1號店638組客戶資訊洩露 駭客“撞庫”獲取
- 發佈時間:2015-11-05 15:18:49 來源:新華網 責任編輯:金瀟
駭客非法獲取大量的用戶名及對應密碼後,利用程式逐一嘗試登錄其他網站。由於很多網民在不同的網站、論壇、電子信箱註冊時使用的用戶名和密碼完全相同,駭客成功登錄有一定的概率。
這種利用網民上網習慣竊取資訊的方式,叫“撞庫”。法晚記者(微信公號:fzwb_52165216)日前從上海市浦東新區法院獲悉,該院日前審結的一起案件,被告人馬某某正是通過“撞庫”的方式非法獲取了1號店的用戶名和密碼資訊638組,後被法院以非法獲取電腦資訊系統數據罪判刑半年。
駭客竊取1號店客戶資訊被判
2015年6月15日,上海市浦東新區檢察院以非法獲取電腦資訊系統數據罪對馬某某提起公訴。
檢察院指控,2014年,馬某某購進大量郵箱用戶名和密碼資訊後,又購買了“1號店.exe”程式。
該程式可以批量導入用戶名及密碼,並使用導入的用戶名密碼對1號店網站進行批量查詢、檢測。
2014年11月,馬某某對上海益實多電子商務有限公司下屬1號店網站實施“撞庫”行為,共非法獲取1號店網站客戶用戶名密碼資訊638組。
2015年1月29日,馬某某被公安機關抓獲,到案後如實供述了犯罪事實。
浦東新區法院審理後認為,馬某某違反國家規定,採用技術手段獲取電腦資訊系統中存儲的數據,情節嚴重,其行為已構成非法獲取電腦資訊系統數據罪。鋻於馬某某到案後能如實供述自己的罪行,依法從輕處罰。
2015年6月24日,浦東新區法院以非法獲取電腦資訊系統數據罪判處馬某某有期徒刑6個月,罰金人民幣2000元,涉案電腦硬碟予以沒收。
通過“撞庫”作案 有一定成功概率
在北京經營電腦安全公司的白先生告訴《法制晚報》記者(微信公號:fzwb_52165216),撞庫是指駭客通過收集網際網路已洩露的用戶和密碼資訊,生成對應的字典表,嘗試批量用收集來的這些用戶名和密碼,去登錄其他網站,得到一系列可以登錄的用戶名。
“打個比方,駭客通過非法手段獲取或購買了某個消費者在噹噹網的用戶名和密碼後,他用這個用戶名和密碼,嘗試著登錄亞馬遜、京東商城、淘寶……因為很多網購消費者在不同的電商網站上設定的用戶名和密碼都是相同的,因此有一定的成功登錄的概率。撞庫,顧名思義,有撞大運的成分。”他介紹説。
他表示,撞庫的前提,是駭客提前獲得大量的用戶名和密碼,有的是自己買來的,有的是自己“黑”到別的網站上獲取的,這個過程叫“拖庫”。一般來説,駭客會“黑”進某個含有巨大價值的網站,把網站的數據全部盜走,然後分檢出有用資訊。
網購達人易遭到四渠道攻擊
2014年12月底,鐵路購票網站12306的大量用戶賬號、明文密碼、身份證等敏感資訊洩露,有人在網上公開售賣,涉及用戶約14萬個。
有網路安全人員搜索以往網際網路上的數據進行了匹配,基本可以確認該批數據是通過“撞庫”獲得。
今年年初,消費者組建“京東盜刷維權”QQ群,稱下單後接到騙子電話,每人的被騙金額從數千元到數萬元不等。
2015年3月14日,京東商城表示,發生用戶資訊洩露的原因,是部分保護用戶資訊安全意識較為薄弱的網站可能存在批量洩露用戶資訊的情況,被不法分子獲取後,使用撞庫的方式獲取京東商城的用戶資訊,進而冒充客服人員詐騙。
據澎湃新聞報道,2015年8月25日,多人稱電商網站唯品會洩露了他們的賬戶資訊,有人自稱“唯品會客服人員”實施電話詐騙。
目前反映接到此類詐騙電話的唯品會消費者已有20余人,遍佈全國10多個省市,其中個人被騙金額最高4萬多元。
2015年8月21日,唯品會官方稱,其一直嚴格對客戶資訊進行加密保護,“可能是駭客利用‘撞庫’技術盜取了消費者的賬戶資訊。”
百度安全中心曾表示,駭客千方百計獲取用戶資訊的唯一目的無非是為獲利。目前,駭客在獲得用戶資訊後,一般會通過以下幾種途徑來迅速獲利。
一是售賣用戶賬號中的虛擬貨幣、遊戲賬號、裝備等變現,也就是俗稱的“盜號”。
二是獲取金融類賬號,比如:支付寶、網銀、信用卡、股票的賬號和密碼等,用來進行金融犯罪和詐騙。
三是對於一些比較特殊的用戶資訊,如:學生、打工者、老闆等,則會通過發送廣告、垃圾短信、電商行銷等方式變相獲利。
四是將有價值的用戶資訊直接出售給第三方,如網店經營者和廣告投放公司等。
解密“撞庫”
1 “黑”來基礎數據 拖庫
駭客到一些網站、論壇上搜尋目標,竊取客戶的用戶名、密碼、身份證號等資訊。
2 對數據進行分類 洗庫
駭客將上述數據庫資訊進行分類,大致分為:金融賬戶、遊戲賬戶、個人真實資訊三類,有的駭客將這三類資訊進行售賣獲取現金收益,有的則繼續進行下一步“撞庫”。
3 試探性登錄其他網站 撞庫
駭客通過技術手段將已經獲取的個人資訊拿到其他網站進行試探性登錄——得到更多個人資訊,再次進行售賣,為他人進行金融詐騙提供條件。
網購提醒 不同網站上 多換用戶名和密碼
在北京經營電腦安全公司的白先生表示,駭客會“撞庫”成功,是因為很多網民使用的用戶名和密碼過於單一。
“如果某個網民平時在大量的網站、論壇、電子郵箱都註冊了資訊,但註冊的用戶名密碼都是同一個,那麼,他被‘撞庫’成功的概率就非常大。”白先生説。
白先生提醒電商購物者,在不同的電商網站註冊,最好設定不同的用戶名或密碼,且密碼不能過短。在保存密碼時,也不要將所有網站的用戶名密碼都存在電腦裏,防止電腦被遠端控制後,洩露全部的資訊。另外,白先生建議,最好養成定期修改密碼的習慣。
“在駭客面前,大部分網民的IT知識顯得太貧乏,這就需要網站承擔起減少網路安全風險的責任。”白先生説,網站從建設上應採用更先進的安全技術,增加保護手段,比如使用動態密碼、圖片驗證等,來確保用戶資訊安全。
發生“撞庫”侵權責任如何確定
北京京師律師事務所合夥人王曉營告訴《法制晚報》記者(微信公號:fzwb_52165216),全國人大常委會通過《關於加強網路資訊保護的決定》後,網路個人資訊保護有了法律依據。新《消費者權益保護法》也增加了保護消費者個人資訊的規定。
王曉營説,洩露個人資訊也是侵權,關鍵是要確定責任誰來擔。她説,如果是從網站洩露了個人資訊,要區分故意洩露還是過失洩露。
若是過失洩露,則採用過錯推定原則。“也就是説,首先推定網站存在過錯,由網站來舉證,證明自己已經盡到安全保護責任。”她説。
還有最後一種情況是網站對洩露事件不知情,屬於不可抗力的事件,但網站要證明自己盡到了安全義務。