雷鋒網(wǎng)按：本文作者烏云創(chuàng)始人fenggou。雷鋒網(wǎng)所發(fā)烏云文章均獲作者授權(quán)，轉(zhuǎn)載請務(wù)必標明來源和作者，不得修改內(nèi)容。

小時候看科幻故事，作者都喜歡把火星視為脾氣暴躁的鄰居，一言不合就要玩轉(zhuǎn)地球。但每當(dāng)?shù)厍驅(qū)⒈煌频沟年P(guān)鍵時刻，火星人竟然批量撲街，原因是水土不服被地球細菌感染，最終場面變成人民群眾哄搶散落在地上的八爪魚溫馨結(jié)尾。這些套路給我留下深刻印象，特別是那些因「水土不服」導(dǎo)致意想不到的轉(zhuǎn)折更加令人著迷。

正文開始前先看一則近期非?；馃岬陌踩录?。

Facebook 是因各種打不開而聞名國內(nèi)的社交網(wǎng)站，其 CEO 馬克·扎克伯格是一位互聯(lián)網(wǎng)傳奇人物，倍受黑客關(guān)注：）一名為 “OurMine Team” 的 Twitter 賬號 at 小扎稱他們做了個安全測試，成功搞到了他的 Twitter 等賬號密碼，要求私信長夜漫漫聊～ 小扎回復(fù)：拉倒吧你們才沒拿到，邊兒涼快去… 然后 “OurMine Team” 憤怒了，直接登錄了小扎的賬號進行插旗行為：哼，我們在 Linkedin 的數(shù)據(jù)庫中找到了你的常用密碼 “dadada” ！

Twitter 立刻進行了 VIP 洗地服務(wù)，這都是后話（整個事件總有種事先安排的趕腳）。黑客利用人們多處使用相同密碼的習(xí)慣，用 “dadada” 在各種網(wǎng)站嘗試登錄小扎的賬號，結(jié)果就是這是這位大名鼎鼎的 CEO 也栽在這坑里，國內(nèi)用戶紛紛表示慰問 -_-

說到密碼，在國內(nèi)就是個杯具。初期明文存儲密碼（好點的也就是簡單 hash 處理），這龐大的基數(shù)、經(jīng)濟價值的云端遷移、大量愿為黑產(chǎn)付費的需求方，共同造就了國內(nèi) “脫/撞庫” 火熱的現(xiàn)狀。讓數(shù)據(jù)既有商品、也有了創(chuàng)收工具的形態(tài)，令黑產(chǎn)對數(shù)據(jù)趨之若鶩。另大部分海外企業(yè)出現(xiàn)數(shù)據(jù)泄露或安全事故時，會盡可能主動告知用戶影響細節(jié)做好應(yīng)對，而國內(nèi)企業(yè)在發(fā)現(xiàn)數(shù)據(jù)被竊后還處于遮羞避責(zé)心態(tài)，所以用戶難以意識到自己已經(jīng)身處風(fēng)險之中。

扯遠了，聊完 Twitter 再來看看跟我們生活非常貼近的外企影響案例。Uber 進入中國后給烏云君留下深刻影響的并不是簡潔的 UI ，優(yōu)質(zhì)的服務(wù)，而是那令人擔(dān)憂的扣款方式（目前滴滴也支持免密支付了）。無需用戶進行確認交互，服務(wù)完畢司機直接就把錢扣走，將本還有一定限制的支付過程硬生的增加了一個風(fēng)險等級。黑客不用再攻破復(fù)雜的支付限制，只要拿下用戶的 Uber 賬號就可以躲避信用卡與支付業(yè)務(wù)嚴格的風(fēng)控機制。

烏云白帽子提交多個 Uber 的安全報告，比如 Uber優(yōu)步客戶端接口設(shè)計不當(dāng)可導(dǎo)致撞庫攻擊、我是如何嘗試登陸別人的uber的，發(fā)現(xiàn) Uber 缺乏對中國本土的撞庫風(fēng)氣進行考慮，這也是很多洋企的通?。?/strong>Twitter推特登陸接口可撞庫 ，導(dǎo)致的后果就如小扎一樣被黑客花樣虐待！因為 Uber 的賬號是手機號碼，所以 Uber 的撞庫以及爆破搞起來簡直如魚得水。

圖為通過手機號遍歷爆破得到的結(jié)果，登錄破解成功的 Uber 賬號，可以成功看到他們的歷史出行紀錄，幾乎每天的活動路線都摸索出來了，每天加班好晚。

當(dāng)然，你會說這又能有啥？不知道一些 Uber 用戶是不是有經(jīng)歷過自己賬號被莫名消費的情況，實際上黑產(chǎn)早已經(jīng)摸索出這種體驗非常好的洗錢方式—— Uber 代叫 。他的模式是通過微信或者 QQ 進行線上溝通，你只需支付很低的價格（一般是20～30，隨便坐車），告訴他你在哪，要去哪，和聯(lián)系手機號，不一會車就到位，下車啥都不用管拍拍屁股走人。

你應(yīng)該明白了，其實這個代叫方就是控制了大量 Uber 賬號，通過代叫的方式給 Uber 內(nèi)的錢洗出來，但不是等價的，正因為乘客能撈這么大便宜，所以代叫服務(wù)非常火爆。各種成熟的網(wǎng)店、QQ 群甚至公眾號早已鋪天蓋地。成都商報的記者也曾就 Uber 用戶綁定的支付被盜刷通過自己的方式做過一些多方位的調(diào)查解密“Uber 代叫”黑色產(chǎn)業(yè)鏈。

國內(nèi)的 Uber 盜刷情況確實非常糟糕，海外也不見得好到哪兒去。烏云君在 Twitter 上的 #UberAccountHacked 話題中也發(fā)現(xiàn)了很多外國網(wǎng)友吐槽賬號被盜刷，在中國消費被跑了好多長長長長途。正因這種產(chǎn)品的國際化基因，導(dǎo)致海外的碎片資源得以成功利用…

目前烏云君已經(jīng)將這些本土化的安全問題反饋給了 Uber ，企業(yè)反饋確認問題存在會盡快修復(fù)。太多的事實證明，今后的安全挑戰(zhàn)不在是單純的技術(shù)漏洞，對于業(yè)務(wù)的惡意利用，我們落后黑產(chǎn)不知一點半點。因業(yè)務(wù)問題的爆發(fā)，讓每個用戶都成為專家進行自保是不可能的！用戶將財產(chǎn)與數(shù)據(jù)交予企業(yè)保管，企業(yè)應(yīng)當(dāng)站在積極與黑產(chǎn)對抗的一方，而不是過于明確的劃分責(zé)任。

對于企業(yè)，應(yīng)該在自己的賬戶機制上做些主動的防范考慮，比如：

• 客戶端多次登錄錯誤彈出驗證碼，防止機器登錄嘗試；
  

• 對超出登錄異常閾值的 IP 進行封鎖；
  

• 收緊并盡量統(tǒng)一話碎片登錄入口；

• 給出現(xiàn)異常登錄的賬號足夠的安全提示；

• ……

還可以看看微軟在用戶安全上做出硬氣的態(tài)度與手段，下車給微軟司機個五星吧~

微軟禁止用戶使用泄漏密碼庫中的常用密碼

在1.17億LinkedIn用戶密碼泄露之后，微軟宣布它的 Microsoft Account 和Azure AD系統(tǒng)將動態(tài)的屏蔽常用密碼。

微軟稱，當(dāng)有大的密碼庫泄露，它的安全團隊會和安全專家一樣去分析其中最常用的密碼， 然后將常用的密碼加入到它的屏蔽清單中，阻止用戶使用。

Microsoft Account系統(tǒng)已經(jīng)啟用了這套動態(tài)屏蔽系統(tǒng)，Azure AD系統(tǒng)將在未來幾個月啟用。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。