“撞库”这把利剑,随时可能击中每一个人

2018-11-19 15:48:00 作者:佚名 出处 : 比特网

  10月24日晚间时分,国泰航空发布一份重要公告称,发现公司及其全资子公司港龙航空的大量乘客资料被窃取。

  其中包含:

  · 940万乘客的姓名、生日、电话、邮箱、地址、身份证、护照号及飞行记录等详细个人敏感信息;

  · 403张信用卡账号,27张无安全码信用卡账号;

  · 86万个护照号码,24万5千个香港身份证号码……

  不禁让人想起在九月一度被华住酒店数据泄漏支配着的恐惧——

  · 1.23亿条华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB。

  · 1.3亿入住人登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB。

  · 2.4亿条酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB。

  5亿余条包含姓名、身份证号、手机号、密码、家庭住址等详细信息的数据泄漏,使得“华住事件”成为近5年国内最大、最严重的个人信息泄露事件。

  虽然直至目前,国泰航空、华住两次事件的官方声明均宣称没有相关信息被攻击者利用的情况发生,但是如此庞大而详细的个人数据遭到泄漏,后续而来的潜在安全风险就仍然如同一把达摩克利斯之剑,在每一个牵连者头上高悬。

  以利用已知账号密码尝试登陆其他平台的撞库攻击为例,一旦黑客利用已经泄漏的数据进行撞库攻击,那么,受影响的可能就不仅仅是网友言的“家庭关系”了……

  01 撞库到底是什么?

  所谓“撞库”,就是黑客界的“以一当百”。

  当黑客透过入侵窃取或从黑色产业链购买获得大量账号密码之后,就可以此尝试入侵受害者的其他网络账号。利用“许多用户都会在不同网站上重复使用相同的登录名及密码”的行为弱点,黑客可以相对轻松地黑入用户在其他网站上的账号,进而一举网获大量账号为其所用

  9月在英国伦敦举办的第21届Information Security Conference (ISC2018)信息安全会议上进行的一项调查显示,居然有45%的与会安全人士重复使用相同的密码,专业人士尚且如此,更不用说是一般用户了。

  截至今日,2018年黑客已经在网络上发布超过14亿笔已外泄的账号密码查询系统,并且大多提供了可以用比特币购买完整资料库的渠道。事实上,仅2017年全球外泄数据的笔数就高达78亿笔,其中包含大量账号和密码相关数据,为撞库攻击的进行提供了充足的弹药准备。

  02为什么撞库?

  简而言之,利益二字。

  以华住事件为例,黑客以8个比特币(约38.3万元人民币)或520门罗币(约36.5万元人民币)的打包价在暗网叫卖5亿华住集团客户的个人数据,千条信息不足1元;但该信息若被用于撞库,并挟持到用户的其他网站账号,尤其是电商、网银等账号,那一人身上可以得到的商业价值至少也能以百元计数。

  不仅如此,随之而来的敲诈勒索才是黑产利益的更大来源。拥有大量用户的平台,如航旅酒店、电商、网银更是感受到威胁甚巨,一旦被撞库成功、遭遇敲诈勒索,部分企业为了避免事态不断恶化造成难以估计的负面影响,会倾向于先向攻击者提供金钱来解决问题。

  因此,也就不难理解为什么许多犯罪分子明知盗取信息、撞库盗号是违法行为,但仍前赴后继了。然而,面对黑客广泛利用自动化攻击工具模拟合法用户操作,并利用大量跳板快速更换IP的新型攻击手段,企业毫无招架之力,传统基于特征比对及行为规则的防护机制几乎束手无策。

  03 我们怎么办?

  对个人:

  既然撞库攻击的基本原理就是以一套账号密码去尝试登陆不同平台,那么“换密码”就成了对个人而言最傻瓜却也最有效的应对方式。

  但是,经常有人吐槽“不要重复使用相同的账号密码”这句话在实际操作中实在有些难度。这里就介绍瑞数小编设置密码时常用的一个小方法——“固定+变化”模式,容易记、不重复。比如在River@2018这个基本密码之上,固定的就是“River@”,变化的就是“2018”,如果是新浪就设置为“River@Sina”,如果是百度就设置为“River@Baidu”,以此类推。

  当然,这种方式的密码设置也是基于一定规律,仍然容易被升级版的撞库工具识破,因此小编只是在此抛砖引玉,实际设置时大家还是可以在字母大小写、字母符号替换(如以!换i、以@换a)、顺序上做文章,避免密码的重复。

  对企业:

  虽然使用多因素认证或者两阶段验证可以大幅降低撞库的风险,但全面实施这类安全措施的推广过程还需要克服重重的内外部阻碍,同时这也会增加用户登录过程的额外负担,所以目前仍然只有少数大型网站支持这类安全机制。

  为了有效克服传统安全机制在对抗撞库攻击的重大挑战,必须要用新方法来解决老问题。改变传统的被动式安全防护策略,唯有创新的主动防御才可有效阻挡撞库及其他各类自动化攻击。

  瑞数信息的动态安全解决方案以“动态技术”为核心,可以高效甄别伪装正常行为的已知和未知自动化攻击,防止数据泄漏,防止黑客利用已经泄漏的用户信息及密码进行批量登陆,并尝试获取可登录账号,全面保障企业的数据安全和账户安全,让航旅企业和游客一同安心。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

Intel小调研

1. 请问您是否是企业的IT部门负责人/管理人员?

2. 请问您是否同意在迁移到Windows 10时,升级到搭载第八代英特尔酷睿处理器的电脑是至关重要的?

提 交

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。