作者 | 漫話編程
本文經授權轉載自漫話編程(ID:mhcoding)
最近,安全圈又有一個大新聞,微博名為@安全_雲舒的微博用戶在發文稱:“很多人的手機號碼洩露了,根據微博賬號就能查到手機號……已經有人通過微博洩露查到我的手機號碼,來加我微信了。”
並且,據說微博CEO的手機號碼也被洩露了!
這件事情鬧得挺大,經常刷微博的女朋友也知道了,然後過來問我:
微博CEO @來去之間 轉發微博稱數據"是 2014 年以前網易那次撞庫的"
撞庫
”撞庫”是黑客通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。
很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為撞庫攻擊。
說的簡單一點,就是一個小偷,入室盜竊後偷到了一串鑰匙,然後他拿著這串鑰匙,在整個小區裡面挨家挨戶的進行開鎖。這個過程就是撞庫。
微博官方解釋稱,網絡上的洩露數據來源於:"2018 年底,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱"。
這種操作確實是撞庫的一種,就是拿著事先準備好的批量手機號,再通過微博的接口匹配對應的微博賬號。
這說明之前確實因為微博的接口自身不夠安全,導致數據被別人通過撞庫的方式獲取到了。雖然後期及時加強了安全策略,但是還是有一大批數據被暴露了。
漏水
"漏水"是指某些企業自身出現風險導致的數據洩露。
一般是因為企業沒有按照統一規範流程搭建業務,比如沒有做好關鍵數據隔離、沒有做好權限分層管控、沒有做好數據加密存儲等而出現的數據安全問題。
拖庫
拖庫本來是數據庫領域的術語,指從數據庫中導出數據。到了黑客攻擊氾濫的今天,它被用來指網站遭到入侵後,黑客竊取其數據庫。
黑客通過技術手段竊取數據庫的過程叫做拖庫。就像小偷偷東西是一樣的。
“拖庫”的通常步驟為:
1、黑客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞等。(小偷蹲點)
2、通過該漏洞在網站服務器上建立“後門(webshell)”,通過該後門獲取服務器操作系統的權限。(小偷想辦法進入室內)
3、利用系統權限直接下載備份數據庫,或查找數據庫鏈接,將其導出到本地。(小偷盜走值錢的東西)
小偷想要入室盜竊的前提就是可以入室,那麼,在互聯網中,黑客一般都是利用網站自身存在的漏洞來入侵的。
最常見的網站入侵的方式就是黑客利用網站的漏洞來對網站進行攻擊。這裡說的網站漏洞包括網站應用自身的漏洞、網站使用的WEB服務器的漏洞、網站使用的開源框架中的漏洞、網站使用的數據庫漏洞等。
比如,如果應用自身沒有做防SQL注入、存在文件上傳漏洞等,就極大可能被黑客入侵。
黑客還有可能會利用系統漏洞,在特定的網站上進行掛馬,如果網站管理員在維護系統的時候不小心訪問到這些網站,就可能被植入木馬,也會引發後續的拖庫風險。
洗庫
“洗庫”,屬於黑客入侵的一種,就是黑客入侵網站,通過技術手段將有價值的用戶數據歸納分析,售賣變現。
說的簡單一點,就是一個小偷,入室盜竊後偷到了很多東西,他對這些贓物分類,然後進行銷贓的過程。
就像本次 5.38 億條微博用戶信息在暗網出售,其中,1.72 億條有賬戶基本信息,售價 0.177 比特幣。這個過程就是在洗庫。
本次洗庫的內容涉及到的賬號信息包括用戶 ID、賬號發佈的微博數、粉絲數、關注數、性別、地理位置等。有用戶在 Telegram 上通過交易,已經買到了自己微博綁定的主要信息,包括賬號身份證號、密碼、手機號等等。
作者簡介:漫話編程,是一個通過漫畫+音頻的形式講解枯燥的編程知識的公眾號。致力於讓編程變得更有樂趣。
閱讀更多 CSDN程序人生 的文章
