我們的密碼是如何泄露的？

用戶數據泄露一直是如今互聯網世界的一個焦點，互聯網上幾乎每天都有個人信息或註冊信息泄露的事件發生，而剛剛過去的315晚會也在歷次的曝光中，頻頻提到社會上各種應用有意或者無意的都在泄露用戶信息，服務商和黑客之間在用戶數據這個舞台上一直在進行著曠日持久的攻防戰。

對於大多數用戶而言，撞庫、拖庫、洗庫可能都是很專業的名詞，但真正理解起來都很簡單，撞庫是黑客無聊的「惡作劇」，黑客通過收集互聯網已泄露的用戶+密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登陸的用戶。拖庫「是指黑客入侵有價值的網路站點，把註冊用戶的資料資料庫全部盜走的行為，因為諧音，也經常被稱作「脫褲」，在取得大量的用戶數據之後，黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現，這通常也被稱作「洗庫」。

那到底數據是如何泄露的呢？

那上文中提到的這些拖庫、撞庫等等是怎麼發生的呢？單純從技術角度上講，黑客為了得到資料庫的訪問許可權，取得用戶數據，通常會從技術層面和社工層面兩個方向入手。

技術方面大致分為如下幾種：

遠程下載資料庫文件

這種拖庫方式的利用主要是由於管理員缺乏安全意識，在做資料庫備份或是為了方便數據轉移，將資料庫文件直接放到了Web目錄下，而web目錄是沒有許可權控制的，任何人都可以訪問的；還有就是網站使用了一些開源程序，沒有修改默認的資料庫；其實黑客每天都會利用掃描工具對各大網站進行瘋狂的掃描，如果你的備份的文件名落在黑客的字典里，就很容易被掃描到，從而被黑客下載到本地。

利用web應用漏洞

隨著開源項目的成熟發展，各種web開源應用，開源開發框架的出現，很多初創的公司為了減少開發成本，都會直接引入了那些開源的應用，但卻並不會關心其後續的安全性，而黑客們在知道目標代碼後，卻會對其進行深入的分析和研究，當高危的零日漏洞發現時，這些網站就會遭到拖庫的危險。

利用web伺服器漏洞

Web安全實際上是Web應用和Web伺服器安全的結合體；而Web伺服器的安全則是由Web容器和系統安全兩部分組成，系統安全通常會通過外加防火牆和屏蔽對外服務埠進行處理，但Web容器卻是必須對外開放，因此如果Web容器爆出漏洞的時候，網站也會遭到拖庫的危險。

社工方面大概有如下幾種：

水坑攻擊

黑客會利用軟體或系統漏洞，在特定的網站上進行掛馬，如果網站管理員在維護系統的時候不小心訪問到這些網站，在沒有打補丁的前提下，就會被植入木馬，也會引發後續的拖庫風險。

郵件釣魚

黑客會利用一些免殺的木馬，並將其和一些管理員感興趣的信息綁定，然後通過郵件發送給管理員，而當網站管理員下載運行後，也會導致伺服器植入木馬，引發後續的拖庫風險。

社工管理員

對目標網站的管理員進行社會工程學手段，獲取到一些敏感後台的用戶名和密碼。從而引發的後續拖庫。

XSS劫持

有時黑客也會為了獲取某一些網站的帳號信息，他們會利用網站釣魚的手段去欺騙用戶主動輸入，但這種方式只能獲取部分帳號的真實信息，並沒有入侵伺服器。

由此可見，密碼設置安全了，並不能保證不被泄露，因為黑客入侵在時時刻刻發生著，這樣意味著你的賬戶信息在不確定的某一天已經流入到了黑客或是別人手中。雖說常情況下，這些資料庫中的個人信息如，郵箱 電話 真實姓名 性別 等都是明文存儲的。而密碼通常經過MD5或其他方式加密之後存儲。但黑客可以很輕易地把他需要的且是明文存儲的數據從資料庫中剝離出來。而對於那些加密之後的數據黑客也可以通過暴力破解，字典破解和彩虹表等方式進行明文還原。

集創科技

智慧教育整體解決方案服務商

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！