最近，安全圈又有一個大新聞，微博名為@安全_云舒的微博用戶在發(fā)文稱：“很多人的手機號碼泄露了，根據(jù)微博賬號就能查到手機號……已經有人通過微博泄露查到我的手機號碼，來加我微信了。

[[319572]]

”并且，據(jù)說微博CEO的手機號碼也被泄露了!(微博CEO，微博名@來去之間，江湖人稱"來總")

這件事情鬧得挺大，經常刷微博的女朋友也知道了，然后過來問我：

微博CEO @來去之間 轉發(fā)微博稱數(shù)據(jù)"是 2014 年以前網(wǎng)易那次撞庫的"

撞庫

”撞庫”是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。

很多用戶在不同網(wǎng)站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫攻擊。

說的簡單一點，就是一個小偷，入室盜竊后偷到了一串鑰匙，然后他拿著這串鑰匙，在整個小區(qū)里面挨家挨戶的進行開鎖。這個過程就是撞庫。

微博官方解釋稱，網(wǎng)絡上的泄露數(shù)據(jù)來源于："2018 年底，有用戶通過微博相關接口通過批量手機批量上傳通訊錄，匹配出幾百萬個賬號昵稱"。

這種操作確實是撞庫的一種，就是拿著事先準備好的批量手機號，再通過微博的接口匹配對應的微博賬號。

這說明之前確實因為微博的接口自身不夠安全，導致數(shù)據(jù)被別人通過撞庫的方式獲取到了。雖然后期及時加強了安全策略，但是還是有一大批數(shù)據(jù)被暴露了。

漏水

"漏水"是指某些企業(yè)自身出現(xiàn)風險導致的數(shù)據(jù)泄露。

一般是因為企業(yè)沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務，比如沒有做好關鍵數(shù)據(jù)隔離、沒有做好權限分層管控、沒有做好數(shù)據(jù)加密存儲等而出現(xiàn)的數(shù)據(jù)安全問題。

拖庫

拖庫本來是數(shù)據(jù)庫領域的術語，指從數(shù)據(jù)庫中導出數(shù)據(jù)。到了黑客攻擊泛濫的今天，它被用來指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫。

黑客通過技術手段竊取數(shù)據(jù)庫的過程叫做拖庫。就像小偷偷東西是一樣的。

“拖庫”的通常步驟為：

1、黑客對目標網(wǎng)站進行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞等。(小偷蹲點)

2、通過該漏洞在網(wǎng)站服務器上建立“后門(webshell)”，通過該后門獲取服務器操作系統(tǒng)的權限。(小偷想辦法進入室內)

3、利用系統(tǒng)權限直接下載備份數(shù)據(jù)庫，或查找數(shù)據(jù)庫鏈接，將其導出到本地。(小偷盜走值錢的東西)

小偷想要入室盜竊的前提就是可以入室，那么，在互聯(lián)網(wǎng)中，黑客一般都是利用網(wǎng)站自身存在的漏洞來入侵的。

最常見的網(wǎng)站入侵的方式就是黑客利用網(wǎng)站的漏洞來對網(wǎng)站進行攻擊。這里說的網(wǎng)站漏洞包括網(wǎng)站應用自身的漏洞、網(wǎng)站使用的WEB服務器的漏洞、網(wǎng)站使用的開源框架中的漏洞、網(wǎng)站使用的數(shù)據(jù)庫漏洞等。

比如，如果應用自身沒有做防SQL注入、存在文件上傳漏洞等，就極大可能被黑客入侵。

黑客還有可能會利用系統(tǒng)漏洞，在特定的網(wǎng)站上進行掛馬，如果網(wǎng)站管理員在維護系統(tǒng)的時候不小心訪問到這些網(wǎng)站，就可能被植入木馬，也會引發(fā)后續(xù)的拖庫風險。

洗庫

“洗庫”，屬于黑客入侵的一種，就是黑客入侵網(wǎng)站，通過技術手段將有價值的用戶數(shù)據(jù)歸納分析，售賣變現(xiàn)。

說的簡單一點，就是一個小偷，入室盜竊后偷到了很多東西，他對這些贓物分類，然后進行銷贓的過程。

就像本次 5.38 億條微博用戶信息在暗網(wǎng)出售，其中，1.72 億條有賬戶基本信息，售價 0.177 比特幣。這個過程就是在洗庫。

本次洗庫的內容涉及到的賬號信息包括用戶 ID、賬號發(fā)布的微博數(shù)、粉絲數(shù)、關注數(shù)、性別、地理位置等。有用戶在 Telegram 上通過交易，已經買到了自己微博綁定的主要信息，包括賬號身份證號、密碼、手機號等等。

關于作者：漫話編程，是一個通過漫畫+音頻的形式講解枯燥的編程知識的公眾號。致力于讓編程變得更有樂趣。

【編輯推薦】