黑客非法獲取大量的用戶名及對應密碼后,利用程序逐一嘗試登錄其他網站。由于很多網民在不同的網站、論壇、電子信箱注冊時使用的用戶名和密碼完全相同,黑客成功登錄有一定的概率。
這種利用網民上網習慣竊取信息的方式,叫“撞庫”。法晚記者日前從上海市浦東新區法院獲悉,該院日前審結的一起案件,被告人馬某某正是通過“撞庫”的方式非法獲取了1號店的用戶名和密碼信息638組,后被法院以非法獲取計算機信息系統數據罪判刑半年。
黑客竊取1號店客戶信息被判
2015年6月15日,上海市浦東新區檢察院以非法獲取計算機信息系統數據罪對馬某某提起公訴。
檢察院指控,2014年,馬某某購進大量郵箱用戶名和密碼信息后,又購買了“1號店.exe”程序。
該程序可以批量導入用戶名及密碼,并使用導入的用戶名密碼對1號店網站進行批量查詢、檢測。
2014年11月,馬某某對上海益實多電子商務有限公司下屬1號店網站實施“撞庫”行為,共非法獲取1號店網站客戶用戶名密碼信息638組。
2015年1月29日,馬某某被公安機關抓獲,到案后如實供述了犯罪事實。
浦東新區法院審理后認為,馬某某違反國家規定,采用技術手段獲取計算機信息系統中存儲的數據,情節嚴重,其行為已構成非法獲取計算機信息系統數據罪。鑒于馬某某到案后能如實供述自己的罪行,依法從輕處罰。
2015年6月24日,浦東新區法院以非法獲取計算機信息系統數據罪判處馬某某有期徒刑6個月,罰金人民幣2000元,涉案電腦硬盤予以沒收。
通過“撞庫”作案 有一定成功概率
在北京經營計算機安全公司的白先生告訴《法制晚報》記者,撞庫是指黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量用收集來的這些用戶名和密碼,去登錄其他網站,得到一系列可以登錄的用戶名。
“打個比方,黑客通過非法手段獲取或購買了某個消費者在當當網的用戶名和密碼后,他用這個用戶名和密碼,嘗試著登錄亞馬遜、京東商城、淘寶……因為很多網購消費者在不同的電商網站上設定的用戶名和密碼都是相同的,因此有一定的成功登錄的概率。撞庫,顧名思義,有撞大運的成分。”他介紹說。
他表示,撞庫的前提,是黑客提前獲得大量的用戶名和密碼,有的是自己買來的,有的是自己“黑”到別的網站上獲取的,這個過程叫“拖庫”。一般來說,黑客會“黑”進某個含有巨大價值的網站,把網站的數據全部盜走,然后分檢出有用信息。
網購達人易遭到四渠道攻擊
2014年12月底,鐵路購票網站12306的大量用戶賬號、明文密碼、身份證等敏感信息泄露,有人在網上公開售賣,涉及用戶約14萬個。
有網絡安全人員搜索以往互聯網上的數據進行了匹配,基本可以確認該批數據是通過“撞庫”獲得。
今年年初,消費者組建“京東盜刷維權”QQ群,稱下單后接到騙子電話,每人的被騙金額從數千元到數萬元不等。
2015年3月14日,京東商城表示,發生用戶信息泄露的原因,是部分保護用戶信息安全意識較為薄弱的網站可能存在批量泄露用戶信息的情況,被不法分子獲取后,使用撞庫的方式獲取京東商城的用戶信息,進而冒充客服人員詐騙。
據澎湃新聞報道,2015年8月25日,多人稱電商網站唯品會泄露了他們的賬戶信息,有人自稱“唯品會客服人員”實施電話詐騙。
目前反映接到此類詐騙電話的唯品會消費者已有20余人,遍布全國10多個省市,其中個人被騙金額最高4萬多元。
2015年8月21日,唯品會官方稱,其一直嚴格對客戶信息進行加密保護,“可能是黑客利用‘撞庫’技術盜取了消費者的賬戶信息。”
百度安全中心曾表示,黑客千方百計獲取用戶信息的唯一目的無非是為獲利。目前,黑客在獲得用戶信息后,一般會通過以下幾種途徑來迅速獲利。
一是售賣用戶賬號中的虛擬貨幣、游戲賬號、裝備等變現,也就是俗稱的“盜號”。
二是獲取金融類賬號,比如:支付寶、網銀、信用卡、股票的賬號和密碼等,用來進行金融犯罪和詐騙。
三是對于一些比較特殊的用戶信息,如:學生、打工者、老板等,則會通過發送廣告、垃圾短信、電商營銷等方式變相獲利。
四是將有價值的用戶信息直接出售給第三方,如網店經營者和廣告投放公司等。
解密“撞庫”
1 “黑”來基礎數據 拖庫
黑客到一些網站、論壇上搜尋目標,竊取客戶的用戶名、密碼、身份證號等信息。
2 對數據進行分類 洗庫
黑客將上述數據庫信息進行分類,大致分為:金融賬戶、游戲賬戶、個人真實信息三類,有的黑客將這三類信息進行售賣獲取現金收益,有的則繼續進行下一步“撞庫”。
3 試探性登錄其他網站 撞庫
黑客通過技術手段將已經獲取的個人信息拿到其他網站進行試探性登錄——得到更多個人信息,再次進行售賣,為他人進行金融詐騙提供條件。
網購提醒 不同網站上 多換用戶名和密碼
在北京經營計算機安全公司的白先生表示,黑客會“撞庫”成功,是因為很多網民使用的用戶名和密碼過于單一。
“如果某個網民平時在大量的網站、論壇、電子郵箱都注冊了信息,但注冊的用戶名密碼都是同一個,那么,他被‘撞庫’成功的概率就非常大。”白先生說。
白先生提醒電商購物者,在不同的電商網站注冊,最好設定不同的用戶名或密碼,且密碼不能過短。在保存密碼時,也不要將所有網站的用戶名密碼都存在電腦里,防止電腦被遠程控制后,泄露全部的信息。另外,白先生建議,最好養成定期修改密碼的習慣。
“在黑客面前,大部分網民的IT知識顯得太貧乏,這就需要網站承擔起減少網絡安全風險的責任。”白先生說,網站從建設上應采用更先進的安全技術,增加保護手段,比如使用動態密碼、圖片驗證等,來確保用戶信息安全。
發生“撞庫”侵權責任如何確定
北京京師律師事務所合伙人王曉營告訴《法制晚報》記者,全國人大常委會通過《關于加強網絡信息保護的決定》后,網絡個人信息保護有了法律依據。新《消費者權益保護法》也增加了保護消費者個人信息的規定。
王曉營說,泄露個人信息也是侵權,關鍵是要確定責任誰來擔。她說,如果是從網站泄露了個人信息,要區分故意泄露還是過失泄露。
若是過失泄露,則采用過錯推定原則。“也就是說,首先推定網站存在過錯,由網站來舉證,證明自己已經盡到安全保護責任。”她說。
還有最后一種情況是網站對泄露事件不知情,屬于不可抗力的事件,但網站要證明自己盡到了安全義務。
京公網安備 11010502049343號