要上网就别想要隐私

之前博客域名被盗，找回来之后我写了篇文章，没想到很快排在了 Google 搜索『godaddy 域名被盗』的第一位，于是，许多同样域名被盗的站长通过文章找到了我，看起来这波域名被盗的不在少数，而博友善用佳软的博客域名则是第二次被盗，有网友爆料说，某 DNS 服务商和国内几个大的域名注册商几乎沦陷，看来互联网安全，是一个伪命题。这里转一篇白帽子道哥的文章，希望对你有所帮助。

你的帐号是如何泄密的

最近在网上传出腾讯有7000万的QQ群关系数据泄露，里面涉及到用户的QQ号、备注里有很多用户的姓名、年龄、社会关系等个人隐私信息。腾讯方面则表示这是在2011年就已经处理过的事件。

与此类似的，最近还发现有一批黑客在攻击DNS托管商的帐号，盗取了一个用户的帐号后，进去为用户的网站添加一个泛域名解析，比如：

「*.xxx.com」

这样用户访问错误二级域名的闲散流量就被黑客都收集走了。黑客会用这些闲散流量来刷搜索引擎排名，所以一些排名高的站点的DNS服务帐号是主要攻击目标。

有在DNS托管商工作的朋友找到我，让我帮忙查一下这个事情。

我发现这批黑客用的手法是「扫号」，或「撞库」。利用的是以前互联网上泄露的一些大网站的数据库，特别是包含了明文密码的数据库，对第三方网站进行扫号。而这次这家DNS托管商的朋友遇到黑客，用的还是几年前CSDN泄露的那一批明文密码。时隔这么多年，竟然还这么有效，让我也颇为吃惊。

淘宝也曾经遭遇过「扫号」的攻击。那是在CSDN数据库泄露一年后，当时互联网的几大巨头或多或少都遇到了，互相之间也提醒了一下。淘宝遇到的「扫号」问题，是DBA最先发现的。当时发现缓存的命中率变低了，数据库负载增高，然后查问题一路查出来原来是扫号。查了下数据，都是CSDN泄露的数据库里的。

如何保护个人隐私

所以现在密码已经完全不可靠了。很多朋友问我上网时如何保护个人隐私，我有时候觉得很无奈。

我觉得保护个人信息完全不泄露是不太现实的，还是重点考虑一下如何把信息泄露后的损失降到最低。

就我个人而言，我一直是抱着「不信任」的态度登录大部分的网站。每次在网站注册时，我会选用一个最随意的密码，并且抱着「密码随时会泄露」的心态使用网站提供的服务。这样的网站帐号丢了也不心疼，有心理准备。果然后来我的这个「随意」的密码在很多被黑客攻击而泄露的数据库里都能查到，但因为我知道这个帐号是不重要的，所以心里有数，也不心慌，也懒得修改。

对于另外一些比较重要的服务，则只选用最好的公司提供的服务，并使用一个较为复杂的密码。

前些时遇到UCloud的季昕华，他说他的办法是从来不在网上留电话。我当时就震惊了，这是咋做到的？他说他只在支付宝和腾讯留了电话。在腾讯留是因为腾讯安全以前是他自己做的，他心里有数；在支付宝留是因为我在阿里，所以他放心；其他地方则一概不留。这马屁当时拍的我太舒爽了。但我自己其实心里很清楚，安全只是相对的。正如本文一开始提到的腾讯泄露的7000万数据一样，越大的公司，安全越难做。

后记

1.本文来源于道哥的黑板报，原文标题叫做『以必死的决心上网』，道哥是一个走在创业道路上的文艺白帽子，所谓白帽子，是指正面的黑客。

2.个人更为担心的是一些云端服务，比如现在的智能手机，大多提供云备份服务，比如你小米手机，那么你的通信录、短信等就会备份到i.xiaomi.com，如果你使用 Google 的服务，那么就会备份到Google ，如果使用 QQ 同步助手，就会同步到 ic.qq.com，这个一旦泄露，造成的影响和损失恐怕是难以估量的，我的做法是，同步过后，就去云端删除全部数据，只有等到下一次需要换手机的时候才重新备份和同步。