撞库是黑客通过收集网际网路已泄露的用户和密码信息,生成对应的字典表,尝试批量登入其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
2014年12月25日,12306网站用户信息在网际网路上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。
撞库可以通过资料库安全防护技术解决,资料库安全技术主要包括:资料库漏扫、资料库加密、资料库防火墙、数据脱敏、资料库安全审计系统。
基本介绍
- 中文名:撞库
- 外文名:Credential Stuffing
- 技术:资料库安全防护技术
产生背景
用户数据泄露一直是如今网际网路世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如今用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。
操作程式
提及“撞库”,就不能不说“脱库”和“洗库”。
在黑客术语里面,”拖库“是指黑客入侵有价值的网路站点,把注册用户的资料资料库全部盗走的行为,因为谐音,也经常被称作“脱裤”,360的库带计画,奖励提交漏洞的白帽子,也是因此而得名。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登入,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以使黑客收穫颇丰。
“撞库”是一种黑客攻击方式。黑客会收集在网路上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。
右图是黑客,在“脱库”“洗库”“撞库”三个环节所进行的活动。
着名案例
以京东之前的撞库举例,首先京东的资料库并没有泄漏。黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。所以说,防止撞库,是一场需要用户一同参与的持久战。
2014年12月25日,12306网站用户信息在网际网路上疯传。对此,12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过“撞库攻击”所获得。
2018年6月5日报导,前不久,浙江省杭州市余杭区人民检察院对谭某某非法获取计算机信息数据,叶某某、张某某提供侵入计算机信息系统数据案提起公诉。2018年5月21日,余杭区人民法院对此案作出判决,被告人谭某某因犯非法获取计算机信息系统数据罪,被判处有期徒刑三年,缓刑四年,并处罚金人民币四万元;被告人叶某某因犯提供入侵计算机信息系统程式罪,被判处有期徒刑三年,缓刑四年,并处罚金人民币四万元;被告人张某某因犯提供侵入计算机信息系统程式罪,被判处有期徒刑三年,缓刑三年,并处罚金人民币三万元。据悉,这是全国範围内针对撞库打码案件的首次判例。法院完全採纳检察院的起诉意见。
