(wǎng)站默認(rèn)密碼是“admin”或123456，安全性相當(dāng)糟糕。

接下來的故事，就像一個(gè)貿(mào)然闖入別人家后花園的孩子，發(fā)現(xiàn)院子里沒人，便隨意采擷幾朵玫瑰，揚(yáng)長(zhǎng)而去。控制了管理員后臺(tái)，“珈藍(lán)夜宇”為自己和同學(xué)連續(xù)刷Q鉆，不花一分錢。更多同學(xué)找過來，他成了大家眼里的牛人。一種成就感暗自膨脹。

鄧煥也是成績(jī)斐然。初中時(shí)，就有人在QQ上加他，開價(jià)數(shù)十萬元，讓其從某央企辦公自動(dòng)化系統(tǒng)竊取財(cái)報(bào)。他承認(rèn)當(dāng)時(shí)很心動(dòng)，但隱約覺得不太正當(dāng)，便告知了父母。第一次的黑色誘惑被及時(shí)扼殺。

高中時(shí)，他測(cè)試過某政府部門的官方網(wǎng)站，檢測(cè)出多個(gè)漏洞后，發(fā)了一封郵件。對(duì)方的第一反應(yīng)竟然是：你怎么知道的郵箱？ 至于漏洞本身，網(wǎng)站管理者并不在意。

大學(xué)畢業(yè)前，湖南某知名企業(yè)招聘信息安全人員。鄧煥先測(cè)試了企業(yè)的官網(wǎng)然后滲透到內(nèi)網(wǎng)。發(fā)現(xiàn)系統(tǒng)漏洞后，他當(dāng)晚整理了一份報(bào)告發(fā)過去。第二天，公司便通知他去面試。雙方聊得不錯(cuò)，但最后被卡在學(xué)歷一項(xiàng)，據(jù)說集團(tuán)有統(tǒng)一要求，至少本科畢業(yè)。

鄧煥去了互聯(lián)網(wǎng)公司。互聯(lián)網(wǎng)圈向來是技術(shù)說話，不太在意學(xué)歷和專業(yè)。白帽子黑客確實(shí)大多“野路子出身”，靠興趣自學(xué)成才。比如在鄧煥前東家360公司的信息安全部負(fù)責(zé)人，大學(xué)讀的考古專業(yè)，黑客教父級(jí)人物TK（騰訊玄武實(shí)驗(yàn)室創(chuàng)建者于旸），曾是一名醫(yī)生。

相比之下，讀信息安全專業(yè)的鄧煥，已經(jīng)算準(zhǔn)科班出身。在24歲時(shí)，他升為補(bǔ)天漏洞響應(yīng)平臺(tái)的負(fù)責(zé)人之一。見過他的人說，鄧煥眉目清秀的臉上，掛著超越年齡的老練。

我問過“珈藍(lán)夜宇”，當(dāng)黑客什么時(shí)候最有成就感。他沒有絲毫猶豫：“挖一個(gè)影響特別大的漏洞。”

網(wǎng)上狩獵

“珈藍(lán)夜宇”迄今挖到的最大漏洞，是微軟“撞庫”。撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。

他斷斷續(xù)續(xù)挖了一周。每晚9點(diǎn)，從公司回到順義的出租房，第一件事便是打開筆記本上的掃描工具。每天要挖到凌晨三四點(diǎn)。如果當(dāng)晚一無所獲，總會(huì)忍不住沮喪，覺得時(shí)間白費(fèi)了。

就像直覺靈敏的獵人，一個(gè)晚上，他終于發(fā)現(xiàn)了獵物的行蹤—微軟系統(tǒng)存在“撞庫”風(fēng)險(xiǎn)。要知道，微軟隨便出一個(gè)可能被黑客攻擊的漏洞，影響都將是世界級(jí)的。比如最近在全球攻城略地的勒索病毒，便是寫照。

提交漏洞后，他很快收到微軟獎(jiǎng)勵(lì)的3000美元。國(guó)外大型互聯(lián)網(wǎng)公司如微軟、谷歌、Facebook等，都有相對(duì)成熟的SRC機(jī)制或者漏洞獎(jiǎng)計(jì)劃，鼓勵(lì)外部安全測(cè)試人員協(xié)助企業(yè)維護(hù)系統(tǒng)安全。

國(guó)內(nèi)從2012年開始，才出現(xiàn)第一家企業(yè)SRC，是騰訊公司自建平臺(tái)。阿里、百度、搜狗等互聯(lián)網(wǎng)公司隨后陸續(xù)設(shè)立SRC。

安全圈人士總結(jié)，正是有了SRC，國(guó)內(nèi)才出現(xiàn)白帽子的概念，越來越多的黑客可以通過“挖洞”技術(shù)，光明正大地獲取收入。

普通人想象中黑客個(gè)個(gè)身懷絕技，但實(shí)際中“挖洞”門檻極低。

鄧煥記得，五六年前，國(guó)內(nèi)對(duì)互聯(lián)網(wǎng)安全防護(hù)幾乎沒有概念。中國(guó)出現(xiàn)漏洞最高的網(wǎng)站是政府和高校。“當(dāng)時(shí)有多糟糕？隨便一個(gè)互聯(lián)網(wǎng)小白，拿著工具掃一掃，就能入侵幾個(gè)網(wǎng)站。”

網(wǎng)上有大量在行業(yè)內(nèi)被稱作“腳本小子、工具黨”的人。他們不懂漏洞原理，只會(huì)利用黑客工具，仍然收獲頗豐。

“珈藍(lán)夜宇”估計(jì)，會(huì)一點(diǎn)編程、會(huì)用黑客工具掃描漏洞的，月收入能達(dá)到上萬元。

他本人多是晚上兼職挖漏洞，最高月收入4萬元，僅在搜狗SRC上，他就挖出過包括輸入法在內(nèi)的四五十個(gè)漏洞，獲得獎(jiǎng)金近5萬元。一年下來，兼職收入10多萬元。

但他強(qiáng)調(diào)，只想賺錢的人，是學(xué)不好黑客技術(shù)的。

烏云網(wǎng)創(chuàng)始人方小頓曾說過，一名白帽子黑客，除了要在技術(shù)方面感興趣之外，另一點(diǎn)就是必須擁有一個(gè)正能量的理想。

理想這個(gè)東西，在80后一代黑客身上尤為明顯。鄧煥形容85前的黑客，是理想一代。他們處事低調(diào)，樂于分享和交流技術(shù)，挖洞不為錢，只是為了證明個(gè)人能力，從中獲得成就感。

雖然生于1990年，鄧煥從心理認(rèn)同上更接近80后。

“珈藍(lán)夜宇”是標(biāo)準(zhǔn)的95后，但他也看不慣年輕一代黑客的張揚(yáng)和浮躁。有人挖到一個(gè)漏洞，就在知乎上大說特說，展示攻擊日志。有不少人，挖洞只是為了錢或名。

他估計(jì)，國(guó)內(nèi)從業(yè)者至少數(shù)萬人，但頂級(jí)黑客應(yīng)該不足百人。他們或隱于江湖，在BAT身居要職；或開山立派，自己創(chuàng)業(yè)當(dāng)老板。

目前白帽子黑客群體的主力是90后。

“在岸邊走，盡量不靠河邊走”

網(wǎng)絡(luò)安全是雙刃劍，黑客很難做到百分之百清白。在解釋這句話前，鄧煥拋出一道選擇題：“白帽子在未通知對(duì)方的前提下做滲透測(cè)試提交漏洞，你覺得是合法的嗎？”

這正是行業(yè)一度面臨的窘境—法律界限模糊。眾測(cè)本身是一個(gè)比較模糊的概念，測(cè)試到哪一步就該喊停？具體獲取多少條數(shù)據(jù)既可以驗(yàn)證漏洞存在、又不至于違法？這些問題此前并未明確規(guī)定。

曾有某大型知名互聯(lián)網(wǎng)公司被烏云曝出數(shù)據(jù)泄露。但是圈內(nèi)人都知道，至少在半年前，該公司數(shù)據(jù)已經(jīng)在地下流傳，只是企業(yè)自身不知情。

鄧煥的合伙人、安全圈“帶頭大哥”級(jí)人物趙武，曾在個(gè)人微博中不點(diǎn)名地做出預(yù)警。對(duì)方?jīng)]反應(yīng)。

很多人會(huì)追問，為什么不主動(dòng)去提醒企業(yè)？

“如果我主動(dòng)找上門，說你家某某處有安全問題。你的第一感覺是什么？你會(huì)覺得我勒索你。”鄧煥苦笑。

白帽子黑客的顧慮不無道理。2015年底，青年袁煒在烏云平臺(tái)提交了世紀(jì)佳緣的系統(tǒng)漏洞。一個(gè)月后，世紀(jì)佳緣報(bào)警稱“網(wǎng)站數(shù)據(jù)被非法竊取”，袁煒遭逮捕。在圈內(nèi)人看來，袁煒找漏洞、提交漏洞的行為沒有越線，白帽子平時(shí)均是如此做測(cè)試。

這成了安全圈的一個(gè)標(biāo)志性事件。處于灰色地帶的白帽子黑客群體，開始重新審視法律邊界。

2016年7月，又一轉(zhuǎn)折性事件發(fā)生：中國(guó)最大的白帽子黑客聚集地—烏云網(wǎng)關(guān)閉，多名高管被警方帶走調(diào)查。

安全圈一片惶恐，特別是在烏云網(wǎng)排名靠前的黑客，幾乎陷入集體焦慮。鄧煥說，很多人都進(jìn)入“倒帶”狀態(tài)，回憶自己是否在不知情時(shí)踩線，是否碰過敏感數(shù)據(jù)。

有段時(shí)間，“珈藍(lán)夜宇”格外警惕，不再輕易對(duì)某些網(wǎng)站進(jìn)行測(cè)試，除非得到授權(quán)，“我怕被誤傷”。他為自己定的規(guī)矩是：在岸邊走，盡量不靠河邊走。

一些黑客團(tuán)體也會(huì)對(duì)成員提出明確要求：做測(cè)試一定需要公司授權(quán)。做遠(yuǎn)程評(píng)估滲透，必須拿到對(duì)方書面授權(quán)文件。

特別是今年6月1日以后，新施行的《網(wǎng)絡(luò)安全法》第二十六條已經(jīng)對(duì)白帽子黑客行為做出了明確界定：“開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。”

受烏云網(wǎng)事件的影響，部分企業(yè)安全人員有點(diǎn)郁悶。烏云鼎盛時(shí)，企業(yè)被曝光，就像經(jīng)歷了一次慌手慌腳的公關(guān)危機(jī)。部分企業(yè)由此開始重視網(wǎng)絡(luò)安全，招聘安全人員。“珈藍(lán)夜宇”一個(gè)朋友，便在那時(shí)入職一家小公司。剛開始，這個(gè)朋友特別受重視，公司每次產(chǎn)品會(huì)議都會(huì)叫上他；后來烏云倒了，沒人報(bào)（漏洞）了，他越來越邊緣，沒了會(huì)議通知，沒了安全要求，他只得乖乖走人。

快一年了，外界仍無烏云及其高管的最新消息。

一名圈內(nèi)人評(píng)論，烏云社區(qū)的存在有利有弊：它標(biāo)榜自由理想，匯集了一批熱愛技術(shù)的人，對(duì)安全行業(yè)做出了不可忽視的貢獻(xiàn)；但與此同時(shí)，這種漏洞公布方式，不能排除有搞黑產(chǎn)的人會(huì)混在里面，坐收漁利。

黑產(chǎn)的誘惑

圈子里總有人過段時(shí)間會(huì)莫名消失。直覺告訴“珈藍(lán)夜宇”，又有人去悶聲發(fā)大財(cái)了。

“大財(cái)”，即黑產(chǎn)。白帽子與黑產(chǎn)從業(yè)者都是“漏洞獵人”。不同的是，前者的獵物是漏洞本身，后者則圍獵企業(yè)和網(wǎng)民，靠洗劫攫取財(cái)富。在這類人眼中，技術(shù)或許只是讓銀行卡數(shù)字不斷變長(zhǎng)的魔法工具。

“珈藍(lán)夜宇”就在黑客技術(shù)交流論壇上，結(jié)識(shí)過一個(gè)網(wǎng)名“法師”的少年天才，技術(shù)特別厲害。兩人后來在一個(gè)朋友的聚會(huì)上還見過面，一起喝酒、唱歌。

但他最近一次見“法師”卻是在新聞?wù)掌稀?016年8月19日，山東準(zhǔn)大學(xué)生徐玉玉被一個(gè)詐騙電話騙走5000元學(xué)費(fèi)，18歲女孩絕望自殺，震驚全國(guó)。警方偵破案件時(shí)發(fā)現(xiàn)，一名不法黑客利用網(wǎng)站安全漏洞，侵入“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”，下載了60多萬條高考考生信息，并在網(wǎng)上非法出售，獲利5萬多元。這其中，就包括徐玉玉的個(gè)人信息。

“珈藍(lán)夜宇”發(fā)現(xiàn)，犯罪嫌疑人有點(diǎn)臉熟—正是“法師”本人。

一陣唏噓。

“珈藍(lán)夜宇”也遇到過黑產(chǎn)的誘惑，但自嘲“怕有錢沒命花”。

“我感覺他（“法師”）就是有錢沒命花的那種。”“珈藍(lán)夜宇”發(fā)現(xiàn)，黑產(chǎn)人員會(huì)從各大廠商的白帽子排行榜上挖人。對(duì)方上來就說，有新加坡、菲律賓的工作機(jī)會(huì)，年薪百萬，保證絕對(duì)安全。開出的條件里，還包括每天換模特女朋友。

這個(gè)待遇極具誘惑。畢竟，在國(guó)內(nèi)要做到大神級(jí)黑客，年收入才有可能達(dá)到百萬級(jí)別。

黑產(chǎn)從業(yè)者過著與白帽子截然不同的生活。鄧煥身邊有人炫耀，做黑產(chǎn)日收入幾萬元。有人開銷特別大，出去吃頓飯要好幾千，然后就是買各種豪車、奢侈品。但近年，國(guó)家越來越重視網(wǎng)絡(luò)安全，有不法黑客因多年前的案底被翻出來而鋃鐺入獄。“跟貪官一樣，有了第一次（受賄），覺得來錢特別容易，收手可就難了。”

有位“回歸”的朋友還告訴“珈藍(lán)夜宇”，出國(guó)后，“組織”會(huì)扣押護(hù)照，就像傳銷組織扣押身份證。

大型互聯(lián)網(wǎng)公司通常不會(huì)錄用背景不清楚或有過“污點(diǎn)”的安全研究人員。不知黑白是很可怕的事，有可能演變成企業(yè)危機(jī)公關(guān)。今年3月，央視報(bào)道稱，京東前員工鄭某鵬，被曝長(zhǎng)期與黑產(chǎn)團(tuán)伙勾連，從供職過的多家互聯(lián)網(wǎng)公司盜取個(gè)人信息，在網(wǎng)上售賣。

消息一出，很多用戶擔(dān)心個(gè)人信息被泄露，后來京東方面出來澄清，公司是在與騰訊聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動(dòng)中，發(fā)現(xiàn)該員工系黑產(chǎn)團(tuán)伙成員，并立即報(bào)警。“由于該員工入職時(shí)間不長(zhǎng)且權(quán)限不高，因此這批泄露的信息是否包含京東相關(guān)信息還有待查證。”

也有商業(yè)競(jìng)爭(zhēng)對(duì)手利用安全作文章。“白帽匯”服務(wù)過一家做2B業(yè)務(wù)的客戶，在拿下一輪融資的前幾天，該公司用戶數(shù)據(jù)批量被盜。入侵者群發(fā)郵件給每一個(gè)客戶，指出系統(tǒng)不安全，導(dǎo)致下一輪融資直接受到影響。

接手后，鄧煥和同事分析網(wǎng)絡(luò)日志，進(jìn)行溯源，結(jié)果發(fā)現(xiàn)系統(tǒng)安全存在漏洞，并被攻擊者拿來利用。聯(lián)想到攻擊的時(shí)間點(diǎn)非常關(guān)鍵，這家客戶推斷是某競(jìng)爭(zhēng)對(duì)手所為。

鄧煥入行七八年，聽過太多以安全為工具的商戰(zhàn)故事—有公司為搶客戶直接入侵競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù)庫，會(huì)把客戶資料偷過來，再逐個(gè)電話推廣。

這也是鄧煥選擇出來創(chuàng)業(yè)的一個(gè)原因：大量企業(yè)的“后花園”并不安全，“柵欄門”上需要加把鎖，將不速之客攔截在門外。他們要做的，便是為企業(yè)提供安全定制方案，并收集威脅情報(bào)，在事前、事中、事后提醒企業(yè)。

團(tuán)隊(duì)有一條業(yè)務(wù)線是臥底黑產(chǎn)。在互聯(lián)網(wǎng)上，QQ是黑產(chǎn)人員的聊天主要渠道。他們派人加進(jìn)群里，由系統(tǒng)監(jiān)控著幾百個(gè)黑產(chǎn)群，總?cè)藬?shù)達(dá)萬人。

黑產(chǎn)盯上誰、攻擊誰，想脫誰的數(shù)據(jù)、哪些企業(yè)的數(shù)據(jù)在地下正被販賣等，這些均構(gòu)成威脅信息的內(nèi)容。

不久前，他們發(fā)現(xiàn)QQ群里有人販賣某知名電商網(wǎng)站的最新訂單數(shù)據(jù)。鄧煥團(tuán)隊(duì)經(jīng)過初步印證，發(fā)現(xiàn)訂單真實(shí)存在。因?yàn)榕c網(wǎng)站安全負(fù)責(zé)人相識(shí)，他們便將這一情況直接告知對(duì)方。

得到授權(quán)后，他們作為企業(yè)與黑產(chǎn)的“接頭人”，幫對(duì)方買回一批數(shù)據(jù)，驗(yàn)證真?zhèn)危挪槌鰡栴}的環(huán)節(jié)。最后追蹤到，某分省一個(gè)快遞公司系統(tǒng)出現(xiàn)漏洞，導(dǎo)致客戶數(shù)據(jù)被賣。快遞公司連夜報(bào)警。

互聯(lián)網(wǎng)世界，數(shù)據(jù)成了被交易的商品。有的一條要一兩塊錢。早些年，花上三四百元，便能買整套身份證和銀行卡，全是別人的名字。即使現(xiàn)在，在QQ里還能搜得到。在百度網(wǎng)盤，輸入某些關(guān)鍵詞，可以搜出幾百萬條與個(gè)人信息相關(guān)的數(shù)據(jù)。

還有不法黑客，為了炫耀，會(huì)在某個(gè)網(wǎng)頁后面掛黑頁，留下自己QQ號(hào)。黑頁屬于網(wǎng)站二級(jí)目錄，需要管理員權(quán)限才能創(chuàng)建。白帽匯監(jiān)控到，會(huì)將信息輸送給企業(yè)。

對(duì)安全敏感的企業(yè)越來越多“。珈藍(lán)夜宇”有次開著掃描器，邊掃描，邊瀏覽知乎網(wǎng)頁。次日，知乎技術(shù)人員看到攻擊日志，便根據(jù)ID找過來，委婉地說，公司正在招聘安全人員。而在五六年前，白帽子提交漏洞，或主動(dòng)聯(lián)系廠商，通常別人理都不理。

網(wǎng)絡(luò)安全的劍與盾

在望京一處快餐廳結(jié)賬時(shí)，“珈藍(lán)夜宇”很認(rèn)真地盯著小票嘀咕：“說發(fā)短信通知，可我不是會(huì)員，他們?cè)趺粗牢业氖謾C(jī)號(hào)？”

直到我確信是他誤解了字面意思，他才將注意力轉(zhuǎn)移到食物本身。

安全圈的人都敏感。他們比誰都了解，當(dāng)下信息泄露成本之低。鄧煥發(fā)現(xiàn)，自己遭遇信息泄漏，也只能抱怨一句：又被賣了，“個(gè)人信息沒被泄漏出去才厲害”。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)數(shù)據(jù)報(bào)告指出，78.2%的網(wǎng)民個(gè)人身份信息被泄露過，63.4%的網(wǎng)民個(gè)人網(wǎng)上活動(dòng)信息被泄露過。曾有媒體報(bào)道，在黑產(chǎn)群里，700元就能買到一個(gè)人的行蹤，包括開房、乘機(jī)、上網(wǎng)吧等11項(xiàng)記錄。而獲取這些信息，僅需提供一個(gè)手機(jī)號(hào)碼。

安全圈對(duì)此早就司空見慣。鄧煥訂外賣，從來不用實(shí)名和個(gè)人手機(jī)號(hào)。他周圍很多人都用“阿里小號(hào)”，與實(shí)體SIM卡綁定，在訂餐、網(wǎng)站注冊(cè)、購物時(shí)，App會(huì)自動(dòng)生成另一串電話號(hào)碼，顯示到對(duì)方平臺(tái)上。

鄧煥本人對(duì)實(shí)名制的態(tài)度極為謹(jǐn)慎：要求互聯(lián)網(wǎng)實(shí)名制，一定是建立在系統(tǒng)安全或能保護(hù)好公民隱私的前提下。一旦信息泄漏，影響惡劣。比如韓國(guó)要求公民上網(wǎng)需接入個(gè)人信息，但卻發(fā)生了數(shù)據(jù)庫泄漏事件，導(dǎo)致全國(guó)公民信息都有可能被脫了庫。國(guó)內(nèi)也發(fā)生過因?yàn)樯绫Ｏ到y(tǒng)漏洞，多省公民社保信息被泄漏的事件。遇到網(wǎng)站注冊(cè)時(shí)要輸身份證號(hào)的，除非BAT這種，其他鄧煥情愿放棄注冊(cè)。

而“珈藍(lán)夜宇”的敏感，更多是在拆快遞時(shí)的強(qiáng)迫癥。他一定要把快遞單據(jù)撕碎，實(shí)在撕不下的，就拿小刀劃爛，再扔掉。他從不用公共Wi-Fi，也不會(huì)為了領(lǐng)取廉價(jià)小禮品，而用手機(jī)掃一掃或注冊(cè)某些亂七八糟的網(wǎng)站。

今年6月1日起施行的《網(wǎng)絡(luò)安全法》，或許某種程度上可以降低個(gè)人信息被泄露的概率。該法第四十二條明確了運(yùn)營(yíng)者的責(zé)任：“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。”否則，輕者被警告罰款，“情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照”。

一把高懸的達(dá)摩克里斯之劍。

這也意味著，發(fā)現(xiàn)網(wǎng)絡(luò)漏洞或網(wǎng)站被黑以后，企業(yè)不能再不了了之。對(duì)于中國(guó)互聯(lián)網(wǎng)的安全來說，這部法律的實(shí)施不啻為一個(gè)良好的開端。

鄧煥覺得，對(duì)白帽子黑客而言，這或許也是件好事。