前两天在不少黑客群中传炸了的京东12G用户数据库下载分享，让社工库（“社工”的意思是社会工程，在黑客圈指一种黑客攻击以获取情报和信息的方法）再次强大了一波。

这段时间黑市上出现重磅“炸弹”，一个12G的数据包开始流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。

这12G的数据包，让整个黑产圈子再次被搅动。

一些地下渠道，开始对数据进行明码标价交易，价格从“10万到70万”不等。

12月10日，在有关媒体曝光了这个数据包的源头来自京东，而且该数据包随着消息的传播，在黑市上卖的越来越火。

京东在当日凌晨于新浪微博发布声明，并未否认这些数据来自京东。但是强调源于此源于2013年的一次安全漏洞。

在整篇声明中，京东既没有给用户提供任何可行的技术手段补救措施，也没承认自己在事件中有责任，反而把责任完全推到”用户要提高安全意识“上，确实是打的一手好太极。

那么，这么大规模的数据泄密，京东是不是应该负责任呢？

“数据外泄的时间已比较长了，至于为何现在又流通，原因未明，”业内人士透露，暂且很难确认是“内鬼”还是“黑客盗取”。

而据匿名网友爆料，受此事件影响，京东的整个安全部门被开除。

事实上，当黑客得到这样大规模的泄密帐号源时，会先进行洗库，登录账户，将有价值的内容清洗一遍，比如登录游戏账户，将虚拟币转走，登陆QQ账户，把Q币转走。一般这个清洗过程，就需要几个月甚至更长时间。

一般来说，要经过两次“洗库”，把这部分油水最大而且最容易获取的利益拿到手之后，这些人才会将数据出售。“数据价值榨取殆尽了，再给市面上的人来分渣”。

据记者在其中选取一部分进行试验，登陆之后，用户在京东上的订单、地址、交易等信息都一览无遗。

“黑客拿到这些数据，还可进行撞库操作”，业内人士称。

所谓“撞库”，是一个黑产的专业术语。就是黑客会通过已泄露的用户名和密码，尝试批量登录其他网站，获取数据。

这就是人类设计密码的缺陷，大部分人为了记得住，都会用同一个用户名和密码，导致撞库成功率极高。伤害值最高最直接的，就是撞进一些金融账户，直接将资金转走。

在撞库这个阶段，一般来说也都是一拨人在操作，或者是在黑客圈子里小规模的交易，很难为更大范围的社会公众所知。

而等撞库这一波也基本完成，这些数据的价值已经被榨取的七七八八，黑客产业链里的”食肉动物“就基本撤出这场盛宴。

黑客产业的链条结构，就有些类似于非洲大草原上的一场狩猎

而把这些数据大规模近乎公开地叫卖时，引来的大都是一些网络及电话诈骗团伙，传销组织，乃至电话推销等业务中需要公民身份信息的企业。

他们在食物链里扮演的是类似于食腐动物的角色，并不在乎自己拿到的数据已经过了几遍手，只要一百条里有一条是有价值的，他们就很满意了。

这整个过程就有点像非洲大草原上围猎野牛，狮子吃饱喝足，才轮到鬣狗大快朵盈，最后骨头上剩的一点碎肉，也会被秃鹰打扫得干干净净。

我们打开百度搜索一下“隐私泄露”，就能找到将近40万条链接。

而就在这几天，大学声在”每日资讯“栏目中也曾报道过，国家电网也爆出了用户信息泄密的消息，与其旗下的官方APP掌上电力、电e宝有关，知情人士称规模超过千万级，并流入网络渠道成为牟利黑产。

而在国家电网针对此事发表的公开声明中，表示：掌上电力、电e宝APP及相关信息系统无批量导出功能，无渠道可获取批量客户信息。

声明中还强调，国电公司高度重视客户个人信息的保护，建立了严格的客户信息安全保护制度，在技术手段和业务管理方面进行严密防控，并主动向公安部门申请安全防护检查。

但据揭露此事的21世纪经济报道的说法，此事和国电公司依靠各地分公司推广自己的APP：掌上电力”有关。

“掌上电力开始面向消费者推广时，淘宝上就开始出现了大量提供‘掌上电力绑定’服务的店铺，他们给各省电力公司提供关注、注册、绑定等服务，为各省的掌上电力迅速增加‘用户量’。”

“大量的数据从各地供电公司流入淘宝，然后从淘宝店铺倒卖至黑产。”

由于推广“掌上电力”APP的数据和效果，和各地电力分公司的业绩紧密挂钩，而这些国企员工实际上并不具备进行互联网推广的能力和经验，所以他们完全有动力去和这些淘宝店主合谋，利用手里的用户数据去“做业绩”。

虽然国家电力方面表示，9号就已经向淘宝举报要求停止这些业务的销售，但直至12月12日下午，这些销售““掌上电力注册绑定”的商家才纷纷被下架。

对于大学生来说关系更加紧密的学生信息，近年以来也是信息泄露的重灾区。

今年8月份，还未迈入大学的山东临沂女孩徐玉玉遭遇电信诈骗，伤心离世的事件曾经震惊全国，大学声当时也曾经对事情背景进行了报道：

《女生大学学费被骗走伤心离世，电信诈骗横行背后黑手是谁？》

而事件发生后，公安机关进行调查时发现，整个山东2016年高考全部考生的资料都被泄露，共计60多万条，而黑客从这笔交易中获利5万元。

而当购买这些资料的骗子被公安机关抓获后，接受采访时，被问到为什么会挑选学生作为诈骗目标，他的回答是：“学生的信息最便宜，成本最低”。

教育系统的各级学校，考试机构，以及教育主管部门，包括各级高校，都掌握着大量的学生资料，但他们缺乏足够的高素质技术人员，为其进行数据安全防护工作。

相比于京东，阿里这样拥有专门安全部门的企业，这些教育数据的获取成本明显要更低，很多时候一个对于黑客技术水平并不高的年轻黑客，也能单枪匹马搞定。

这次山东高考考生数据泄露案件，盗取数据的四川黑客杜天禹就才刚刚18岁，初中二年级就退学了，他的黑客技术还是在网吧打游戏时逐渐接触到自学来的。

就这样一位显然称不上高明的新手小偷，就能拿到全省数十万考生的信息，可见他所偷盗的对象安全防护是多么薄弱。

对于黑客产业，我们公众所知的完全是冰山一角。

还有多少我们未知的信息买卖正在进行；多少大学生的资料正在黑产的不同链条之间贩卖；其中是否包括你的信息，这些我们都完全不得而知。

对于大学生来说，怎么知道自己的信息是否被泄漏了呢？

关于这个问题，陈大夫专门咨询了对于信息安全技术比较内行的同学。

而保护个人信息的最基本的一件事，就是先去改个密码。

这里所改的密码不仅仅京东的密码。真正应该改的是的是与之相关的密码。

QQ、微信、支付宝，邮箱等等，最好是几套完全不同的密码。

但这时也会遇到一个问题：很多人的记忆力非常有限，能够长期记住的就是那么一两个常用的密码，如果每个APP和网站都单独设置一个复杂密码，不久就会发现自己什么东西都上不去了。

像陈大夫这样，换了个手机号以后半年才能记得自己的号码是什么的脑残儿童，更是为这个问题而苦恼了好多年。

在这里，陈大夫也从专家那里问到了一个特别傻瓜的解决方法：

用几句你非常熟悉的唐诗/宋词 的首字母+对你比较有意义的数字

比如用“北国风光，千里冰封，万里雪飘."  

构建出的密码就是：BGFGQLBFWLXP890719。

如果你再想进行进一步处理，还可以把上面的字符串进行倒写，或者其他变形。还可以按照不同的网站密码要求来更换前面用的诗。

但实际上，这个密码的安全性已经比用你的名字，电话号码，生日排列组合形成的任何密码要高，而且基本超过了大部分黑客依靠代码脚本进行密码撞库，能够攻破的水平。

而且只要你还记得这首毛主席诗词，就不会像随便找一个密码一样很快被忘掉。

如果你还担心记不住的话，也可以在自己的手机记事本里把网站和你选的诗词对应记录，比直接明文记录用户名密码的风险要小很多。

大概画风是这样的：

支付宝 两个黄鹂鸣翠柳,一行白鹭上青天；

微信 先天下之忧而忧，后天下之乐而乐；

京东 两岸猿声啼不住，轻舟已过万重山；

网易 别有幽愁暗恨生，此时无声胜有声

恐怕即使黑客获取了你这段文字，也不一定能弄明白这是啥意思，不会所有密码被一网打尽。

当然，这属于一个比较简单的土办法，还有更技术的解决方案：

苹果用户可以使用1PassWord软件（现在手机版免费了，之前收费比较贵）记录密码和生成密码。

安卓用户可以使用Xykey记录密码和生成密码（免费且不联网）。

WP用户可以使用自带的密码管理器。

如果你还知道其他的关于大学生保护个人信息的技巧，也欢迎在评论区分享给大家，如果你觉得你的方法很实用有效，也可以写成文章投稿给大学声。