撞庫

隨着技術的發展，互聯網的普遍，用户數據泄露一直是當今互聯網世界的一個焦點。 ^[2] 

從最近的某網絡電商撞庫抹黑事件，到之前的某酒店用户數據的泄露，服務商和黑客之 間在用户數據這個舞台上一直在進行着曠日持久的攻防戰。 ^[3] 

對於大多數用户而言，撞庫可能是一個很專業的名詞，但是理解起來卻比較簡單， 撞庫是黑客無聊的“惡作劇”，也是一種領先時代的攻擊技術，黑客通過收集互聯網已泄露的用户賬號及密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登 陸的用户，而這種攻擊，卻是互聯網安全維護人員最為無奈的攻擊形式之一，信息泄漏、賬户安全網絡安全無疑成為大眾最關心的問題。 ^[3] 

撞庫與社工庫也是黑客與大數據方式進行結合的一種產物，黑客們將泄漏的用户數據整合分析，然後集中歸檔後形成的一種攻擊方式 ^[3]  。“撞庫攻擊”是網絡交易普遍存在的一個主要風險 ^[4]  。

提及“撞庫”，就不能不説“拖庫”和“洗庫”。

在黑客術語裏面，”拖庫“是指黑客入侵有價值的網絡站點，把註冊用户的資料數據庫全部盜走的行為，因為諧音，也經常被稱作“脱褲”，360的庫帶計劃，獎勵提交漏洞的白帽子，也是因此而得名。在取得大量的用户數據之後，黑客會通過一系列的技術手段和黑色產業鏈將有價值的用户數據變現，這通常也被稱作“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸，叫做”撞庫“，因為很多用户喜歡使用統一的用户名密碼，”撞庫“也可以使黑客收穫頗豐。

“撞庫”是一種黑客攻擊方式。黑客會收集在網絡上已泄露的用户名、密碼等信息，之後用技術手段前往一些網站逐個“試”着登錄，最終“撞大運”地“試”出一些可以登錄的用户名、密碼。 ^[5] 

右圖1是黑客，在“脱庫”“洗庫”“撞庫”三個環節所進行的活動。 ^[2] 

以之前的泄漏舉例，首先數據庫並沒有泄漏。黑客只不過通過“撞庫”的手法，“湊巧”獲取到了一些用户的數據（用户名密碼），而這樣的手法，幾乎可以對付任何網站登錄系統，用户在不同網站登錄時使用相同的用户名和密碼，就相當於給自己配了一把“萬能鑰匙”，一旦丟失，後果可想而知。所以説，防止撞庫，是一場需要用户一同參與的持久戰。 ^[1] 

2014年12月25日，12306網站用户信息在互聯網上瘋傳。對此，12306官方網站稱，網上泄露的用户信息系經其他網站或渠道流出。據悉，此次泄露的用户數據不少於131,653條。該批數據基本確認為黑客通過“撞庫攻擊”所獲得。 ^[1] 

2018年6月5日報道，浙江省杭州市餘杭區人民檢察院對譚某某非法獲取計算機信息數據，葉某某、張某某提供侵入計算機信息系統數據案提起公訴。2018年5月21日，餘杭區人民法院對此案作出判決，被告人譚某某因犯非法獲取計算機信息系統數據罪，被判處有期徒刑三年，緩刑四年，並處罰金人民幣四萬元；被告人葉某某因犯提供入侵計算機信息系統程序罪，被判處有期徒刑三年，緩刑四年，並處罰金人民幣四萬元；被告人張某某因犯提供侵入計算機信息系統程序罪，被判處有期徒刑三年，緩刑三年，並處罰金人民幣三萬元。據悉，這是全國範圍內針對撞庫打碼案件的首次判例。法院完全採納檢察院的起訴意見。 ^[6]