2015年，從某易郵箱到某榴社區(qū)，無(wú)數(shù)平臺(tái)的用戶信息遭到泄露。由于很多人在不同平臺(tái)的注冊(cè)名和密碼都是一樣的，所以不法黑客們會(huì)用這些已經(jīng)泄露的信息去嘗試登陸其他平臺(tái)，這種行為被稱為“撞庫(kù)”。

來(lái)自四面八方的泄露信息不斷被黑色產(chǎn)業(yè)匯集，然后進(jìn)行撞庫(kù)，雪球越滾越大。借助撞庫(kù)，黑產(chǎn)的觸角從一些普通的技術(shù)、社交平臺(tái)，逐漸蔓延到資金和敏感信息密集的平臺(tái)。無(wú)論從哪個(gè)角度來(lái)看，樹(shù)大招風(fēng)的阿里巴巴都難逃一劫。

威脅情報(bào)平臺(tái)NOSEC的創(chuàng)始人趙武描述了這樣一個(gè)“劇本”：

A君對(duì)全網(wǎng)進(jìn)行掃描，得到了諸多用戶信息，轉(zhuǎn)賣給B；

B君用C君的信息進(jìn)行了撞庫(kù)；

B君得到了C君在Y企業(yè)的帳號(hào)密碼；

Y企業(yè)表示很冤枉。

這種躺槍的場(chǎng)景，是互聯(lián)網(wǎng)安全行業(yè)屢屢上演的“樣板戲”。2月初，警方根據(jù)阿里巴巴的報(bào)案，抓獲了對(duì)阿里巴巴進(jìn)行“撞庫(kù)”的犯罪團(tuán)伙。讓人不寒而栗的是，不法黑客們手里居然有將近1億個(gè)賬戶信息，其中有2059萬(wàn)的用戶名和淘寶用戶名匹配。

【從撞庫(kù)的數(shù)據(jù)來(lái)看，其中有約一半為網(wǎng)易郵箱的用戶】

某安全從業(yè)人員分析說(shuō)：

即使阿里巴巴把用戶信息保護(hù)做得天衣無(wú)縫，它也無(wú)法完全規(guī)避用戶信息泄露。因?yàn)檫@些信息很可能是從和阿里沒(méi)有一點(diǎn)關(guān)系的平臺(tái)泄露出去的。

曝光之后，阿里巴巴緊急澄清，表示這2059萬(wàn)用戶信息的大部分撞庫(kù)行為都被攔截了。雖然阿里巴巴并沒(méi)有給出成功攔截的具體數(shù)量，但是目前沒(méi)有大規(guī)模的用戶損失被爆出。然而，阿里巴巴通過(guò)技術(shù)手段組織了黑客的惡意撞庫(kù)行為，并不表明黑客手中的用戶資料有錯(cuò)誤。也就是說(shuō)，這2059萬(wàn)真實(shí)用戶信息的一部分，已經(jīng)流落到了黑色產(chǎn)業(yè)之中。

阿里巴巴表示，對(duì)于被撞庫(kù)的賬號(hào)用戶，已第一時(shí)間進(jìn)行安全提示和密碼修改提醒，并采取臨時(shí)保護(hù)措施，直至用戶完成密碼修改。

這次風(fēng)波看似過(guò)去，但事實(shí)上你身邊的信息泄露，比想象中更嚴(yán)重。有數(shù)據(jù)顯示，目前中國(guó)的賬戶信息泄露已經(jīng)累計(jì)超過(guò)十億個(gè)。這十億個(gè)賬戶，隨時(shí)會(huì)卷土重來(lái)，沖擊“阿里巴巴們”的防線。

為了安全起見(jiàn)，童鞋們還是要管好自己的密碼。在腦力允許的情況下，盡可能在不同的平臺(tái)使用不同的用戶名和密碼。另外，在過(guò)年給自己買新衣服的同時(shí)，也順便換一個(gè)新密碼吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。