21亿条用户密码信息被泄露 你有在其中吗?
站长之家(ChinaZ.com)8月28日消息,近日有报道称线上票务营销平台大麦网被发现存在安全漏洞,600余万用户账户密码泄露,数据被售卖。
乌云白帽黑客起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有很大脱裤嫌疑(网站用户注册信息数据库被黑客窃取)。
乌云漏洞平台提交的大麦网的数据泄露图
对此大麦网表示,经过技术排查和数据分析,本次乌云报告的数据库,是2014年的事件。2014年上半年,中国部分大型网站陆续出现数据库被黑客攻击的情况,大麦网在该事件中也受到牵连。目前已经通过技术手段,增加密码验证功能,用户的财务不会受到任何损失,请媒体和用户放心。此外,大麦网已陆续通知相关用户,修改密码,保证用户权益。
海量密码被盗,被拖库网站众多,用户信息随手可得
除大麦网本次的密码泄露外,互联网上早有众多网站用户数据库流传,通过搜索引擎搜索,发现有各类黑产论坛明码标价公开售卖,数量庞大,种类繁多,亦有网友收集制作的网站泄露数据库密码查询网站,通过简单搜索,密码、邮箱、手机号等个人信息直接暴露在外,网络安全现状堪忧。
随机查询姓名 曝光有性别 身份证号 时间 手机号码等个人信息
有网站泄密了2000万中国用户的开房记录,可以按照姓名、手机号码等进行查询,查询可以显示姓名,性别,身份证号码,手机号。海量用户的姓名、身份证号、手机号被泄漏,不法分子可以根据这些信息伪造身份证号码,然后去偏远地区的移动营业厅办理对应手机号的补卡业务,然后根据获得的SIM开来获取用户支付宝、网银上的资金。
某社工库查询网站的泄露网站列表,涉及网站数量众多,令人咋舌。
泄露网站列表
该网站目前已有20.97亿条共133G密码数据,并且还在持续不断添加中,相关内容均已在互联网公开,可在多个社工库、论坛网盘自由下载,属于N年前的旧信息。已经曝光的就有如此众多,没有曝光的呢?
利益最大化,黑客产业链的“拖库”、“撞库”与“洗库”
根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码,一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站去尝试登录,对一些敏感的金融行业是致命的危害,对普通用户可能造成财产,个人隐私的损失或泄漏。
2014年12月25日,12306网站用户信息在互联网上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。
在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以使黑客收获颇丰。
如何保护自己的互联网帐户安全?
第一,分级管理密码,重要帐号(如常用邮箱、网上支付、聊天帐号等)单独设置密码;
第二,将常用的网站分类,大网站、小网站、重要网站、普通网站,为不同级别网站分别设置密码;
第三,将自己的常用密码分类为弱密码、中密码、强密码,不同类别网站采用不同密码;
第四,定期修改密码,可有效避免网站数据库泄露影响到自身帐号。