錘子官網曝撞庫漏洞存疑 百度安全專家深度解謎
2014-05-26 13:07:00 來源:環球網 說兩句 分享到:
5月22日,烏云漏洞平臺曝出錘子科技官網無限制撞庫漏洞,同時烏云平臺將此漏洞的危害等級也定為了“高”,雖然相關損失還無法統計,但針對近期頻發的小米“脫庫”、錘子“撞庫”事件,百度安全中心專家稱,用戶應對此類事件的最好方法是及時修改密碼,以防個人信息慘遭泄露,同時針對錘子的“撞庫”事件也給出了分析。
昨日,國內知名的安全問題反饋及發布平臺烏云網(WooYun.org)顯示,由于網站本身存在設計缺陷和邏輯錯誤,錘子官網出現了無限制撞庫漏洞,其危害等級為高。目前,烏云已將相關漏洞細節反饋給廠商,但錘子官方并未給出任何回應。
不過,百度安全專家分析稱,如果此次事件真是因為網站漏洞,用戶就應及時修改密碼,但聯系到近日錘子手機發布,以及網站用戶關注度的問題,錘子官網是否真的會有大批量注冊用戶,是否是借“撞庫”事件炒作也讓人心存疑慮。
不過什么是撞庫、拖庫?它們在出現,究竟能給用戶帶來哪些危害?百度安全中心的相關技術人員就這些問題給出了翔實解答,同時,用戶應如何防范這些惡意行為,百度度安全中心也給出了中肯的建議。
什么是撞庫?
撞庫是一個看起來很專業,但實際理解起來卻很簡單的名詞。它其實就是黑客無聊的“惡作劇”。黑客首先會通過收集互聯網已泄露的用戶+密碼信息,生成對應的字典表,然后再用字典中羅列的用戶和密碼,嘗試批量登陸其他網站,這樣,一旦用戶為了省事,在多個網站設置了同樣的用戶名和密碼的話,黑客很容易就會通過字典中已有的信息,登錄到這些網站,從而獲得用戶的相關信息,如:手機號碼、身份證號碼、家庭住址,支付寶及網銀信息等。這些信息泄露后,不僅會給用戶和精神和經濟帶來巨大損失,同時也會給相關網站帶來負面影響。
比如:最近京東發生的抹黑事件,實際上,黑客就是利用“撞庫”手法,“湊巧”獲取到了一些京東用戶的數據(用戶名密碼),然后通過模仿用戶評論,給京東留下了大量抹黑的差評。
什么是拖庫?
和撞庫一樣,拖庫也是一個黑客術語,它指的是黑客入侵有價值的網站,把注冊用戶的資料數據庫全部盜走的行為,因為諧音,所以也常被稱作“脫褲”,比如前幾天剛發生的小米用戶信息大量泄露事件,就是拖褲行為的一個典型案例。
在該事件中,小米用戶名和密碼大量泄露,黑客反過利用這些用戶名和密碼,登錄小米服務器,獲得了極其詳細的用戶資料,其中包括用戶的手機號、郵箱甚至通訊錄等。
一般來說,在取得大量的用戶數據之后,黑客會通過一系列的技術手段和黑色產業鏈,將有價值的用戶數據變成現金以達到非法獲利的目的。這一過程被稱為“洗庫”。
撞庫、拖庫會給用戶帶來哪些危害
百度安全中心表示,黑客千方百計獲取用戶信息的唯一目的無非是為獲利。目前,黑客在獲得用戶信息后,一般會通過以下幾種途徑來迅速獲利。
一是售賣用戶賬號中的虛擬貨幣、游戲賬號、裝備等變現,也就是俗稱的“盜號”;
二是對于金融類賬號,比如:支付寶、網銀、信用卡、股票的賬號和密碼等,則可以用來進行金融犯罪和詐騙;
三是對于一些比較特殊的用戶信息,如:學生、打工者、老板等,則會通過發送廣告、垃圾短信、電商營銷等方式變相獲利;
四是會將有價值的用戶信息直接出售給第三方,如網店經營者和廣告投放公司等。
顯然,這當中無論哪種方式,都會給用戶的日常生活帶來嚴重困擾,甚至直接帶來經濟損失。比如前幾天小米用戶信息泄露后,不少手機用戶都反饋稱接到了01053799231、02160544527等來電。這些來電可提供準確小米用戶的個人信息,如:姓名、地址、電話、購買記錄等,以貨到付款的方式進行詐騙,就是上述危害中很常見的一種。
網絡用戶應如何保證自己的信息安全?
為很好地防范撞庫行為的發生,切實保障自己的信息安全,百度安全中心建議,廣大網民應提高防范意識,從以下幾個方面入手規避風險:
一是不要圖省事,在所有網站都使用統一的用戶和密碼,特別是對于一些重要的網站,如:游戲、購物、支付類服務網站等,一定分使用獨立的、復雜的密碼,并定期更換;
二是系統一定要勤打補丁,安裝一款安全防護及殺毒軟件。目前百度衛士和百度殺毒等,已能有效地防止各種木馬、病毒的攻擊,并能對釣魚網站和含有惡意代碼的網站,進行有效識別,可最大限度減少用戶被攻擊的風險,從根本上保證用戶信息的安全。
三是盡量不要使用盜版軟件,盜版、破解的軟件往往存在各種貓膩,后門存在的可能性很大;
四是不可信的軟件,就安裝在虛擬機中運行,待確認安全后,再安裝到物理機中;
五是盡量不要在公共場合(如咖啡廳、機場等)使用公共無線,
六是自己的無線AP,用安全的加密方式(如WPA2),密碼復雜些;
七是離開電腦時,記得按下“Win(Windows圖標那個鍵)+L”鍵鎖屏,這個習慣看起來很麻煩,其實非常關鍵。
編輯:殷雨婷
參與討論
我想說
相關新聞
頭條推薦