您的位置: 乌海资讯网 > 育儿

网站用户资料外泄幕後倒卖产业链已形成7z

发布时间:2019-10-12 17:16:35

本报讯 (阳淼)CSDN、天涯社区等知名大论坛的用户密码大批外泄事件导致互联界草木皆兵。昨日,据传用户密码已外泄的新浪微博、人人、开心等站先后公开声明账户密码安全;支付宝、腾讯等互联服务亦公开了用户资料加密流程。

多家站被传用户资料外泄

继本月中旬CSDN站600万用户账户信息和密码外泄后,天涯社区上周日承认用户资料外泄,据估算约有4000万用户的邮箱、社区密码等资料外泄。前者是中国最大的计算机技术社区,后者是最大的论坛社区,二者密码泄露事件引起各界关注,众多其他站也发生密码泄露的传言开始大规模流传。

26日凌晨,有实名认证用户在新浪微博发出下载链接,称新浪微博密码也已经泄露,该链接可下载到密码资料压缩包。本报下载了大小为170M左右的该文件

,并请数据库技术方面的技术人员打开该文件进行比对。

与技术人员按照文件中所载的部分用户名与密码登录新浪微博试验,在连续试验30多个账号、密码对后,无一成功登录。此后

,推特上一位用户发现,这份文件与前几天传言中另一站外泄的用户资料包除头尾几处记录外,几乎完全相同,可能系根据后者伪造。

集体否认外泄

新浪微博昨天下午对本报正式回应称,新浪微博用户账号信息采用加密存储,并未被盗。在对流传的数据资料包进行进一步研究后,新浪微博表示经核实,该份数据绝大部分不是新浪微博账号。极小部分用户因使用和其他站相同账号密码,可能导致其微博账号不安全。我们已对这部分用户做了保护,并提醒所有用户尽快进行账号安全设置。

使用与天涯社区相同的注册邮箱登录新浪微博时,亦收到系统首页提示称,该邮箱与一些站外泄资料中的邮箱相同,并要求修改密码。12月22日晚,京探亦向用户发出修改密码友情提示。

人人、开心昨日对本报表示,站密码采用加密方式保存,从未发生过外泄情况。

支付宝、腾讯否认用户资料外泄后,还向回复了较为详细的技术细节以证明用户资料拥有高强度的加密措施,并表示有多种技术方式保护用户的密码和资料。

■ 幕后

倒卖用户信息产业链已形成

黑客入侵相关站,盗取用户信息,通过发垃圾广告等五种方式渔利

黑客盗取CSDN、天涯、新浪等众多知名互联的用户信息,可不是为了耍酷。京探CTO黄荣明昨日透露,盗取用户信息的根本目的是为了倒卖信息赚钱,目前一条倒卖用户信息的完整灰色产业链已经形成。

更多数据已被转手

京探()CTO黄荣明昨日爆料称,在上公开CSDN的用户资料,相比目前互联上被盗的众多用户数据来说只是很少的一部分,更多的数据应已经被黑客转手卖钱。

近年来,互联用户账号、密码信息被盗现象,在全球范围内屡有发生。今年4月,日本索尼公司约1亿名PlayStationNetwork络账户曾遭到黑客攻击,该公司被迫关闭PlayStationNetwork近1个月时间。

在国内类似行为已存在多年,甚至已形成灰色产业链。黑客利用站服务器的安全漏洞,侵入相关站,盗取用户数据库等信息,然后私下进行传播、倒卖。瑞星安全专家唐威称。

国家计算机络应急中心此前发布的数据显示,今年上半年,遭遇过病毒或木马攻击的民为2.17亿人,占民的44.7%。有过账号或密码被盗经历的民达1.21亿人。

黑客早已平民化

黄荣明称,虽然黑客盗号赚钱的灰色产业链一直存在

,但关注点已经发生变化了。

前几年,盗取游戏账号非常火。这两年电子商务相关的金钱交易更受黑客关注。因为黑客攻破用户账户信息后,就能直接窃取资金

。而且黑客的手段也多种多样

,有直接盗取账号,有制作假冒页获取资金等。支付宝、银等,都成为黑客的攻击对象。

据悉,现在黑客早已平民化。各种偷盗工具可以用钱买到,要成为一个普通黑客的门槛已经大大降低。来自360安全中心的监控信息显示,制作木马的行当甚至已形成品牌,一些站就以定做、出售各类盗号木马生成器为主业。

至于如何通过产业链渔利,360工程师宋申雷透露,通常有五种手段

。第一种,给其他站做推广,给用户发垃圾广告,或发送钓鱼址。第二,用户的邮箱可能和淘宝支付宝绑定,黑客直接盗刷。第三,用被盗用户的邮箱去刷粉丝。第四,获取用户账户里的有价值信息。第五,偷窥隐私、保密性质的东西,或者进行人肉搜索。

■ 提示

专家建议避免一码走天下

很多用户为了图省事,使用相同的邮箱、密码注册大量社区站,甚至有些用户还会使用自己的邮箱密码甚至银行卡密码作为站注册密码。

某大型电商站工程师陈皓在其博客酷壳上公布了他对CSDN外泄密码的分析:有近45万的用户使用和做口令;有近40万的用户使用自己的生日做口令;约15万的用户使用自己的号做口令。近25万的用户使用自己的号做口令;在全部600万用户中

,设置成弱口令的用户占了590万。陈皓称,一个密码泄露之后,连号甚至号、生日这些个人资料也外泄了。

这种一码走天下的方式看似省事,但只要有任何一个注册过的站发生用户资料外泄,不法分子就可能利用其中的账号、密码资料去别的站进行试探登录,获取用户的个人资料、隐私信息,导致用户的数字资产或实际资产损失。

陈皓给出了自己的密码管理建议,最基本的,应该拥有几组账号和密码:一个账号/密码用于一些大的可以依赖的站点,如:MSN、Gmail等,因为这些公司通常有足够的实力保护用户信息:另一个账号/密码用于一些国内的一些大的站,如,开心、新浪微博等;第三个账号/密码用于一些经济活动,如银,淘宝,支付宝。最后一个账号/密码设置得最简单,用于登录一些不安全或临时性需要注册的站。

■ 案例

胖胖牛两年前开始销售数据库

昨天,在站长的程序源代码交易论坛里,发现一个名为出售460万CSDN技术论坛问答数据的帖子。名为胖胖牛的版主,在帖子里称,他手里有CSDN问答数据460万条,ACCESS格式,每个文件一个版块,共292个文件,总体大小32G左右。

胖胖牛表示,购买者可联系他的,数据转移方式可以选择自行下载,也可以由我免费刻录DVD光盘并邮寄,交易方式可以中介,也可以淘宝。值得注意的是,胖胖牛的发帖时间是2009年8月10日,至今已有两年多时间了。

奇虎360公司工程师宋申雷称,虽然大规模的站用户信息泄露事件在圣诞节前后才爆发,但各大站的数据库信息很早之前就被黑客掌握,并且应该有很长一段时间了。在这段时间里,黑客们应该通过灰色产业链,赚了不少钱。

微信小程序店铺
微商城功能
软件零售
猜你会喜欢的
猜你会喜欢的