为什么密码会被泄露？”撞库“不可忽视

徐玉玉事件尚未平息，广东揭阳又一女大学生因被骗万元学费后自杀身亡，面对这种层出不穷的诈骗事件，我们不禁要问，我们的信息如何落到骗子手中？有人可能会说，我们的信息被平台商卖给了骗子！或者说平台商出现漏洞。

但实际上，客户的信息对于大部分厂商来说属于重要的资产信息，一般不会卖给第三方，而随着互联网安全的逐步发展，平台商的漏洞也比较少见了。其实我们纵观最近的互联网安全事件，一种名为“撞库”或者“刷库”的手法我们不可忽视。

2015年10月份，国内著名的漏洞报告平台”乌云“宣布，其收到泄密报告称，网易163、126邮箱有过亿数据可能被泄露。其中包括用户名、密码、密码密保信息等。而针对此事，网易方面曾回应称：”网易邮箱数据库不存在被攻击和泄露情况，黑客获得部分用户在其他网站与网易邮箱同名的账号和密码，并以此账号和密码来尝试在其他网站的登录，并非网易邮箱数据库泄露”。

国外目前最火的黑客组织——OurMine虽然只有三个成员，但却破解了许多国外科技公司高管们的社交账户，这其中就包括音乐流媒体服务公司Spotify CEO丹尼尔·埃切的社交媒体账户，Facebook CEO马克·扎克伯格的Twitter和Pinterest账户。对于OurMine团队的其他攻击行为，OurMine团队的一名成员表示，他们是通过Bit.ly网站的漏洞，黑了亚马逊的Werner Vogels和Randi Zuckerberg，因为他们的Twitter账号与Bit.ly网站相关联。

以上的两个事件的信息泄露的原因都不是来至于网站自身漏洞，而是通过其他网站的部分数据，通过数据关联、整理和分析得到相关的信息。这种”撞库攻击“此前也曾发生在12306网站之上，2014年12月25日，12306网站用户信息在互联网上疯传，对此，12306官方网站称，网上泄露的用户信息系经其他网站或渠道流出。

这些数据从哪里来的？有个数据库叫“社工库”，社工是社会工程学的简称，而运用在计算机中，就是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。“社工库”里有大量信息，甚至可以找到每个人的各种行为记录，比如酒店开房记录、个人身份证、姓名和电话号码。”撞库攻击“就是通过攻击者通过”社工库“里A网站的账号密码尝试登陆B网站，而我们常听说的”人肉“也是基于“社工库”以及”撞库攻击“。

”社工库“数据又来自于哪里？我们上网购物，看视频，逛论坛等都不免会留下自己的个人信息，这种信息甚至包括你喜欢的蛋糕口味，爱看的电影类型，常关注的话题等等。一些黑客就侵入有价值网站进行“拖库”（也称”脱库“或”洗库“），把注册用户的资料，会员的信息或者自己需要的信息提取出来。

针对”社工库“，监管难度较大，一方面消费者上网时不免会泄漏相关个人信息，另一方面，很多社工库网站服务器架设在境外，想彻底封掉这些网站非常困难。针对”撞库攻击“，我们个人能做的有限，只能常常更换密码，尽量不要使用相同的密码登陆不同网站，不连公共场合的不明来历的WIFI。在这里小编也推荐读者及时查询自己的账号信息是否已被社工库录入，以防密码泄漏造成不必要的损失。查询链接