2015年，從某易郵箱到某榴社區(qū)，無數(shù)平臺的用戶信息遭到泄露。由于很多人在不同平臺的注冊名和密碼都是一樣的，所以不法黑客們會用這些已經(jīng)泄露的信息去嘗試登陸其他平臺，這種行為被稱為“撞庫”。

來自四面八方的泄露信息不斷被黑色產(chǎn)業(yè)匯集，然后進(jìn)行撞庫，雪球越滾越大。借助撞庫，黑產(chǎn)的觸角從一些普通的技術(shù)、社交平臺，逐漸蔓延到資金和敏感信息密集的平臺。無論從哪個(gè)角度來看，樹大招風(fēng)的阿里巴巴都難逃一劫。

威脅情報(bào)平臺NOSEC的創(chuàng)始人趙武描述了這樣一個(gè)“劇本”：

A君對全網(wǎng)進(jìn)行掃描，得到了諸多用戶信息，轉(zhuǎn)賣給B；

B君用C君的信息進(jìn)行了撞庫；

B君得到了C君在Y企業(yè)的帳號密碼；

Y企業(yè)表示很冤枉。

這種躺槍的場景，是互聯(lián)網(wǎng)安全行業(yè)屢屢上演的“樣板戲”。2月初，警方根據(jù)阿里巴巴的報(bào)案，抓獲了對阿里巴巴進(jìn)行“撞庫”的犯罪團(tuán)伙。讓人不寒而栗的是，不法黑客們手里居然有將近1億個(gè)賬戶信息，其中有2059萬的用戶名和淘寶用戶名匹配。

【從撞庫的數(shù)據(jù)來看，其中有約一半為網(wǎng)易郵箱的用戶】

某安全從業(yè)人員分析說：

即使阿里巴巴把用戶信息保護(hù)做得天衣無縫，它也無法完全規(guī)避用戶信息泄露。因?yàn)檫@些信息很可能是從和阿里沒有一點(diǎn)關(guān)系的平臺泄露出去的。

曝光之后，阿里巴巴緊急澄清，表示這2059萬用戶信息的大部分撞庫行為都被攔截了。雖然阿里巴巴并沒有給出成功攔截的具體數(shù)量，但是目前沒有大規(guī)模的用戶損失被爆出。然而，阿里巴巴通過技術(shù)手段組織了黑客的惡意撞庫行為，并不表明黑客手中的用戶資料有錯(cuò)誤。也就是說，這2059萬真實(shí)用戶信息的一部分，已經(jīng)流落到了黑色產(chǎn)業(yè)之中。

阿里巴巴表示，對于被撞庫的賬號用戶，已第一時(shí)間進(jìn)行安全提示和密碼修改提醒，并采取臨時(shí)保護(hù)措施，直至用戶完成密碼修改。

這次風(fēng)波看似過去，但事實(shí)上你身邊的信息泄露，比想象中更嚴(yán)重。有數(shù)據(jù)顯示，目前中國的賬戶信息泄露已經(jīng)累計(jì)超過十億個(gè)。這十億個(gè)賬戶，隨時(shí)會卷土重來，沖擊“阿里巴巴們”的防線。

為了安全起見，童鞋們還是要管好自己的密碼。在腦力允許的情況下，盡可能在不同的平臺使用不同的用戶名和密碼。另外，在過年給自己買新衣服的同時(shí)，也順便換一個(gè)新密碼吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。