求职APP遭遇撞库攻击导致300余万条用户数据泄露
“撞库”(Credential Stuffing Attack)按中文的字面意思解读,就是“碰撞数据库”的意思。
简单说就是一种黑客攻击方式:黑客拿到大家在A平台注册的账号密码后,形成“密码库”,然后去B平台、C平台“试”着登录。
当你在不同平台使用相同的用户名和密码时,就相当于给黑客配了一把“万能钥匙”,只要登录成功,黑客就能随心所欲地获取你的个人信息,甚至进行数据的盗卖,这对个人和企业来说,都是巨大的安全隐患。
专项行动 案情发现
前段时间,北京警方接到辖区内一互联网公司报案,称该公司的求职招聘类app的短信验证码接口遭受攻击达1300余万次!
这次攻击还成功匹配注册账号30余万个,造成经济损失不说,也危及群众信息安全。
北京警方迅速研判,确定这是一起黑客利用网站漏洞非法获取账号信息并用于违法活动的案件。
快速反应 循线追踪
针对此案件,北京市公安局网安总队会同朝阳分局立即成立专案组开展侦查,最终确定了喻某有重大作案嫌疑,迅速在四川省自贡市将其抓获。
据喻某交待,其于2022年10月18日注册该招聘网站账号,数次尝试验证接口。
他发现该网站的签名算法相对单一,于是利用此弱点编写指令,制作黑客软件,对该网站进行撞库攻击。
同时该喻还长期使用类似的方式对其它各大网站进行渗透并伺机查找网站漏洞,并以此为诱饵向他人兜售自己编写的恶意程序和黑客工具,从中牟取利益。
深挖研判 成功收网
通过对喻某的审查,一个集编写恶意程序、实施撞库攻击、泄露数据资料为一体的“撞库黑客”团伙逐渐浮出水面。
在办案民警的不懈努力下,专案组成功在四川成都将另一名嫌疑人焦某抓获,现场起获各类公司、人员数据330余万条。
据交待,该人以3000元的价格从喻某手中购来其编写的恶意程序,长期在境外网站盗卖由撞库非法获取的大量公民个人信息及公司账号数据,并使用虚拟币进行交易。
目前,犯罪嫌疑人喻某、焦某因破坏计算机信息系统被依法刑事拘留,案件正在进一步办理中。
网警有话说
1
设置密码时,避免过于简单、易猜。
2
在公共设备上登录个人账号时,不要勾选“记住密码”、“默认登录”等选项,尽可能选择匿名登录。
3
使用需填写重要账号密码的第三方app或不知名应用时,要持谨慎态度,尽量减少透露个人的详实信息。