雷鋒網(wǎng)按：本文作者烏云創(chuàng)始人fenggou。雷鋒網(wǎng)所發(fā)烏云文章均獲作者授權(quán)，轉(zhuǎn)載請(qǐng)務(wù)必標(biāo)明來(lái)源和作者，不得修改內(nèi)容。

小時(shí)候看科幻故事，作者都喜歡把火星視為脾氣暴躁的鄰居，一言不合就要玩轉(zhuǎn)地球。但每當(dāng)?shù)厍驅(qū)⒈煌频沟年P(guān)鍵時(shí)刻，火星人竟然批量撲街，原因是水土不服被地球細(xì)菌感染，最終場(chǎng)面變成人民群眾哄搶散落在地上的八爪魚(yú)溫馨結(jié)尾。這些套路給我留下深刻印象，特別是那些因「水土不服」導(dǎo)致意想不到的轉(zhuǎn)折更加令人著迷。

正文開(kāi)始前先看一則近期非?；馃岬陌踩录?/p>

Facebook 是因各種打不開(kāi)而聞名國(guó)內(nèi)的社交網(wǎng)站，其 CEO 馬克·扎克伯格是一位互聯(lián)網(wǎng)傳奇人物，倍受黑客關(guān)注：）一名為 “OurMine Team” 的 Twitter 賬號(hào) at 小扎稱(chēng)他們做了個(gè)安全測(cè)試，成功搞到了他的 Twitter 等賬號(hào)密碼，要求私信長(zhǎng)夜漫漫聊～ 小扎回復(fù)：拉倒吧你們才沒(méi)拿到，邊兒涼快去… 然后 “OurMine Team” 憤怒了，直接登錄了小扎的賬號(hào)進(jìn)行插旗行為：哼，我們?cè)?Linkedin 的數(shù)據(jù)庫(kù)中找到了你的常用密碼 “dadada” ！

Twitter 立刻進(jìn)行了 VIP 洗地服務(wù)，這都是后話（整個(gè)事件總有種事先安排的趕腳）。黑客利用人們多處使用相同密碼的習(xí)慣，用 “dadada” 在各種網(wǎng)站嘗試登錄小扎的賬號(hào)，結(jié)果就是這是這位大名鼎鼎的 CEO 也栽在這坑里，國(guó)內(nèi)用戶紛紛表示慰問(wèn) -_-

說(shuō)到密碼，在國(guó)內(nèi)就是個(gè)杯具。初期明文存儲(chǔ)密碼（好點(diǎn)的也就是簡(jiǎn)單 hash 處理），這龐大的基數(shù)、經(jīng)濟(jì)價(jià)值的云端遷移、大量愿為黑產(chǎn)付費(fèi)的需求方，共同造就了國(guó)內(nèi) “脫/撞庫(kù)” 火熱的現(xiàn)狀。讓數(shù)據(jù)既有商品、也有了創(chuàng)收工具的形態(tài)，令黑產(chǎn)對(duì)數(shù)據(jù)趨之若鶩。另大部分海外企業(yè)出現(xiàn)數(shù)據(jù)泄露或安全事故時(shí)，會(huì)盡可能主動(dòng)告知用戶影響細(xì)節(jié)做好應(yīng)對(duì)，而國(guó)內(nèi)企業(yè)在發(fā)現(xiàn)數(shù)據(jù)被竊后還處于遮羞避責(zé)心態(tài)，所以用戶難以意識(shí)到自己已經(jīng)身處風(fēng)險(xiǎn)之中。

扯遠(yuǎn)了，聊完 Twitter 再來(lái)看看跟我們生活非常貼近的外企影響案例。Uber 進(jìn)入中國(guó)后給烏云君留下深刻影響的并不是簡(jiǎn)潔的 UI ，優(yōu)質(zhì)的服務(wù)，而是那令人擔(dān)憂的扣款方式（目前滴滴也支持免密支付了）。無(wú)需用戶進(jìn)行確認(rèn)交互，服務(wù)完畢司機(jī)直接就把錢(qián)扣走，將本還有一定限制的支付過(guò)程硬生的增加了一個(gè)風(fēng)險(xiǎn)等級(jí)。黑客不用再攻破復(fù)雜的支付限制，只要拿下用戶的 Uber 賬號(hào)就可以躲避信用卡與支付業(yè)務(wù)嚴(yán)格的風(fēng)控機(jī)制。

烏云白帽子提交多個(gè) Uber 的安全報(bào)告，比如 Uber優(yōu)步客戶端接口設(shè)計(jì)不當(dāng)可導(dǎo)致撞庫(kù)攻擊、我是如何嘗試登陸別人的uber的，發(fā)現(xiàn) Uber 缺乏對(duì)中國(guó)本土的撞庫(kù)風(fēng)氣進(jìn)行考慮，這也是很多洋企的通?。?/strong>Twitter推特登陸接口可撞庫(kù) ，導(dǎo)致的后果就如小扎一樣被黑客花樣虐待！因?yàn)?Uber 的賬號(hào)是手機(jī)號(hào)碼，所以 Uber 的撞庫(kù)以及爆破搞起來(lái)簡(jiǎn)直如魚(yú)得水。

圖為通過(guò)手機(jī)號(hào)遍歷爆破得到的結(jié)果，登錄破解成功的 Uber 賬號(hào)，可以成功看到他們的歷史出行紀(jì)錄，幾乎每天的活動(dòng)路線都摸索出來(lái)了，每天加班好晚。

當(dāng)然，你會(huì)說(shuō)這又能有啥？不知道一些 Uber 用戶是不是有經(jīng)歷過(guò)自己賬號(hào)被莫名消費(fèi)的情況，實(shí)際上黑產(chǎn)早已經(jīng)摸索出這種體驗(yàn)非常好的洗錢(qián)方式—— Uber 代叫 。他的模式是通過(guò)微信或者 QQ 進(jìn)行線上溝通，你只需支付很低的價(jià)格（一般是20～30，隨便坐車(chē)），告訴他你在哪，要去哪，和聯(lián)系手機(jī)號(hào)，不一會(huì)車(chē)就到位，下車(chē)啥都不用管拍拍屁股走人。

你應(yīng)該明白了，其實(shí)這個(gè)代叫方就是控制了大量 Uber 賬號(hào)，通過(guò)代叫的方式給 Uber 內(nèi)的錢(qián)洗出來(lái)，但不是等價(jià)的，正因?yàn)槌丝湍軗七@么大便宜，所以代叫服務(wù)非?；鸨?/strong>各種成熟的網(wǎng)店、QQ 群甚至公眾號(hào)早已鋪天蓋地。成都商報(bào)的記者也曾就 Uber 用戶綁定的支付被盜刷通過(guò)自己的方式做過(guò)一些多方位的調(diào)查解密“Uber 代叫”黑色產(chǎn)業(yè)鏈。

國(guó)內(nèi)的 Uber 盜刷情況確實(shí)非常糟糕，海外也不見(jiàn)得好到哪兒去。烏云君在 Twitter 上的 #UberAccountHacked 話題中也發(fā)現(xiàn)了很多外國(guó)網(wǎng)友吐槽賬號(hào)被盜刷，在中國(guó)消費(fèi)被跑了好多長(zhǎng)長(zhǎng)長(zhǎng)長(zhǎng)途。正因這種產(chǎn)品的國(guó)際化基因，導(dǎo)致海外的碎片資源得以成功利用…

目前烏云君已經(jīng)將這些本土化的安全問(wèn)題反饋給了 Uber ，企業(yè)反饋確認(rèn)問(wèn)題存在會(huì)盡快修復(fù)。太多的事實(shí)證明，今后的安全挑戰(zhàn)不在是單純的技術(shù)漏洞，對(duì)于業(yè)務(wù)的惡意利用，我們落后黑產(chǎn)不知一點(diǎn)半點(diǎn)。因業(yè)務(wù)問(wèn)題的爆發(fā)，讓每個(gè)用戶都成為專(zhuān)家進(jìn)行自保是不可能的！用戶將財(cái)產(chǎn)與數(shù)據(jù)交予企業(yè)保管，企業(yè)應(yīng)當(dāng)站在積極與黑產(chǎn)對(duì)抗的一方，而不是過(guò)于明確的劃分責(zé)任。

對(duì)于企業(yè)，應(yīng)該在自己的賬戶機(jī)制上做些主動(dòng)的防范考慮，比如：

• 客戶端多次登錄錯(cuò)誤彈出驗(yàn)證碼，防止機(jī)器登錄嘗試；
  

• 對(duì)超出登錄異常閾值的 IP 進(jìn)行封鎖；
  

• 收緊并盡量統(tǒng)一話碎片登錄入口；

• 給出現(xiàn)異常登錄的賬號(hào)足夠的安全提示；

• ……

還可以看看微軟在用戶安全上做出硬氣的態(tài)度與手段，下車(chē)給微軟司機(jī)個(gè)五星吧~

微軟禁止用戶使用泄漏密碼庫(kù)中的常用密碼

在1.17億LinkedIn用戶密碼泄露之后，微軟宣布它的 Microsoft Account 和Azure AD系統(tǒng)將動(dòng)態(tài)的屏蔽常用密碼。

微軟稱(chēng)，當(dāng)有大的密碼庫(kù)泄露，它的安全團(tuán)隊(duì)會(huì)和安全專(zhuān)家一樣去分析其中最常用的密碼， 然后將常用的密碼加入到它的屏蔽清單中，阻止用戶使用。

Microsoft Account系統(tǒng)已經(jīng)啟用了這套動(dòng)態(tài)屏蔽系統(tǒng)，Azure AD系統(tǒng)將在未來(lái)幾個(gè)月啟用。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。