雷鋒網按：本文作者烏云創(chuàng)始人fenggou。雷鋒網所發(fā)烏云文章均獲作者授權，轉載請務必標明來源和作者，不得修改內容。

小時候看科幻故事，作者都喜歡把火星視為脾氣暴躁的鄰居，一言不合就要玩轉地球。但每當?shù)厍驅⒈煌频沟年P鍵時刻，火星人竟然批量撲街，原因是水土不服被地球細菌感染，最終場面變成人民群眾哄搶散落在地上的八爪魚溫馨結尾。這些套路給我留下深刻印象，特別是那些因「水土不服」導致意想不到的轉折更加令人著迷。

正文開始前先看一則近期非?；馃岬陌踩录?/p>

Facebook 是因各種打不開而聞名國內的社交網站，其 CEO 馬克·扎克伯格是一位互聯(lián)網傳奇人物，倍受黑客關注：）一名為 “OurMine Team” 的 Twitter 賬號 at 小扎稱他們做了個安全測試，成功搞到了他的 Twitter 等賬號密碼，要求私信長夜漫漫聊～ 小扎回復：拉倒吧你們才沒拿到，邊兒涼快去… 然后 “OurMine Team” 憤怒了，直接登錄了小扎的賬號進行插旗行為：哼，我們在 Linkedin 的數(shù)據(jù)庫中找到了你的常用密碼 “dadada” ！

Twitter 立刻進行了 VIP 洗地服務，這都是后話（整個事件總有種事先安排的趕腳）。黑客利用人們多處使用相同密碼的習慣，用 “dadada” 在各種網站嘗試登錄小扎的賬號，結果就是這是這位大名鼎鼎的 CEO 也栽在這坑里，國內用戶紛紛表示慰問 -_-

說到密碼，在國內就是個杯具。初期明文存儲密碼（好點的也就是簡單 hash 處理），這龐大的基數(shù)、經濟價值的云端遷移、大量愿為黑產付費的需求方，共同造就了國內 “脫/撞庫” 火熱的現(xiàn)狀。讓數(shù)據(jù)既有商品、也有了創(chuàng)收工具的形態(tài)，令黑產對數(shù)據(jù)趨之若鶩。另大部分海外企業(yè)出現(xiàn)數(shù)據(jù)泄露或安全事故時，會盡可能主動告知用戶影響細節(jié)做好應對，而國內企業(yè)在發(fā)現(xiàn)數(shù)據(jù)被竊后還處于遮羞避責心態(tài)，所以用戶難以意識到自己已經身處風險之中。

扯遠了，聊完 Twitter 再來看看跟我們生活非常貼近的外企影響案例。Uber 進入中國后給烏云君留下深刻影響的并不是簡潔的 UI ，優(yōu)質的服務，而是那令人擔憂的扣款方式（目前滴滴也支持免密支付了）。無需用戶進行確認交互，服務完畢司機直接就把錢扣走，將本還有一定限制的支付過程硬生的增加了一個風險等級。黑客不用再攻破復雜的支付限制，只要拿下用戶的 Uber 賬號就可以躲避信用卡與支付業(yè)務嚴格的風控機制。

烏云白帽子提交多個 Uber 的安全報告，比如 Uber優(yōu)步客戶端接口設計不當可導致撞庫攻擊、我是如何嘗試登陸別人的uber的，發(fā)現(xiàn) Uber 缺乏對中國本土的撞庫風氣進行考慮，這也是很多洋企的通?。?/strong>Twitter推特登陸接口可撞庫 ，導致的后果就如小扎一樣被黑客花樣虐待！因為 Uber 的賬號是手機號碼，所以 Uber 的撞庫以及爆破搞起來簡直如魚得水。

圖為通過手機號遍歷爆破得到的結果，登錄破解成功的 Uber 賬號，可以成功看到他們的歷史出行紀錄，幾乎每天的活動路線都摸索出來了，每天加班好晚。

當然，你會說這又能有啥？不知道一些 Uber 用戶是不是有經歷過自己賬號被莫名消費的情況，實際上黑產早已經摸索出這種體驗非常好的洗錢方式—— Uber 代叫 。他的模式是通過微信或者 QQ 進行線上溝通，你只需支付很低的價格（一般是20～30，隨便坐車），告訴他你在哪，要去哪，和聯(lián)系手機號，不一會車就到位，下車啥都不用管拍拍屁股走人。

你應該明白了，其實這個代叫方就是控制了大量 Uber 賬號，通過代叫的方式給 Uber 內的錢洗出來，但不是等價的，正因為乘客能撈這么大便宜，所以代叫服務非?；鸨?/strong>各種成熟的網店、QQ 群甚至公眾號早已鋪天蓋地。成都商報的記者也曾就 Uber 用戶綁定的支付被盜刷通過自己的方式做過一些多方位的調查解密“Uber 代叫”黑色產業(yè)鏈。

國內的 Uber 盜刷情況確實非常糟糕，海外也不見得好到哪兒去。烏云君在 Twitter 上的 #UberAccountHacked 話題中也發(fā)現(xiàn)了很多外國網友吐槽賬號被盜刷，在中國消費被跑了好多長長長長途。正因這種產品的國際化基因，導致海外的碎片資源得以成功利用…

目前烏云君已經將這些本土化的安全問題反饋給了 Uber ，企業(yè)反饋確認問題存在會盡快修復。太多的事實證明，今后的安全挑戰(zhàn)不在是單純的技術漏洞，對于業(yè)務的惡意利用，我們落后黑產不知一點半點。因業(yè)務問題的爆發(fā)，讓每個用戶都成為專家進行自保是不可能的！用戶將財產與數(shù)據(jù)交予企業(yè)保管，企業(yè)應當站在積極與黑產對抗的一方，而不是過于明確的劃分責任。

對于企業(yè)，應該在自己的賬戶機制上做些主動的防范考慮，比如：

• 客戶端多次登錄錯誤彈出驗證碼，防止機器登錄嘗試；
  

• 對超出登錄異常閾值的 IP 進行封鎖；
  

• 收緊并盡量統(tǒng)一話碎片登錄入口；

• 給出現(xiàn)異常登錄的賬號足夠的安全提示；

• ……

還可以看看微軟在用戶安全上做出硬氣的態(tài)度與手段，下車給微軟司機個五星吧~

微軟禁止用戶使用泄漏密碼庫中的常用密碼

在1.17億LinkedIn用戶密碼泄露之后，微軟宣布它的 Microsoft Account 和Azure AD系統(tǒng)將動態(tài)的屏蔽常用密碼。

微軟稱，當有大的密碼庫泄露，它的安全團隊會和安全專家一樣去分析其中最常用的密碼， 然后將常用的密碼加入到它的屏蔽清單中，阻止用戶使用。

Microsoft Account系統(tǒng)已經啟用了這套動態(tài)屏蔽系統(tǒng)，Azure AD系統(tǒng)將在未來幾個月啟用。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。