錘子官網(wǎng)曝撞庫(kù)漏洞存疑百度安全專家深度解謎

一鍵登錄

首頁(yè) | 快訊 | 新聞 | 評(píng)論 | 財(cái)經(jīng) | 軍事 | 科技 | 教育 | 娛樂(lè) | 體育 | 生活 | 公益 | 女性 | 旅游 | 汽車 | 圖片 | 視頻 | 社區(qū)

錘子官網(wǎng)曝撞庫(kù)漏洞存疑百度安全專家深度解謎

2014-05-26 13:07:00 來(lái)源：環(huán)球網(wǎng) 說(shuō)兩句分享到：

　　 5月22日，烏云漏洞平臺(tái)曝出錘子科技官網(wǎng)無(wú)限制撞庫(kù)漏洞，同時(shí)烏云平臺(tái)將此漏洞的危害等級(jí)也定為了“高”，雖然相關(guān)損失還無(wú)法統(tǒng)計(jì)，但針對(duì)近期頻發(fā)的小米“脫庫(kù)”、錘子“撞庫(kù)”事件，百度安全中心專家稱，用戶應(yīng)對(duì)此類事件的最好方法是及時(shí)修改密碼，以防個(gè)人信息慘遭泄露，同時(shí)針對(duì)錘子的“撞庫(kù)”事件也給出了分析。

　　昨日，國(guó)內(nèi)知名的安全問(wèn)題反饋及發(fā)布平臺(tái)烏云網(wǎng)(WooYun.org)顯示，由于網(wǎng)站本身存在設(shè)計(jì)缺陷和邏輯錯(cuò)誤，錘子官網(wǎng)出現(xiàn)了無(wú)限制撞庫(kù)漏洞，其危害等級(jí)為高。目前，烏云已將相關(guān)漏洞細(xì)節(jié)反饋給廠商，但錘子官方并未給出任何回應(yīng)。

　　不過(guò)，百度安全專家分析稱，如果此次事件真是因?yàn)榫W(wǎng)站漏洞，用戶就應(yīng)及時(shí)修改密碼，但聯(lián)系到近日錘子手機(jī)發(fā)布，以及網(wǎng)站用戶關(guān)注度的問(wèn)題，錘子官網(wǎng)是否真的會(huì)有大批量注冊(cè)用戶，是否是借“撞庫(kù)”事件炒作也讓人心存疑慮。

　　不過(guò)什么是撞庫(kù)、拖庫(kù)?它們?cè)诔霈F(xiàn)，究竟能給用戶帶來(lái)哪些危害?百度安全中心的相關(guān)技術(shù)人員就這些問(wèn)題給出了翔實(shí)解答，同時(shí)，用戶應(yīng)如何防范這些惡意行為，百度度安全中心也給出了中肯的建議。

什么是撞庫(kù)?

　　撞庫(kù)是一個(gè)看起來(lái)很專業(yè)，但實(shí)際理解起來(lái)卻很簡(jiǎn)單的名詞。它其實(shí)就是黑客無(wú)聊的“惡作劇”。黑客首先會(huì)通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息，生成對(duì)應(yīng)的字典表，然后再用字典中羅列的用戶和密碼，嘗試批量登陸其他網(wǎng)站，這樣，一旦用戶為了省事，在多個(gè)網(wǎng)站設(shè)置了同樣的用戶名和密碼的話，黑客很容易就會(huì)通過(guò)字典中已有的信息，登錄到這些網(wǎng)站，從而獲得用戶的相關(guān)信息，如：手機(jī)號(hào)碼、身份證號(hào)碼、家庭住址，支付寶及網(wǎng)銀信息等。這些信息泄露后，不僅會(huì)給用戶和精神和經(jīng)濟(jì)帶來(lái)巨大損失，同時(shí)也會(huì)給相關(guān)網(wǎng)站帶來(lái)負(fù)面影響。

　　比如：最近京東發(fā)生的抹黑事件，實(shí)際上，黑客就是利用“撞庫(kù)”手法，“湊巧”獲取到了一些京東用戶的數(shù)據(jù)(用戶名密碼)，然后通過(guò)模仿用戶評(píng)論，給京東留下了大量抹黑的差評(píng)。

　　什么是拖庫(kù)?

　　和撞庫(kù)一樣，拖庫(kù)也是一個(gè)黑客術(shù)語(yǔ)，它指的是黑客入侵有價(jià)值的網(wǎng)站，把注冊(cè)用戶的資料數(shù)據(jù)庫(kù)全部盜走的行為，因?yàn)橹C音，所以也常被稱作“脫褲”，比如前幾天剛發(fā)生的小米用戶信息大量泄露事件，就是拖褲行為的一個(gè)典型案例。

　　在該事件中，小米用戶名和密碼大量泄露，黑客反過(guò)利用這些用戶名和密碼，登錄小米服務(wù)器，獲得了極其詳細(xì)的用戶資料，其中包括用戶的手機(jī)號(hào)、郵箱甚至通訊錄等。

　　一般來(lái)說(shuō)，在取得大量的用戶數(shù)據(jù)之后，黑客會(huì)通過(guò)一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈，將有價(jià)值的用戶數(shù)據(jù)變成現(xiàn)金以達(dá)到非法獲利的目的。這一過(guò)程被稱為“洗庫(kù)”。

撞庫(kù)、拖庫(kù)會(huì)給用戶帶來(lái)哪些危害

　　百度安全中心表示，黑客千方百計(jì)獲取用戶信息的唯一目的無(wú)非是為獲利。目前，黑客在獲得用戶信息后，一般會(huì)通過(guò)以下幾種途徑來(lái)迅速獲利。

　　一是售賣用戶賬號(hào)中的虛擬貨幣、游戲賬號(hào)、裝備等變現(xiàn)，也就是俗稱的“盜號(hào)”;

　　二是對(duì)于金融類賬號(hào)，比如：支付寶、網(wǎng)銀、信用卡、股票的賬號(hào)和密碼等，則可以用來(lái)進(jìn)行金融犯罪和詐騙;

　　三是對(duì)于一些比較特殊的用戶信息，如：學(xué)生、打工者、老板等，則會(huì)通過(guò)發(fā)送廣告、垃圾短信、電商營(yíng)銷等方式變相獲利;

　　四是會(huì)將有價(jià)值的用戶信息直接出售給第三方，如網(wǎng)店經(jīng)營(yíng)者和廣告投放公司等。

　　顯然，這當(dāng)中無(wú)論哪種方式，都會(huì)給用戶的日常生活帶來(lái)嚴(yán)重困擾，甚至直接帶來(lái)經(jīng)濟(jì)損失。比如前幾天小米用戶信息泄露后，不少手機(jī)用戶都反饋稱接到了01053799231、02160544527等來(lái)電。這些來(lái)電可提供準(zhǔn)確小米用戶的個(gè)人信息，如：姓名、地址、電話、購(gòu)買記錄等，以貨到付款的方式進(jìn)行詐騙，就是上述危害中很常見的一種。

　　網(wǎng)絡(luò)用戶應(yīng)如何保證自己的信息安全?

　　為很好地防范撞庫(kù)行為的發(fā)生，切實(shí)保障自己的信息安全，百度安全中心建議，廣大網(wǎng)民應(yīng)提高防范意識(shí)，從以下幾個(gè)方面入手規(guī)避風(fēng)險(xiǎn)：

　　一是不要圖省事，在所有網(wǎng)站都使用統(tǒng)一的用戶和密碼，特別是對(duì)于一些重要的網(wǎng)站，如：游戲、購(gòu)物、支付類服務(wù)網(wǎng)站等，一定分使用獨(dú)立的、復(fù)雜的密碼，并定期更換;

　　二是系統(tǒng)一定要勤打補(bǔ)丁，安裝一款安全防護(hù)及殺毒軟件。目前百度衛(wèi)士和百度殺毒等，已能有效地防止各種木馬、病毒的攻擊，并能對(duì)釣魚網(wǎng)站和含有惡意代碼的網(wǎng)站，進(jìn)行有效識(shí)別，可最大限度減少用戶被攻擊的風(fēng)險(xiǎn)，從根本上保證用戶信息的安全。

　　三是盡量不要使用盜版軟件，盜版、破解的軟件往往存在各種貓膩，后門存在的可能性很大;

　　四是不可信的軟件，就安裝在虛擬機(jī)中運(yùn)行，待確認(rèn)安全后，再安裝到物理機(jī)中;

　　五是盡量不要在公共場(chǎng)合(如咖啡廳、機(jī)場(chǎng)等)使用公共無(wú)線，

　　六是自己的無(wú)線AP，用安全的加密方式(如WPA2)，密碼復(fù)雜些;

　　七是離開電腦時(shí)，記得按下“Win(Windows圖標(biāo)那個(gè)鍵)+L”鍵鎖屏，這個(gè)習(xí)慣看起來(lái)很麻煩，其實(shí)非常關(guān)鍵。

版權(quán)說(shuō)明: 轉(zhuǎn)載須經(jīng)版權(quán)人授權(quán)并注明來(lái)源。聯(lián)系電話：010-56807262

編輯：殷雨婷