5月22日,乌云漏洞平台曝出锤子科技官网无限制撞库漏洞,同时乌云平台将此漏洞的危害等级也定为了“高”,虽然相关损失还无法统计,但针对近期频发的小米“脱库”、锤子“撞库”事件,百度安全中心专家称,用户应对此类事件的最好方法是及时修改密码,以防个人信息惨遭泄露,同时针对锤子的“撞库”事件也给出了分析。
昨日,国内知名的安全问题反馈及发布平台乌云网(WooYun.org)显示,由于网站本身存在设计缺陷和逻辑错误,锤子官网出现了无限制撞库漏洞,其危害等级为高。目前,乌云已将相关漏洞细节反馈给厂商,但锤子官方并未给出任何回应。
不过,百度安全专家分析称,如果此次事件真是因为网站漏洞,用户就应及时修改密码,但联系到近日锤子手机发布,以及网站用户关注度的问题,锤子官网是否真的会有大批量注册用户,是否是借“撞库”事件炒作也让人心存疑虑。
不过什么是撞库、拖库?它们在出现,究竟能给用户带来哪些危害?百度安全中心的相关技术人员就这些问题给出了翔实解答,同时,用户应如何防范这些恶意行为,百度度安全中心也给出了中肯的建议。
撞库是一个看起来很专业,但实际理解起来却很简单的名词。它其实就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,这样,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。
比如:最近京东发生的抹黑事件,实际上,黑客就是利用“撞库”手法,“凑巧”获取到了一些京东用户的数据(用户名密码),然后通过模仿用户评论,给京东留下了大量抹黑的差评。
什么是拖库?
和撞库一样,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”,比如前几天刚发生的小米用户信息大量泄露事件,就是拖裤行为的一个典型案例。
在该事件中,小米用户名和密码大量泄露,黑客反过利用这些用户名和密码,登录小米服务器,获得了极其详细的用户资料,其中包括用户的手机号、邮箱甚至通讯录等。
一般来说,在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。