15
2015年,從某易郵箱到某榴社區,無數平臺的用戶信息遭到泄露。由于很多人在不同平臺的注冊名和密碼都是一樣的,所以不法黑客們會用這些已經泄露的信息去嘗試登陸其他平臺,這種行為被稱為“撞庫”。
來自四面八方的泄露信息不斷被黑色產業匯集,然后進行撞庫,雪球越滾越大。借助撞庫,黑產的觸角從一些普通的技術、社交平臺,逐漸蔓延到資金和敏感信息密集的平臺。無論從哪個角度來看,樹大招風的阿里巴巴都難逃一劫。
威脅情報平臺NOSEC的創始人趙武描述了這樣一個“劇本”:
A君對全網進行掃描,得到了諸多用戶信息,轉賣給B;
B君用C君的信息進行了撞庫;
B君得到了C君在Y企業的帳號密碼;
Y企業表示很冤枉。
這種躺槍的場景,是互聯網安全行業屢屢上演的“樣板戲”。2月初,警方根據阿里巴巴的報案,抓獲了對阿里巴巴進行“撞庫”的犯罪團伙。讓人不寒而栗的是,不法黑客們手里居然有將近1億個賬戶信息,其中有2059萬的用戶名和淘寶用戶名匹配。
【從撞庫的數據來看,其中有約一半為網易郵箱的用戶】
某安全從業人員分析說:
即使阿里巴巴把用戶信息保護做得天衣無縫,它也無法完全規避用戶信息泄露。因為這些信息很可能是從和阿里沒有一點關系的平臺泄露出去的。
曝光之后,阿里巴巴緊急澄清,表示這2059萬用戶信息的大部分撞庫行為都被攔截了。雖然阿里巴巴并沒有給出成功攔截的具體數量,但是目前沒有大規模的用戶損失被爆出。然而,阿里巴巴通過技術手段組織了黑客的惡意撞庫行為,并不表明黑客手中的用戶資料有錯誤。也就是說,這2059萬真實用戶信息的一部分,已經流落到了黑色產業之中。
阿里巴巴表示,對于被撞庫的賬號用戶,已第一時間進行安全提示和密碼修改提醒,并采取臨時保護措施,直至用戶完成密碼修改。
這次風波看似過去,但事實上你身邊的信息泄露,比想象中更嚴重。有數據顯示,目前中國的賬戶信息泄露已經累計超過十億個。這十億個賬戶,隨時會卷土重來,沖擊“阿里巴巴們”的防線。
為了安全起見,童鞋們還是要管好自己的密碼。在腦力允許的情況下,盡可能在不同的平臺使用不同的用戶名和密碼。另外,在過年給自己買新衣服的同時,也順便換一個新密碼吧。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
