拖庫

拖庫（拼音：tuō kù；英文：Drag）；拖庫一詞多用於數據庫程序員專業人士使用，語意：從數據庫導出數據。很多時候數據庫的資料需要導出來在別的地方使用，並且數據庫資料可以導出好幾種格式，例如：TXT，XLS等格式。 ^[1] 

根據2011年12月21日媒體報道，多家互聯網站被黑客公開用户數據庫，超過5000萬個用户賬號和密碼在網上流傳。2011年12月21日，某專業網站數據庫開始在網上被瘋狂轉發，包括600餘萬個明文的註冊郵箱和密碼泄露，大批受影響用户為此連夜修改密碼。此後，178遊戲網等5家網站用户數據庫又相繼公開，更有媒體曝光金山毒霸等數十家大型網站已遭黑客“拖庫”，從而將2011年末的密碼危機推向高峯。

2011年12月21日有黑客在網上公開提供CSDN網站用户數據庫下載後，包括人人網、貓撲、多玩等在內的網站部分用户數據庫也被傳到網上供用户下載。預計泄露網站數據庫的行為可能會引發連鎖效應，更多網站的數據會被黑客放出。之前這類數據庫通過網絡地下交易，這些黑客可以取得收益。但由於很多用户的用户名及密碼在各網站幾乎一樣，有黑客將某網站數據庫放出後，其他黑客手裏的數據庫就沒有價值。有些黑客出於各種目的，會放出其它網站的數據庫，由此引發連鎖效應。網站不可能100%安全，對於有技術能力的人，登陸相關網站時，密碼並不是唯一的。但是在有黑客放出網站的用户數據庫信息後，沒有技術能力的人，可能會對網站及其他用户產生很大的破壞性。同時，由於很多用户的用户名和密碼大多一致，有可能會被這些人來刷其它網站的庫，產生的影響會更大。如果要改變這個局勢，網站需要強制所有用户更換他們的密碼，並且採取獨特的加密方式，以避免用户信息再次被泄露。據稱，很多網站並沒有保護用户信息安全的意識，用户的數據信息在數據庫裏沒有任何保護。相關網站能夠加強安全意識，從軟硬件多方面強化信息保護。Goodwell對搜狐IT稱，最徹底的保護方面，是更改網站靜態密碼的機制並在MD5基礎上使用自己獨有的加密函數等方法，同時及時修補系統漏洞。

隨着網站及微博實名制規定的陸續出台，如果在實名制的網站出現用户數據泄露事件，將會產生更惡劣的影響。在實名制前提下，主管部門及網站應該出台相應的標準及保護機制，以安全地保護用户的隱私。如果在推動實名制而安全保護機制無法跟上的情況下導致信息泄露，會使用户對網站及機構產生信任危機。

用户在上網的時候也要加強自我安全保護意識。在上網時，用户最好根據不同的網站設置不同的密碼。為了方便記憶，密碼最好根據網站的域名做相應變化。

網易郵箱數據泄露事件

2015年10月17日開始，有微博用户發文稱，網易郵箱被暴力破解，網易隨後在官方微博上做出迴應，稱此係“撞庫”所致，即黑客通過收集互聯網中已泄露的用户和密碼信息，嘗試批量登錄其他網站。19日下午，網站安全漏洞發現者烏雲平台用户“路人甲”發佈了《網易163/126郵箱過億數據泄密》，報告稱，泄露信息包括用户名、密碼、密碼保護信息、登錄IP以及用户生日等多個原始信息，影響數量總共近5億條。網易免費郵箱官方微博於19日發出再次迴應，稱網易郵箱不存在自身數據泄露問題。國家互聯網應急中心近日通報證實，確有網易郵箱數據遭泄露，泄露的數據中包括一個郵箱賬號、郵箱密碼的MD5、密保問題以及密保答案的MD5。 ^[2] 

“拖庫”的通常步驟為： ^[3] 

第一，黑客對目標網站進行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞等。

第二，通過該漏洞在網站服務器上建立“後門(webshell)”，通過該後門獲取服務器操作系統的權限。

第三，利用系統權限直接下載備份數據庫，或查找數據庫鏈接，將其導出到本地。

根據資料顯示部分網民習慣為郵箱、微博、遊戲、網上支付、購物等賬號設置相同密碼，一旦數據庫被泄漏，所有的用户資料被公佈於眾，任何人都可以拿着密碼去各個網站去嘗試登錄，對一些敏感的金融行業是致命的危害，對普通用户可能造成財產，個人隱私的損失或泄漏。

第一，分級管理密碼，重要賬號（如常用郵箱、網上支付、聊天賬號等）單獨設置密碼。

第二，定期修改密碼，可有效避免網站數據庫泄露影響到自身阿號；

第三，工作郵箱不用於註冊網絡賬號，以免密碼泄露後危及企業信息安全。

第四，網站數據庫加密保護

第五，網站漏洞檢測、網站掛馬實時監控、網站篡改實時監控

第六，不讓電腦自動“保存密碼”，不隨意在第三方網站輸入賬號和密碼;即便是個人電腦，也要定期在所有已登錄站點手動強制註銷進行安全退出