一份安全研究報告說，電商網站 91% 的登錄訪問來自黑客攻擊

網路安全公司 Shape Security 發布了一份 2017 年全球身份信息泄露報告，報告指出電商網站 91% 的登錄流量來自黑客的撞庫攻擊。

Shape Security是加利福尼亞的一家網路安全創業公司，創始人曾是五角大樓的安全顧問。Shape 主要為零售商、金融機構、航空公司和政府機構提供惡意攻擊防禦服務。據官方介紹，他們的客戶包括北美排名前十的銀行和財富 500 強排名的零售商。此次發布數據報告的數據主要來自於 Shape 自己的監測以及公開報道。

撞庫攻擊通常是指，黑客拿到一個網站的用戶登錄信息（用戶名、郵箱、密碼等信息），然後用這些信息在其它網站登錄的行為。

通常黑產會選擇在安全性較差和價值較低的網站進行拖庫，然後在價值較高的網站進行撞庫。據 Shape 統計，有 26% 的信息泄露來自於論壇。

據報告，一家奢侈品零售電商在 2017 年 99% 的登錄流量都來自黑客撞庫攻擊。對於黑產來說，零售網站除了綁定了用戶支付信息，有較大的價值外，也是較容易進行詐騙的渠道。因為現在零售網站中線上用戶在跟線下商家進行溝通的方式幾乎都是郵件、在線聊天的形式，黑客獲取了用戶的購物信息後，很容易通過這些方式進行行騙。電商用戶量的增長，也是黑客攻擊量上升的原因。

酒店和機票預定行業也是黑客撞庫攻擊頻率較高的賬戶。黑客攻擊分別占它們登錄流量的 60% 和 44%。酒店和機票預定對大多數人來說，使用頻率並不高，因此黑客盜取後被發現的時間也更長。這些用戶信息也可以被用來賣給一些營銷公司，作為各種促銷的數據依據。

另一方面，安全和易用往往是相互矛盾的。一些網站為了獲取用戶，會簡化用戶操作流程，不會設置多種身份認證體系。也是導致容易被黑客攻擊的主要原因。

據 Shape 統計，這些撞庫攻擊的成功概率是 3%。這種信息泄露每年會給美國零售商帶來了約 60 億美元損失，給消費類銀行帶來的損失約為 17 億美元，給酒店和航空類公司帶來的損失約為 7 億美元。

不過隨著網路安全意識的提高，身份信息泄漏事件正在減少。2017 年全年共有 23 億條信息被泄露，少於去年的 33 億條。不過單次數據泄漏事件所涉及的用戶量規模越來越大。

Shape 在報告中還列出了 2017 年被報道過的所有網站用戶信息泄露事件。其中，泄漏用戶數據最多的有雅虎、優酷和美國教育社區Edmodo，數量分別為 20 億、1 億 和 7700 萬。

這些信息流向黑市後，通常 1 條信息連 1 分錢都不值。以優酷為例，2017 年 4 月在黑市中被賣的超過 1 億條用戶信息，打包價格僅為 0.2559 個比特幣，以當時的比特幣市價，約合 300 美元（ 2021 元人民幣）。一般黑產得手後，15 個月後才會被媒體或網站發現數據被竊。

對於普通用戶來說，要避免數據泄漏的基本方法有兩個：不要在多個網站使用同一個密碼，在看到信息泄露報道後最好立刻更換密碼；不要怕麻煩，使用網站提供的完整安全認證方式。

題圖：Daily Express

我們做了一個壁紙應用，給你的手機加點好奇心。去 App 商店搜 好奇怪下載吧。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！