-
撞庫
鎖定
- 中文名
- 撞庫
- 外文名
- Credential Stuffing
- 技 術
- 數據庫安全防護技術
撞庫產生背景
從最近的某網絡電商撞庫抹黑事件,到之前的某酒店用户數據的泄露,服務商和黑客之 間在用户數據這個舞台上一直在進行着曠日持久的攻防戰。
[3]
對於大多數用户而言,撞庫可能是一個很專業的名詞,但是理解起來卻比較簡單, 撞庫是黑客無聊的“惡作劇”,也是一種領先時代的攻擊技術,黑客通過收集互聯網已泄露的用户賬號及密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登 陸的用户,而這種攻擊,卻是互聯網安全維護人員最為無奈的攻擊形式之一,信息泄漏、賬户安全網絡安全無疑成為大眾最關心的問題。
[3]
撞庫操作程序
在黑客術語裏面,”拖庫“是指黑客入侵有價值的網絡站點,把註冊用户的資料數據庫全部盜走的行為,因為諧音,也經常被稱作“脱褲”,360的庫帶計劃,獎勵提交漏洞的白帽子,也是因此而得名。在取得大量的用户數據之後,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用户數據變現,這通常也被稱作“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸,叫做”撞庫“,因為很多用户喜歡使用統一的用户名密碼,”撞庫“也可以使黑客收穫頗豐。
撞庫著名案例
以之前的泄漏舉例,首先數據庫並沒有泄漏。黑客只不過通過“撞庫”的手法,“湊巧”獲取到了一些用户的數據(用户名密碼),而這樣的手法,幾乎可以對付任何網站登錄系統,用户在不同網站登錄時使用相同的用户名和密碼,就相當於給自己配了一把“萬能鑰匙”,一旦丟失,後果可想而知。所以説,防止撞庫,是一場需要用户一同參與的持久戰。
[1]
2014年12月25日,12306網站用户信息在互聯網上瘋傳。對此,12306官方網站稱,網上泄露的用户信息系經其他網站或渠道流出。據悉,此次泄露的用户數據不少於131,653條。該批數據基本確認為黑客通過“撞庫攻擊”所獲得。
[1]
2018年6月5日報道,浙江省杭州市餘杭區人民檢察院對譚某某非法獲取計算機信息數據,葉某某、張某某提供侵入計算機信息系統數據案提起公訴。2018年5月21日,餘杭區人民法院對此案作出判決,被告人譚某某因犯非法獲取計算機信息系統數據罪,被判處有期徒刑三年,緩刑四年,並處罰金人民幣四萬元;被告人葉某某因犯提供入侵計算機信息系統程序罪,被判處有期徒刑三年,緩刑四年,並處罰金人民幣四萬元;被告人張某某因犯提供侵入計算機信息系統程序罪,被判處有期徒刑三年,緩刑三年,並處罰金人民幣三萬元。據悉,這是全國範圍內針對撞庫打碼案件的首次判例。法院完全採納檢察院的起訴意見。
[6]
- 參考資料
-
- 1. 12306用户數據泄露超10萬條 或由撞庫攻擊所得 .騰訊科技[引用日期2014-12-26]
- 2. 撞庫攻擊:一場需要用户參與的持久戰 .REEBUF[引用日期2014-12-26]
- 3. 社工庫 .百度百科[引用日期2019-10-04]
- 4. 網絡賬號註冊容易註銷難 用户個人信息留安全隱患 .人民網.2017-03-15[引用日期2020-04-14]
- 5. 三問12306網站用户數據泄露事件:哪些漏洞待填補 .中國經濟網[引用日期2014-12-30]
- 6. 揭撞庫打碼灰色產業利益鏈 誰動了你的淘寶賬號? .新華網[引用日期2018-06-13]