【警惕】外泄数据有啥用？黑客常常用来搞这事儿…

互联网曾经流传过的泄露事件

2011年12月21日，黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄。

2014年12月，12306上的超13万条用户数据，在网上被传播售卖，包括账号密码、身份证、邮箱等。

2015年，线上票务营销平台大麦网被发现存在安全漏洞，600余万用户账户密码遭到泄露。

2015年，网易163/126邮箱数亿账号信息泄漏。

2016年，3200多万个Twitter用户登录信息被放到“暗网”上叫卖。

2017年3月至7月期间，美国凯悦集团旗下11个国家的41家凯悦酒店支付系统被黑客入侵，大量客户信息泄露。

2018年6月，著名二次元网站AcFun承认，受黑客攻击致用户数据外泄。

2018年6月，前程无忧51Job.com部分用户信息在暗网上被公开销售。

2018年7月，新加坡政府公开承认，黑客入侵了新加坡保健服务集团(SingHealth)的系统，盗取了150万名患者的个人信息，其中甚至包括总理李显龙的个人信息。

近年来，各大网站、应用乃至医疗等机构的信息泄露不断，引起了广大网民对数据资产保护的警觉。但是面对频发的数据外泄事件，仍有不少网民天真地认为：外泄数据的安全风险会随着事件落幕而消失。其实，事实并非这样。那么，针对外泄的数据，黑客究竟会用来做什么呢？凭证填充（Credential Stuffing）攻击首当其冲，究其根源却是用户倾向在多平台循环使用相同密码。

凭证填充（Credential Stuffing）攻击，是一项利用僵尸网络（botnet）以自动化方式，不断使用盗取的登录凭证试图登入网络服务的一种攻击技巧，俗称撞库。这项手法使用大量外流的电子邮件地址和密码，再搭配自动化脚本，以疲劳轰炸的方式不断试图登入网络服务，直到某一组帐号密码成功为止。此攻击技巧很可能让企业因为诈骗、网络中断导致业务停摆、系统修复以及商誉受损等等而造成损失。

亚信安全提醒：目前，金融业与零售业依旧是这类攻击的主要目标，因为这类自动化攻击非常容易实行。而且移动设备与网站的界面和操作系统通常会尽可能精简，因为冗长的加载时间不利于客户和合法使用者的在线体验。同时，客户和员工也习惯在多个网络帐号上使用相同的电子邮件与密码组合，而企业也仍在使用一些老旧或厂商已不再支持的操作系统。除此之外，企业的员工和现有系统也无法有效分辨正常使用者与网络犯罪集团的登录活动。

亚信安全教你四招防范“撞库攻击”