10月24日晚間時分,國泰航空發布一份重要公告稱,發現公司及其全資子公司港龍航空的大量乘客資料被竊取。
其中包含:
· 940萬乘客的姓名、生日、電話、郵箱、地址、身份證、護照號及飛行記錄等詳細個人敏感信息;
· 403張信用卡賬號,27張無安全碼信用卡賬號;
· 86萬個護照號碼,24萬5千個香港身份證號碼……
不禁讓人想起在九月一度被華住酒店數據泄漏支配著的恐懼——
· 1.23億條華住官網注冊資料,包括用戶的姓名、手機號、郵箱、身份證號、登錄密碼等,數據規模共53GB。
· 1.3億入住人登記身份信息,包括住客的姓名、身份證號、家庭住址、生日、內部ID號,共22.3GB。
· 2.4億條酒店開房記錄,包括內部ID號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2GB。
5億余條包含姓名、身份證號、手機號、密碼、家庭住址等詳細信息的數據泄漏,使得“華住事件”成為近5年國內最大、最嚴重的個人信息泄露事件。
雖然直至目前,國泰航空、華住兩次事件的官方聲明均宣稱沒有相關信息被攻擊者利用的情況發生,但是如此龐大而詳細的個人數據遭到泄漏,后續而來的潛在安全風險就仍然如同一把達摩克利斯之劍,在每一個牽連者頭上高懸。
以利用已知賬號密碼嘗試登陸其他平臺的撞庫攻擊為例,一旦黑客利用已經泄漏的數據進行撞庫攻擊,那么,受影響的可能就不僅僅是網友戲言的“家庭關系”了……
01 撞庫到底是什么?
所謂“撞庫”,就是黑客界的“以一當百”。
當黑客透過入侵竊取或從黑色產業鏈購買獲得大量賬號密碼之后,就可以此嘗試入侵受害者的其他網絡賬號。利用“許多用戶都會在不同網站上重復使用相同的登錄名及密碼”的行為弱點,黑客可以相對輕松地黑入用戶在其他網站上的賬號,進而一舉網獲大量賬號為其所用。
9月在英國倫敦舉辦的第21屆Information Security Conference (ISC2018)信息安全會議上進行的一項調查顯示,居然有45%的與會安全人士重復使用相同的密碼,專業人士尚且如此,更不用說是一般用戶了。
截至今日,2018年黑客已經在網絡上發布超過14億筆已外泄的賬號密碼查詢系統,并且大多提供了可以用比特幣購買完整資料庫的渠道。事實上,僅2017年全球外泄數據的筆數就高達78億筆,其中包含大量賬號和密碼相關數據,為撞庫攻擊的進行提供了充足的彈藥準備。
02為什么撞庫?
簡而言之,利益二字。
以華住事件為例,黑客以8個比特幣(約38.3萬元人民幣)或520門羅幣(約36.5萬元人民幣)的打包價在暗網叫賣5億華住集團客戶的個人數據,千條信息不足1元;但該信息若被用于撞庫,并挾持到用戶的其他網站賬號,尤其是電商、網銀等賬號,那一人身上可以得到的商業價值至少也能以百元計數。
不僅如此,隨之而來的敲詐勒索才是黑產利益的更大來源。擁有大量用戶的平臺,如航旅酒店、電商、網銀更是感受到威脅甚巨,一旦被撞庫成功、遭遇敲詐勒索,部分企業為了避免事態不斷惡化造成難以估計的負面影響,會傾向于先向攻擊者提供金錢來解決問題。
因此,也就不難理解為什么許多犯罪分子明知盜取信息、撞庫盜號是違法行為,但仍前赴后繼了。然而,面對黑客廣泛利用自動化攻擊工具模擬合法用戶操作,并利用大量跳板快速更換IP的新型攻擊手段,企業毫無招架之力,傳統基于特征比對及行為規則的防護機制幾乎束手無策。
03 我們怎么辦?
對個人:
既然撞庫攻擊的基本原理就是以一套賬號密碼去嘗試登陸不同平臺,那么“換密碼”就成了對個人而言最傻瓜卻也最有效的應對方式。
但是,經常有人吐槽“不要重復使用相同的賬號密碼”這句話在實際操作中實在有些難度。這里就介紹瑞數小編設置密碼時常用的一個小方法——“固定+變化”模式,容易記、不重復。比如在River@2018這個基本密碼之上,固定的就是“River@”,變化的就是“2018”,如果是新浪就設置為“River@Sina”,如果是百度就設置為“River@Baidu”,以此類推。
當然,這種方式的密碼設置也是基于一定規律,仍然容易被升級版的撞庫工具識破,因此小編只是在此拋磚引玉,實際設置時大家還是可以在字母大小寫、字母符號替換(如以!換i、以@換a)、順序上做文章,避免密碼的重復。
對企業:
雖然使用多因素認證或者兩階段驗證可以大幅降低撞庫的風險,但全面實施這類安全措施的推廣過程還需要克服重重的內外部阻礙,同時這也會增加用戶登錄過程的額外負擔,所以目前仍然只有少數大型網站支持這類安全機制。
為了有效克服傳統安全機制在對抗撞庫攻擊的重大挑戰,必須要用新方法來解決老問題。改變傳統的被動式安全防護策略,唯有創新的主動防御才可有效阻擋撞庫及其他各類自動化攻擊。
瑞數信息的動態安全解決方案以“動態技術”為核心,可以高效甄別偽裝正常行為的已知和未知自動化攻擊,防止數據泄漏,防止黑客利用已經泄漏的用戶信息及密碼進行批量登陸,并嘗試獲取可登錄賬號,全面保障企業的數據安全和賬戶安全,讓航旅企業和游客一同安心。
京公網安備 11010502049343號