你的牙刷被別人偷偷用了，是不是不能忍?

那你花錢買的視頻網(wǎng)站VIP賬號呢?有些人可能能忍，然而有些人卻不能。

央視財經(jīng)頻道曝光了一則消息——你買的視頻網(wǎng)站會員VIP 別人也在用，里面的當事人田女士不能忍，因為她的其他網(wǎng)銀密碼、關鍵網(wǎng)站密碼都和她在視頻網(wǎng)站上買的VIP賬號密碼一致。

這還能忍?田女士嚇得一一修改她的其他密碼。

最詭異的是，這個視頻網(wǎng)站并未提示她有異常登錄或賬號異常情況，還是靠她自己在“一不小心”查看觀影記錄時發(fā)現(xiàn)。此時，她的觀影券都神不知鬼不覺地被別人用了!

[[173479]]

這是怎么回事?

該媒體報道指出，可能是有兩種原因：一是供應商把買來的賬號分銷，所以有些人以超低價格、甚至是免費拿到了賬號;二是賬號被不知不覺盜取了，而且是以“撞庫”形式盜取。

撞庫是什么?來科普一下。

撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫攻擊。

最近新聞曝光了一次撞庫是，魅族部分用戶Flyme系統(tǒng)賬號被鎖。魅族官方后來解釋，監(jiān)控數(shù)據(jù)顯示在這段期間內(nèi)，在某固定IP地址下，有人使用已經(jīng)匹配好的用戶名和密碼組合頻繁在Flyme系統(tǒng)中嘗試登錄。官方認定此為惡意撞庫行為，是不法分子通過收集互聯(lián)網(wǎng)中已泄露的用戶和密碼信息嘗試登錄系統(tǒng)。

提到“撞庫”，干脆再來說說“拖庫”和“洗庫”。

在黑客術語里，”拖庫“是指黑客入侵有價值的網(wǎng)絡站點，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被稱作“脫褲”，“洗庫”即對數(shù)據(jù)庫中的資源進行層層利用，這個產(chǎn)業(yè)鏈價值比較大的是，第一波進行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶的賬號后就會進入賬戶嘗試，如果有虛擬金錢就會轉走，或將QQ號倒賣;第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內(nèi)容，這些會賣給那些需要的人;第三次“洗”是關聯(lián)手機號的信息，賣給轉發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價值為止。

啟明星辰安星web安全運維團隊曾制作過“拖庫—洗庫—撞庫”的示意流程圖：

看上去是不是很復雜?所以，少年，趕緊去修改密碼吧，不要所有重要密碼都設置成一樣啦!

最后，你可能有個小小的疑問，回到視頻網(wǎng)站的VIP賬號事件，為什么視頻網(wǎng)站沒有任何異常提示?央視的報道里說了：一是賬號是按照正常流程登陸，系統(tǒng)發(fā)覺有難度;二是視頻網(wǎng)站本來就希望能夠提升點擊量，缺乏動力來追蹤監(jiān)控“異常的賬號分享”。

所以，自己還要長點心啊!