2015年，从某易邮箱到某榴社区，无数平台的用户信息遭到泄露。由于很多人在不同平台的注册名和密码都是一样的，所以不法黑客们会用这些已经泄露的信息去尝试登陆其他平台，这种行为被称为“撞库”。

来自四面八方的泄露信息不断被黑色产业汇集，然后进行撞库，雪球越滚越大。借助撞库，黑产的触角从一些普通的技术、社交平台，逐渐蔓延到资金和敏感信息密集的平台。无论从哪个角度来看，树大招风的阿里巴巴都难逃一劫。

威胁情报平台NOSEC的创始人赵武描述了这样一个“剧本”：

A君对全网进行扫描，得到了诸多用户信息，转卖给B；

B君用C君的信息进行了撞库；

B君得到了C君在Y企业的帐号密码；

Y企业表示很冤枉。

这种躺枪的场景，是互联网安全行业屡屡上演的“样板戏”。2月初，警方根据阿里巴巴的报案，抓获了对阿里巴巴进行“撞库”的犯罪团伙。让人不寒而栗的是，不法黑客们手里居然有将近1亿个账户信息，其中有2059万的用户名和 *** 用户名匹配。

【从撞库的数据来看，其中有约一半为网易邮箱的用户】

某安全从业人员分析说：

即使阿里巴巴把用户信息保护做得天衣无缝，它也无法完全规避用户信息泄露。因为这些信息很可能是从和阿里没有一点关系的平台泄露出去的。

曝光之后，阿里巴巴紧急澄清，表示这2059万用户信息的大部分撞库行为都被拦截了。虽然阿里巴巴并没有给出成功拦截的具体数量，但是目前没有大规模的用户损失被爆出。然而，阿里巴巴通过技术手段组织了黑客的恶意撞库行为，并不表明黑客手中的用户资料有错误。也就是说，这2059万真实用户信息的一部分，已经流落到了黑色产业之中。

阿里巴巴表示，对于被撞库的账号用户，已之一时间进行安全提示和密码修改提醒，并采取临时保护措施，直至用户完成密码修改。

这次风波看似过去，但事实上你身边的信息泄露，比想象中更严重。有数据显示，目前中国的账户信息泄露已经累计超过十亿个。这十亿个账户，随时会卷土重来，冲击“阿里巴巴们”的防线。

为了安全起见，童鞋们还是要管好自己的密码。在脑力允许的情况下，尽可能在不同的平台使用不同的用户名和密码。另外，在过年给自己买新衣服的同时，也顺便换一个新密码吧。