一、背景：

用戶數(shù)據(jù)泄露一直是如今互聯(lián)網(wǎng)世界的一個焦點，從最近的京東撞庫抹黑事件，到之前的CSDN，如家用戶數(shù)據(jù)的泄露，服務商和黑客之間在用戶數(shù)據(jù)這個舞臺上一直在進行著曠日持久的攻防戰(zhàn)。

對于大多數(shù)用戶而言，撞庫可能是一個很專業(yè)的名詞，但是理解起來卻比較簡單，撞庫是黑客無聊的“惡作劇”，黑客通過收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息，生成對應的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登陸的用戶。

以京東之前的撞庫舉例，首先京東的數(shù)據(jù)庫并沒有泄漏。黑客只不過通過“撞庫”的手法，“湊巧”獲取到了一些京東用戶的數(shù)據(jù)(用戶名密碼)，而這樣的手法，幾乎可以對付任何網(wǎng)站登錄系統(tǒng)，用戶在不同網(wǎng)站登錄時使用相同的用戶名和密碼，就相當于給自己配了一把“萬能鑰匙”，一旦丟失，后果可想而知。所以說，防止撞庫，是一場需要用戶一同參與的持久戰(zhàn)。

關于撞庫事件的始末下文中也會有詳細的闡釋。

提及“撞庫”，就不能不說“脫褲”和“洗庫”。

在黑客術語里面，”拖庫“是指黑客入侵有價值的網(wǎng)絡站點，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被稱作“脫褲”，360的庫帶計劃，獎勵提交漏洞的白帽子，也是因此而得名。在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術手段和黑色產(chǎn)業(yè)鏈將有價值的用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進行嘗試登陸，叫做”撞庫“，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，”撞庫“也可以是黑客收獲頗豐。

下圖是黑客，在“脫褲”“洗庫”“撞庫”三個環(huán)節(jié)所進行的活動。

二、用戶數(shù)據(jù)與黑色產(chǎn)業(yè)：

隨著地下產(chǎn)業(yè)鏈日漸成熟，用戶數(shù)據(jù)可以被迅速地轉變成現(xiàn)金。

(1)用戶賬號中的虛擬貨幣，游戲賬號，裝備，都可以通過交易的方式變現(xiàn)，也就是俗稱的“盜號”。

(2)金融類賬號比如，支付寶，網(wǎng)銀，信用卡，股票的賬號和密碼，則可以用來進行金融犯罪和詐騙。

(3)最后一些可歸類的用戶信息，如學生，打工者，老板等，多用于發(fā)送廣告，垃圾短信，電商營銷。也有專門的廣告投放公司，花錢購買這些分門別類的信息。

快速收益和高回報也讓越來越多的黑客鋌而走險。(刑法里非法入侵計算機系統(tǒng)罪會被判處三年到七年有期徒刑)

而對于，信息被泄露的受害者，根據(jù)泄露信息的種類不同，生活也會受到不同程度的影響。

如上圖，如果你的多種網(wǎng)站和服務的用戶名密碼相同，那可能會蒙受更大的損失。

三、黑客怎樣獲取用戶數(shù)據(jù)：

黑客為了得到數(shù)據(jù)庫的訪問權限，取得用戶數(shù)據(jù)，通常會從技術層面和社工層面兩個方向入手。

技術方面大致分為如下幾種：

(1)遠程下載數(shù)據(jù)庫文件

這種拖庫方式的利用主要是由于管理員缺乏安全意識，在做數(shù)據(jù)庫備份或是為了方便數(shù)據(jù)轉移，將數(shù)據(jù)庫文件直接放到了Web目錄下，而web目錄是沒有權限控制的，任何人都可以訪問的;還有就是網(wǎng)站使用了一些開源程序，沒有修改默認的數(shù)據(jù)庫;其實黑客每天都會利用掃描工具對各大網(wǎng)站進行瘋狂的掃描，如果你的備份的文件名落在黑客的字典里，就很容易被掃描到，從而被黑客下載到本地。

(2)利用web應用漏洞

隨著開源項目的成熟發(fā)展，各種web開源應用，開源開發(fā)框架的出現(xiàn)，很多初創(chuàng)的公司為了減少開發(fā)成本，都會直接引入了那些開源的應用，但卻并不會關心其后續(xù)的安全性，而黑客們在知道目標代碼后，卻會對其進行深入的分析和研究，當高危的零日漏洞發(fā)現(xiàn)時，這些網(wǎng)站就會遭到拖庫的危險。

(3)利用web服務器漏洞

Web安全實際上是Web應用和Web服務器安全的結合體;而Web服務器的安全則是由Web容器和系統(tǒng)安全兩部分組成，系統(tǒng)安全通常會通過外加防火墻和屏蔽對外服務端口進行處理，但Web容器卻是必須對外開放，因此如果Web容器爆出漏洞的時候，網(wǎng)站也會遭到拖庫的危險。

社工方面大概有如下幾種：

(1)水坑攻擊

黑客會利用軟件或系統(tǒng)漏洞，在特定的網(wǎng)站上進行掛馬，如果網(wǎng)站管理員在維護系統(tǒng)的時候不小心訪問到這些網(wǎng)站，在沒有打補丁的前提下，就會被植入木馬，也會引發(fā)后續(xù)的拖庫風險。

(2)郵件釣魚

黑客會利用一些免殺的木馬，并將其和一些管理員感興趣的信息綁定，然后通過郵件發(fā)送給管理員，而當網(wǎng)站管理員下載運行后，也會導致服務器植入木馬，引發(fā)后續(xù)的拖庫風險。

(3)社工管理員

對目標網(wǎng)站的管理員進行社會工程學手段，獲取到一些敏感后臺的用戶名和密碼。從而引發(fā)的后續(xù)拖庫。

(4)XSS劫持

有時黑客也會為了獲取某一些網(wǎng)站的帳號信息，他們會利用網(wǎng)站釣魚的手段去欺騙用戶主動輸入，但這種方式只能獲取部分帳號的真實信息，并沒有入侵服務器。

四，黑客怎樣解密得到的數(shù)據(jù)：

通常情況下，數(shù)據(jù)庫中的個人信息如，郵箱 電話 真實姓名 性別 等都是明文存儲的。而密碼通常經(jīng)過MD5加密之后存儲。黑客可以很輕易地把他需要的且是明文存儲的數(shù)據(jù)從數(shù)據(jù)庫中剝離出來。而MD5加密之后的數(shù)據(jù)這需要一定的解密流程才能看到明文。通常解密MD5的方法有，暴力破解，字典破解和彩虹表。

(1)暴力破解

暴力破解這是一種"時間消耗型"的破解方法，確定了密文的加密方式的前提下，使用相同的加密算法，計算

M = H(P)

P為所有的明文空間

H為加密算法

M為密文

然后將計算得到的M和待破解的密文進行比較，如果匹配成功，則對應的明文P即為待破解密文的明文。值得注意的是，這個枚舉P和比較M的過程往往是在內(nèi)存中進行的，也即在計算的過程中一邊產(chǎn)生，一邊比較，這次破解結束后，下一次破解又要重新開始從頭枚舉，效率不太高。

(2)字典破解

字典破解本質(zhì)上還是"暴力破解"的一種，在字典破解中，攻擊者是對所有的明文(M)進行預計算，將所有的明文的HASH都事先計算好，并保存起來。典型的MD5字典如下:

....

password　　5f4dcc3b5aa765d61d8327deb882cf99

admin　　　　21232f297a57a5a743894a0e4a801fc3

cnblog　　　　efbc3548e65e7225dcf43d3918d94e6f

....

在進行破解的時候，破解程序將字典映射Mapping到內(nèi)存中，然后將HASH和待破解的密文進行逐條比較(這點和暴力破解是一樣的)，直到找到某條HASH和待破解的密文相同為止。

值得注意的是，基于字典的暴力破解時間上比單純的內(nèi)存計算型暴力破解更有效率，只要一次的"字典生成"花費一定的時間，后續(xù)的多次破解都可以重復使用這個字典。

注意，這里說的"字典"指的對應某個算法的字典: MD5 Directory、SHA1 Directory、NTLM Directory等等。

總的來說，字典攻擊是對單純的內(nèi)存型暴力破解的一個改進，它引入了預處理的思想，但缺點也很明顯，需要占用及其龐大的磁盤空間，以至于對于長度16以上的密碼字典，完整存儲根本不可能。

(3)彩虹表

這是對暴力破解和字典破解的一種折中的破解技術，在2003年瑞典的Philippe Oechslin 在Making a Faster Cryptanalytic Time-Memory Trade-Off一文中首次被提出，它有效的利用了預處理的優(yōu)點，同時又克服了字典破解消耗太大磁盤空間的缺點，在這兩者中找到了一個平衡點。(具體實現(xiàn)技術請讀者自行百度)

五，黑客怎樣利用得到的數(shù)據(jù)：

除了販賣數(shù)據(jù)得到金錢上的利益之外，黑客還會把得到的數(shù)據(jù)進行整理，制作成社工庫。利用社工庫對其他網(wǎng)站進行撞庫攻擊。撞庫攻擊實質(zhì)上就是，以大量的用戶數(shù)據(jù)位基礎，利用用戶相同的注冊習慣(相同的用戶名和密碼)，嘗試登陸其它的網(wǎng)站。

隨著社工庫的日益龐大，越來越多的用戶和網(wǎng)站受到來自撞庫攻擊的威脅。(現(xiàn)在網(wǎng)上流傳的數(shù)據(jù)庫已經(jīng)超過千萬級別，不過這和某些黑客手中所掌握的數(shù)據(jù)比較起來只不過是冰山一角，詳情參見“道哥的黑板報：中國黑客傳說：游走在黑暗中的精靈”)

不單單是賬戶密碼的泄露，在龐大的社工庫面前，用戶的個人隱私也是岌岌可危。比如如家賓館2000w數(shù)據(jù)泄露事件，導致眾多會員開房記錄曝光于互聯(lián)網(wǎng)。

QQ群用戶信息的泄露，也影響到了幾乎所有QQ用戶的隱私。

再來看最近的京東撞庫事件，網(wǎng)上流傳了一張所謂的京東數(shù)據(jù)被泄露的圖片，其中涉及到少量京東用戶名密碼。

網(wǎng)上的白帽子分析了其中用戶名密碼的出處，發(fā)現(xiàn)圖片中的用戶名密碼均在，之前別的網(wǎng)站泄露的數(shù)據(jù)庫中存在。

這也說明了，撞庫攻擊在本身擁有大量用戶名密碼的基礎上，可以在不攻破目標系統(tǒng)的前提下，獲取目標系統(tǒng)一定的用戶信息。

六、用戶怎樣保護自己的隱私：

作為中國千萬網(wǎng)民中的一個，你可能覺得，我不用網(wǎng)銀，打游戲不充錢，我沒有什么被黑的價值，所以黑客是不會來光顧我的。其實不然，每一個使用互聯(lián)網(wǎng)服務的用戶，在享受快捷方便的時候，都把自己暴漏在了風險之下。不是黑客會不會值得黑你，而是你有沒有可能被波及。下面是幾條建議有利于你規(guī)避風險。

(1)重要網(wǎng)站/APP的密碼一定要獨立，猜測不到，或者用1Password這樣的軟件來幫你記憶;

(2)電腦勤打補丁，安裝一款殺毒軟件;

(3)盡量不使用IE瀏覽器

(4)支持正版，因為盜版的、破解的總是各種貓膩，后門存在的可能性很大;

(5)不那么可信的軟件，可以安裝到虛擬機里;

(6)不要在公共場合(如咖啡廳、機場等)使用公共無線，自己包月3G/4G，不差錢，當然你可以用公共無線做點無隱私的事，如下載部電影之類的;

(7)自己的無線AP，用安全的加密方式(如WPA2)，密碼復雜些;

(8)離開電腦時，記得按下Win(Windows圖標那個鍵)+L鍵，鎖屏，這個習慣非常非常關鍵;