撞库黑产无休止!京东、阿里、拼多多都曾着了道!
大数据产业创新服务媒体
——聚焦数据 · 改变商业
数据泄漏就发生在我们身边,它的出现或许是拨过来的陌生号码,发过来的垃圾信息,如此这般司空见惯。当它到来的时候或许我们在忙碌,无暇顾及,或许心生疑惑,却无从了解。它的背后究竟是什么?它和黑客攻击有什么关系?它究竟是什么面目?下面请大家跟随数据猿填补我们记忆中未知的真相和残缺的拼图。
李倩是某公司员工,常常接到陌生来电,这让她百思不得其解。如果这种情况有一次两次还好,但实际并不是。当这种骚扰变得普通、常见起来,就会影响我们的生活。专业人士就李倩的询问作了解答,这或许和数据撞库有关。李倩把数据撞库抛给周边人,无人知道这个名词的意思。专业人士讲到,简单理解,数据撞库就是通过搜索已知数据库的人员信息,来确认陌生人的联系方式。
百度词条解释,撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
黑客使用数据撞库的手段,出卖公司信息,泄露个人隐私,已经成为警察立案侦查、法院庭审追责的对象。
拼多多在2019年被羊毛党撞库,薅走“年货节”最大阈值优惠券。根据拼多多提供的信息显示,黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券,系拼多多此前与一档电视节目(江苏卫视《非诚勿扰》)开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。
拼多多强调称该优惠券系黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群,拼多多从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。
这部分优惠券被通过即时充值的话费、Q币等模式迅速洗成现金,在发现拼多多并未及时(从出现到被修补接近10小时)对此优惠券做出回应后,羊毛党开始通过社交渠道将此漏洞公布,大量普通用户也开始加入到这个行列中。
同样,阿里也不断遭遇撞库攻击,尝遍野火烧不尽,春风吹又生之恨。根据阿里巴巴发布的《阿里聚安全2016年报》显示,2016年在各种互联网业务活动中,缺乏安全防控的红包、优惠券促销活动,会被“羊毛党”以机器、小号等各种手段抢到手,70%~80%的促销优惠会被“羊毛党”薅走。一些羊毛党在电商促销期间抓住商家优惠措施漏洞后疯狂购买,然后和商家进行商谈后(因为商家无力支持发货)进行勒索,日收入甚至可以超过10万元。
京东在2015年也发生过数据撞库事件。当时,一百多名受骗者自发组成了维权QQ群,讲述了被“京东客服”诈骗金钱的真实经历。诈骗者不仅能准确说出消费者的下单信息,甚至连消费者的个人信息都了如指掌。此外,诈骗者仅凭一条短信验证码即可转走用户银行中钱财,这和京东推出的一款名叫"网银+"的快捷支付不无关系。
在该事件中,其实,京东的数据库并没有泄露,黑客通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名、密码),而这样的手法,几乎可以对付任何网站登录系统。用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。
……
阿里、京东、拼多多等,所谓的高精尖电商平台,无一幸免。面对黑客诈骗行径,警察绝不姑息。2017年3月,绍兴警方在沈阳破获一个高智商犯罪团伙,该团伙建立的“快啊”打码平台专为网络黑产和灰产识别破解字符型验证码提供技术帮助。据同盾科技提供的数据显示,2017年前三季度,企业平均每天要遭受241万次薅羊毛攻击,造成的损失在千万级别。
基于数据撞库手段,黑客们一顿猛如虎的操作,都是为了背后巨大的利益。
湖北籍男子汪某在2019年被警方以非法获利逮捕。他毕业后一直无业,便利用其掌握的计算机能力,控制了多个热门网络平台的大量账号,随后通过在网上承接点赞刷量、发布广告等业务赚钱。同时汪某还编写了大量撞库代码,对目前网络上比较热门的网络平台进行撞库,接着控制撞库获取的账户,累计获利上百万元。
北京字节跳动在汪某的算计下损失惨重。汪某攻击了字节跳动旗下抖音App千万级外部账号,使用的正是数据撞库技术手段。海淀警方接到字节跳动报案后,经过一番彻查,对汪某实施逮捕,汪某对犯罪事实供认不讳。
据了解,近年来大型网站被“撞库”的事件频发,黑客动机源于不劳而获心理,坐收“撞库”利益。知名自媒体人“三表龙门阵”称,2019年3月,企鹅号被爆出“露露事件”,自己的企鹅号被盗号后改名为“娱乐与露露”,并发表了大量娱乐八卦文章。两个月里,该账号从腾讯获取了7万余元的收入。
腾讯对三表解释,这是“做号集团”购买了他的高级企鹅账号信息。三表认为“做号集团”用更少的时间竟然赚取了自己耕耘数年未能达到的平台收益量,对此,他深感“做号集团”对流量的洞察、平台的算法、编辑的喜好了解甚至比自媒体透彻得多,表示不可思议。他开始搜集证据,并了解到,在巨大的利益下,部分平台存在内部工作人员与外部“做号集团”勾结的情况,他们共同“养号”,获取利益抽成。还有一篇名为《自媒体做号江湖》揭露,做号者一人申请10个号,每篇5分钟写好,月入3万进账,碾压原创作者收入;更有甚者组建团队,抄袭者收益比原创高。
不禁推测,企鹅号宣布100亿扶持的计划,难道早已内外勾结蚕食殆尽?
相同的撞库手法,这次黑客选择了另外的攻击平台。胡某和马某一夜之间盗取多名百度云用户账号,他们网盘内所存的大量文件消失,有的甚至被塞满黄片。海淀警方先后远赴河北和深圳,将两位嫌疑人抓获归案。以卖渔具为生的胡某兼职做“黑客”,一年间购买和免费获取账户密码信息近3000万条,网购撞库软件将这些信息批量登录百度账户,筛出正确账号密码50余万条,并将有现金的账号在网上出售,获利5万余元。
黑客眼红撞库暴利,他们很容易获得与使用与用户有关的各类信息,如手机号码、身份证号码、家庭住址、支付宝或网银信息等,此类信息支撑犯罪分子进行各种诈骗、盗刷等,扩大自身获利空间。
黑客猖獗,肆意攻击网络数据。究其原因,是因为越来越多的人变得浮躁,不想脚踏实地获取成功,总想要一步就位拿到钱。其实,命运给你的馈赠,早已在暗中标了加码,等待黑客的将是严肃的处罚。
对企业来讲,数据安全是一道门槛,里面就是用户的信任或企业的核心机密。一旦门槛废除,原因和后果大家都清楚明白,比如企业数据安全系统存在bug,才让黑客有机可乘,比如企业自身做不好数据安全防护,如何成为让用户信赖的品牌等。
Akamai亚太区云安全区域副总裁Unmesh Deshmukh表示:针对撞库攻击,Akamai推出了爬虫管理解决方案,据介绍,该方案利用人工智能和机器学习技术,能够有效的识别出哪些是人工流量,哪些是爬虫流量。
Unmesh Deshmukh表示,爬虫管理方案的实施分为三个步骤:第一步,判断流量是否来自爬虫;第二步,判断该爬虫是好爬虫还是恶意爬虫,以航空公司为例,客户会在其平台上购买机票,这就要判断爬虫行为是不是来自于客户的购票行为,如果属于客户的行为,就是好爬虫;第三步,根据爬虫类型采取相应管理措施。
“一般的处理手段是对恶意爬虫进行阻挡,但这样的效果并不明显,因为挡住了一处,别处就会有越来越多的爬虫。原因在于运行爬虫的人很聪明,如果感知到异常,他会修改爬虫程序,使之更加智能、更难防范。所以可以给它一个极慢的速度或者将计就计给他提供虚假的信息。”
撞库还可以通过数据库安全防护技术解决,数据库安全技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
企业和个人联手,筑起抵御黑客攻击的城墙。企业注重安全意识,落实数据安全防控指南,升级数据安全保护技术。个人谨记切勿在多个平台留下相同的账号密码,自己做好平台账号密码笔记,设置多个不同平台密码,并增加密码难度,不给黑客留下任何打击的机会。
文:华笙 / 数据猿
—— / END / ——
●《看过大佬们发的朋友圈之后,我相信:明天会更好,明年定会春暖花开》条漫