站长之家()8月28日报道,近日有媒体报道称线上票务营销平台大麦网被发现存在安全漏洞,600余万用户账户密码泄露,数据被售卖。
乌云白帽黑客起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有很大脱裤嫌疑(网站用户注册信息数据库被黑客窃取)。
乌云漏洞平台提交的大麦网用户数据库泄露信息
对此大麦网表示,经过技术排查和数据分析,本次乌云报告的数据库,是2014年的事件。2014年上半年,中国部分大型网站陆续出现数据库被黑客攻击的情况,大麦网在该事件中也受到牵连。目前已经通过技术手段,增加密码验证功能,用户的财务不会受到任何损失,请媒体和用户放心。此外,大麦网已陆续通知相关用户,修改密码,保证用户权益。
海量密码被盗,被拖库网站众多,用户信息随手可得
除大麦网本次的密码泄露外,其实近年来网站用户数据库被盗屡见不鲜,其中不乏天涯社区、当当网、腾讯QQ等知名网站。通过搜索引擎搜索发现有各类黑产论坛明码标价公开售卖,数量庞大,种类繁多,亦有网友收集制作的网站泄露数据库密码查询网站,通过简单的搜索,密码、邮箱、手机号等个人信息直接暴露在外,网络安全现状堪忧。
近日,站长之家编辑也从某社工库网站上看到了一份泄露网站列表数据清单,涉及网站数量众多,令人咋舌。编辑同时测试了自己常用的用户名,竟然发现有14个网站存在泄漏账号密码的情况,而且部分密码还是目前仍在使用的密码。
目前该社工库网站已有20.97亿条共133G密码数据,并且还在持续不断添加中。据了解,相关内容数据均已在互联网公开,可在多个社工库、论坛网盘自由下载。虽然属于N年前的旧信息,但对网络用户来说,仍有很大的杀伤力。
编辑不禁感慨,已经曝光的就有如此众多,没有曝光的又会有多少呢?
泄露网站列表清单 站长之家配图
2000万开房记录数据查询结果测试,查询后可以得到姓名,身份证号码,手机号等信息。
利益最大化,黑客产业链的
拖库、撞库与洗库
根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码,一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站去尝试登录,对一些敏感的金融行业是致命的危害,对普通用户可能造成财产,个人隐私的损失或泄漏。
2014年12月25日,12306网站用户信息在互联网上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过撞库攻击所获得。
在黑客术语里面,拖库是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作脱裤。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码,撞库也可以使黑客收获颇丰。
如何保护自己的互联网帐户安全?
第一,分级管理密码,重要帐号(如常用邮箱、网上支付、聊天帐号等)单独设置密码;
第二,将常用的网站分类,大网站、小网站、重要网站、普通网站,为不同级别网站分别设置密码;
第三,将自己的常用密码分类为弱密码、中密码、强密码,不同类别网站采用不同密码;
第四,定期修改密码,可有效避免网站数据库泄露影响到自身帐号。
延伸阅读: 大麦网回应数据泄露:这是去年的事情 大麦网600万用户信息泄露引发的安全恐慌 安全专家:密码泄露门或引发多米诺骨牌 网传多家银行用户密码泄露 相关银行否认 密码泄露引诱网站浑水摸鱼:垃圾邮件暴增 从csdn密码泄露事件谈如何利用热点事件做流量 密码泄露 孰之过?