張梅告訴華商報記者，在賈偉被警方帶走后，她曾在多地咨詢法官、律師，不少人認為，賈偉的被抓與京東商城工作人員的“釣魚式”誘導有關。

2012年2月7日下午，華商報記者前往北京朝陽區京東商城總部進行求證，京東商城相關工作人員婉拒采訪，并稱“京東商城將尊重司法機關的調查結果，在司法部門還沒有最后定論之前，不便做任何回應”。

該工作人員認為，京東泄密事件，京東商城才是最大的受害者。被媒體披露出安全漏洞后，已經給京東的信譽造成了不可挽回的損失。

以技術漏洞為由索“勞務費”涉嫌犯罪

2月7日下午，華商報記者趕赴北京市公安局了解情況，北京市公安局以“未對外發布案件不能接受采訪”為由，婉拒了記者的詢問。記者輾轉聯系到了當地一位法官，這位不愿透露姓名的法官從法學角度分析認為：“勞務報酬應該是在雙方自愿的前提下達成的，而此案中，當事人賈某的行為存在著明顯的不良動機，并暗示京東商城有人來購買他們的數據信息，有脅迫嫌疑。從法學角度，本案只是當事人責任大還是小的問題，并不是完全沒有責任。”中國政法大學法學副教授、著名網絡名人吳丹紅在接受記者采訪時也認為，賈偉的行為已構成了“敲詐勒索”，不屬于正常的索要報酬，一天一萬早已超出正常勞動報酬范圍;使用的手段是暗示，試圖讓對方就范，但屬于未遂。吳丹紅說，敲詐勒索罪是指以非法占有為目的，對被害人使用威脅或要挾的方法，強行索要公私財物的行為。威脅，是指以惡的后果通告給被害人，迫使被害人處分財產，即如果不按照行為人的要求處分財產，就會在將來的某個時間遭受惡害。威脅內容的種類沒有限制，包括對被害人及其親屬的生命、身體自由、名譽等進行威脅，威脅行為只要足以使他人產生恐懼心理即可，不要求現實上使被害人產生了恐懼心理。本案中，賈明確知道如果數據泄露將帶給京東商城的危害，但他仍暗示了對方泄密可能性的存在，包括數據庫被購買諸如此類的泄密，讓對方產生心理恐懼，然后兩害相權取其輕，進而讓京東滿足自己240萬元勞務費的要求。“敲詐勒索的行為只有數額較大時，才構成犯罪。但是240萬元的話，明顯已經涉嫌犯罪，但好在犯罪未遂，情節上也比較輕微。”吳丹紅說。那么京東商城在本案中有無責任呢?吳丹紅說，京東商城在本案中沒有明顯責任，它的責任是針對消費者而言的。如果用戶信息泄露，那么必須向消費者負責。

這起案子給了中國“黑客”們一個法律上的警示，而“黑客”們的攻擊或盜取信息往往有千奇百怪的理由。賈偉還算理智，沒有給京東商城造成數據泄露的實質傷害，但網上的其他“黑客”顯然不這樣認為。

中國“黑客”產業鏈價值上百億

在2011年底的那場有史以來中國互聯網最大的泄密事件中，全國同時被抓的有四個人，賈偉只是其中之一。但賈偉的特殊性在于，他只是發現了漏洞，并沒有通過黑客手段盜取信息或攻擊該網站，牟取非法收益。

根據國家互聯網應急中心(CNCERT)統計，截至2011年12月29日，CNCERT通過公開渠道獲得疑似泄露的數據庫26個，涉及賬號、密碼2.78億條。其中，具有與網站、論壇相關聯信息的數據庫有12個，涉及數據1.36億條;無法判斷網站、論壇關聯性的數據庫有14個，涉及數據1.42億條。

2012年1月10日，國家互聯網信息辦通報了一批互聯網信息泄密事件，查處入侵、竊取、倒賣數據案件9起，編造并炒作信息泄露案件3起，刑事拘留4人，治安處罰8人。

這些案例的共性為：編造或炒作網站用戶信息被大規模泄露消息，既有出于個人炫耀或騙取錢財 的目的，也有一些網絡安全公司想以此提高知名度、推銷產品，甚至有人純粹是搗亂，以借機干擾微博實名注冊工作。

實際上，2011年網絡數據大規模泄密并非偶然。拿最早被爆出用戶數據泄密的CSDN網來說，該網站有100臺服務器，卻只有3名維護運營人員。

現實中，國內網站競爭激烈，很多企業都把大部分精力放在發展業務上，在安全防護上投入很少或無力投入。天融信高級安全顧問呂延輝認為，在缺乏整體防護措施或安全意識淡薄的情況下，泄密事件的發生只是“時間問題”。

沒有一種技術或產品能夠解決所有安全問題，在有限投入情況下，安全的防護水平必然也是有限的，安全風險或隱患的存在也成為了一種必然。

而在10年前，中國互聯網剛剛興起時，“黑客”還十分神秘，但如今，但凡有些互聯網知識的人，都可利用各種工具輕而易舉地成為“黑客”的一員。

因此，中國實際上已成為世界最大的“黑客”交易市場之一。據媒體報道，不同“黑客”組織實際掌握的用戶數據庫規模應該遠大于1億條，目前中國“黑客”的黑色產業鏈規模價值已達上百億元。

“你的數據是怎么保存的，誰能獲得它?”

“中國80%的網站都存在漏洞。”CSDN網(全球最大的中文IT社區)總經理蔣濤對華商報記者說。實際上，這一數據還只是蔣濤的保守估計。事實上，國內互聯網在安全方面一直較為忽視。2005年，CSDN與國外一家公司談投資合作，對方的第一個問題就讓蔣濤始料不及，“你的數據是怎么保存的，誰能獲得它?”

實際上，此前CSDN的網站密碼采取的都是明文存儲的密碼，非常容易被破譯。如在2011年的微博上，就有很多網友破譯出一些網站的明文存儲密碼，多為朗朗上口的唐詩，如：“飛流直下三千尺”、“床前明月光”等。

CSDN 在用戶數據泄露后，坦承并馬上修補了網站本身存在的漏洞，但一些存在漏洞未被曝光的網站似乎至今缺乏警惕性。

而幾乎與互聯網伴生的網絡“黑客”們，部分不良分子的主要工作就是尋找這些漏洞實施攻擊，或為名炫耀技術，或為利盜賣數據。互聯網的隱身性幾乎為他們提供了天然隱蔽。這些人大多都有自己的工作，白天是白領，甚至職業和IT毫無關系，但是晚上一轉身就是“黑客”。他們在網上沒有上級，大多數行為都是個人行為，但是這樣零散的個人行為帶給各個網站的卻可能是滅頂之災。

“所以，我們目前需要一個平臺，有人發現了問題，可以去和各大網站溝通。避免再有‘我心飛翔’(賈偉)這樣的事件發生。”游俠安全網創始人張百川表示。他說，目前雖然國家有一個網絡漏洞庫，但因為官方平臺較為刻板，很難吸引圈內人士關注。

2012年1月4日，張百川在其網站上發布了新浪微博的漏洞：新浪iask站點存在SQL注入漏洞，利用該漏洞可以讀取iask數據庫內容，并利用該漏洞成功登錄了魔術師劉謙的微博進行驗證。

該帖子稱，該漏洞涉及到包括明文密碼在內的7000多萬新浪用戶信息。新浪iask官方微博對此回應，在發現該漏洞后已立即進行緊急修復，受影響的賬號在30萬左右。

在互聯網信息大泄露事件中，張百川此舉無疑是個人維護網絡信息安全的一個正面典型。

有小網站甚至每月給“黑客”交“保護費”

“新浪和‘黑客’在溝通上就非常好，回應很積極。逢年過節，新浪還會寄給這些圈內朋友一些小禮物表示感謝，這樣下次誰發現了新浪的漏洞，肯定是第一時間通知新浪，挽回新浪的損失。而像京東商城這次的事件，雖然賈偉有錯在先，但是支付一定勞務費也可以說得過去。京東商城報警抓人，圈里人認為有點欠厚道，畢竟誰也不能保證自己永遠沒有漏洞，有事好商量嘛。”張百川說。

實際上從2011年8月起，工業和信息化部通信保障局就啟動了增值電信業務和互聯網域名服務安全防護試點工作。試點以信息服務(含門戶、搜索、微博、即時通訊、電子商務、移動信息服務等)、數據中心、域名解析服務等業務類型為重點，選取了百度、騰訊、新浪、淘寶、萬網、空中網六家有代表性的企業參加。

試點的作用在于，在國家指導試點企業做好安全自查的基礎上，組織專業力量對試點企業的網絡安全防護、防護效果和隱患風險進行評估，要求對應級別的網站必須有對應的安全措施。

對此張百川個人認為難度太大，操作性不強。主要原因是：大多數互聯網公司財力和人力都很短缺，發展業務掙錢仍是第一要務，而試點能進行到哪一步，目前還是未知數。

現實世界中，一些公司存在僥幸心理，認為漏洞沒被“黑客”發現就不存在，即使被發現了也死不承認，私下修補以免影響聲譽。一些大互聯網企業則“招安”黑客，將之納入麾下，有的小網站甚至每月給“黑客”上交1萬元到2萬元的“保護費”。

而吳丹紅認為，目前雖然針對互聯網安全的立法很多，但法律規定分散交叉、立法層級不高，缺乏一部專門的綜合性信息安全法來規范網絡行為，明確用戶、企業等相關方面的責任義務。

因此，防止網絡信息泄露還得靠行業自律，行業應該自發組織起一個網站和公民個人溝通的安全平臺，大家一起維護網絡安全免遭惡意侵害。

2月初，失去自由一個多月的賈偉終于被取保獲釋，暫時未被追究進一步責任。這起因安全漏洞而起的“敲詐事件”暫時平息。對雙方來說，這是一個不算太壞的結局。