2015年,从某易邮箱到某榴社区,无数平台的用户信息遭到泄露。由于很多人在不同平台的注册名和密码都是一样的,所以不法黑客们会用这些已经泄露的信息去尝试登陆其他平台,这种行为被称为“撞库”。
来自四面八方的泄露信息不断被黑色产业汇集,然后进行撞库,雪球越滚越大。借助撞库,黑产的触角从一些普通的技术、社交平台,逐渐蔓延到资金和敏感信息密集的平台。无论从哪个角度来看,树大招风的阿里巴巴都难逃一劫。
威胁情报平台NOSEC的创始人赵武描述了这样一个“剧本”:
A君对全网进行扫描,得到了诸多用户信息,转卖给B;
B君用C君的信息进行了撞库;
B君得到了C君在Y企业的帐号密码;
Y企业表示很冤枉。
这种躺枪的场景,是互联网安全行业屡屡上演的“样板戏”。2月初,警方根据阿里巴巴的报案,抓获了对阿里巴巴进行“撞库”的犯罪团伙。让人不寒而栗的是,不法黑客们手里居然有将近1亿个账户信息,其中有2059万的用户名和淘宝用户名匹配。
【从撞库的数据来看,其中有约一半为网易邮箱的用户】
某安全从业人员分析说:
即使阿里巴巴把用户信息保护做得天衣无缝,它也无法完全规避用户信息泄露。因为这些信息很可能是从和阿里没有一点关系的平台泄露出去的。
曝光之后,阿里巴巴紧急澄清,表示这2059万用户信息的大部分撞库行为都被拦截了。虽然阿里巴巴并没有给出成功拦截的具体数量,但是目前没有大规模的用户损失被爆出。然而,阿里巴巴通过技术手段组织了黑客的恶意撞库行为,并不表明黑客手中的用户资料有错误。也就是说,这2059万真实用户信息的一部分,已经流落到了黑色产业之中。
阿里巴巴表示,对于被撞库的账号用户,已第一时间进行安全提示和密码修改提醒,并采取临时保护措施,直至用户完成密码修改。
这次风波看似过去,但事实上你身边的信息泄露,比想象中更严重。有数据显示,目前中国的账户信息泄露已经累计超过十亿个。这十亿个账户,随时会卷土重来,冲击“阿里巴巴们”的防线。
为了安全起见,童鞋们还是要管好自己的密码。在脑力允许的情况下,尽可能在不同的平台使用不同的用户名和密码。另外,在过年给自己买新衣服的同时,也顺便换一个新密码吧。