基本介紹
- 中文名:撞庫
- 外文名:Credential Stuffing
- 技術:資料庫安全防護技術
產生背景,操作程式,著名案例,
產生背景
用戶數據泄露一直是如今網際網路世界的一個焦點,從最近的京東撞庫抹黑事件,到之前的CSDN,如今用戶數據的泄露,服務商和黑客之間在用戶數據這個舞台上一直在進行著曠日持久的攻防戰。
操作程式
提及“撞庫”,就不能不說“脫庫”和“洗庫”。
在黑客術語裡面,”拖庫“是指黑客入侵有價值的網路站點,把註冊用戶的資料資料庫全部盜走的行為,因為諧音,也經常被稱作“脫褲”,360的庫帶計畫,獎勵提交漏洞的白帽子,也是因此而得名。在取得大量的用戶數據之後,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現,這通常也被稱作“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登入,叫做”撞庫“,因為很多用戶喜歡使用統一的用戶名密碼,”撞庫“也可以使黑客收穫頗豐。
“撞庫”是一種黑客攻擊方式。黑客會收集在網路上已泄露的用戶名、密碼等信息,之後用技術手段前往一些網站逐個“試”著登錄,最終“撞大運”地“試”出一些可以登錄的用戶名、密碼。
右圖是黑客,在“脫庫”“洗庫”“撞庫”三個環節所進行的活動。
著名案例
以京東之前的撞庫舉例,首先京東的資料庫並沒有泄漏。黑客只不過通過“撞庫”的手法,“湊巧”獲取到了一些京東用戶的數據(用戶名密碼),而這樣的手法,幾乎可以對付任何網站登錄系統,用戶在不同網站登錄時使用相同的用戶名和密碼,就相當於給自己配了一把“萬能鑰匙”,一旦丟失,後果可想而知。所以說,防止撞庫,是一場需要用戶一同參與的持久戰。
2014年12月25日,12306網站用戶信息在網際網路上瘋傳。對此,12306官方網站稱,網上泄露的用戶信息系經其他網站或渠道流出。據悉,此次泄露的用戶數據不少於131,653條。該批數據基本確認為黑客通過“撞庫攻擊”所獲得。
2018年6月5日報導,前不久,浙江省杭州市餘杭區人民檢察院對譚某某非法獲取計算機信息數據,葉某某、張某某提供侵入計算機信息系統數據案提起公訴。2018年5月21日,餘杭區人民法院對此案作出判決,被告人譚某某因犯非法獲取計算機信息系統數據罪,被判處有期徒刑三年,緩刑四年,並處罰金人民幣四萬元;被告人葉某某因犯提供入侵計算機信息系統程式罪,被判處有期徒刑三年,緩刑四年,並處罰金人民幣四萬元;被告人張某某因犯提供侵入計算機信息系統程式罪,被判處有期徒刑三年,緩刑三年,並處罰金人民幣三萬元。據悉,這是全國範圍內針對撞庫打碼案件的首次判例。法院完全採納檢察院的起訴意見。