最近，安全圈又有一個大新聞，微博名為@安全_云舒的微博用戶在發(fā)文稱：“很多人的手機(jī)號碼泄露了，根據(jù)微博賬號就能查到手機(jī)號……已經(jīng)有人通過微博泄露查到我的手機(jī)號碼，來加我微信了。

[[319572]]

”并且，據(jù)說微博CEO的手機(jī)號碼也被泄露了!(微博CEO，微博名@來去之間，江湖人稱"來總")

這件事情鬧得挺大，經(jīng)常刷微博的女朋友也知道了，然后過來問我：

微博CEO @來去之間 轉(zhuǎn)發(fā)微博稱數(shù)據(jù)"是 2014 年以前網(wǎng)易那次撞庫的"

撞庫

”撞庫”是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。

很多用戶在不同網(wǎng)站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫攻擊。

說的簡單一點(diǎn)，就是一個小偷，入室盜竊后偷到了一串鑰匙，然后他拿著這串鑰匙，在整個小區(qū)里面挨家挨戶的進(jìn)行開鎖。這個過程就是撞庫。

微博官方解釋稱，網(wǎng)絡(luò)上的泄露數(shù)據(jù)來源于："2018 年底，有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄，匹配出幾百萬個賬號昵稱"。

這種操作確實(shí)是撞庫的一種，就是拿著事先準(zhǔn)備好的批量手機(jī)號，再通過微博的接口匹配對應(yīng)的微博賬號。

這說明之前確實(shí)因?yàn)槲⒉┑慕涌谧陨聿粔虬踩?，?dǎo)致數(shù)據(jù)被別人通過撞庫的方式獲取到了。雖然后期及時加強(qiáng)了安全策略，但是還是有一大批數(shù)據(jù)被暴露了。

漏水

"漏水"是指某些企業(yè)自身出現(xiàn)風(fēng)險導(dǎo)致的數(shù)據(jù)泄露。

一般是因?yàn)槠髽I(yè)沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，比如沒有做好關(guān)鍵數(shù)據(jù)隔離、沒有做好權(quán)限分層管控、沒有做好數(shù)據(jù)加密存儲等而出現(xiàn)的數(shù)據(jù)安全問題。

拖庫

拖庫本來是數(shù)據(jù)庫領(lǐng)域的術(shù)語，指從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)。到了黑客攻擊泛濫的今天，它被用來指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫。

黑客通過技術(shù)手段竊取數(shù)據(jù)庫的過程叫做拖庫。就像小偷偷東西是一樣的。

“拖庫”的通常步驟為：

1、黑客對目標(biāo)網(wǎng)站進(jìn)行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞等。(小偷蹲點(diǎn))

2、通過該漏洞在網(wǎng)站服務(wù)器上建立“后門(webshell)”，通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。(小偷想辦法進(jìn)入室內(nèi))

3、利用系統(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫，或查找數(shù)據(jù)庫鏈接，將其導(dǎo)出到本地。(小偷盜走值錢的東西)

小偷想要入室盜竊的前提就是可以入室，那么，在互聯(lián)網(wǎng)中，黑客一般都是利用網(wǎng)站自身存在的漏洞來入侵的。

最常見的網(wǎng)站入侵的方式就是黑客利用網(wǎng)站的漏洞來對網(wǎng)站進(jìn)行攻擊。這里說的網(wǎng)站漏洞包括網(wǎng)站應(yīng)用自身的漏洞、網(wǎng)站使用的WEB服務(wù)器的漏洞、網(wǎng)站使用的開源框架中的漏洞、網(wǎng)站使用的數(shù)據(jù)庫漏洞等。

比如，如果應(yīng)用自身沒有做防SQL注入、存在文件上傳漏洞等，就極大可能被黑客入侵。

黑客還有可能會利用系統(tǒng)漏洞，在特定的網(wǎng)站上進(jìn)行掛馬，如果網(wǎng)站管理員在維護(hù)系統(tǒng)的時候不小心訪問到這些網(wǎng)站，就可能被植入木馬，也會引發(fā)后續(xù)的拖庫風(fēng)險。

洗庫

“洗庫”，屬于黑客入侵的一種，就是黑客入侵網(wǎng)站，通過技術(shù)手段將有價值的用戶數(shù)據(jù)歸納分析，售賣變現(xiàn)。

說的簡單一點(diǎn)，就是一個小偷，入室盜竊后偷到了很多東西，他對這些贓物分類，然后進(jìn)行銷贓的過程。

就像本次 5.38 億條微博用戶信息在暗網(wǎng)出售，其中，1.72 億條有賬戶基本信息，售價 0.177 比特幣。這個過程就是在洗庫。

本次洗庫的內(nèi)容涉及到的賬號信息包括用戶 ID、賬號發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。有用戶在 Telegram 上通過交易，已經(jīng)買到了自己微博綁定的主要信息，包括賬號身份證號、密碼、手機(jī)號等等。

關(guān)于作者：漫話編程，是一個通過漫畫+音頻的形式講解枯燥的編程知識的公眾號。致力于讓編程變得更有樂趣。

【編輯推薦】