求職APP遭遇撞庫攻擊，30餘萬個註冊賬號被成功匹配

近日，北京有一家網際網路公司的求職APP遭遇撞庫攻擊，其簡訊驗證碼介面遭受攻擊達1300餘萬次，最終該駭客攻擊成功匹配了30餘萬個註冊賬號。經過警方調查，一個集編寫惡意程式、實施撞庫攻擊、洩露資料資料為一體的“撞庫駭客”團伙浮出水面。該團伙共導致300餘萬條使用者資料洩露，危及群眾資訊保安、給企業帶來經濟損失。

俗話說有人的地方就有江湖，有賬號的地方就有撞庫，“撞庫”攻擊是一種非常典型的駭客攻擊手段。“撞庫（Credential Stuffing Attack）”字面意思即“碰撞資料庫”，簡單來說，就是利用很多使用者會在不同平臺使用同一密碼的行為習慣，駭客在拿到使用者在A平臺註冊的賬號密碼後，會以相同的賬號密碼去其他平臺嘗試登入。

北京警方在接到該網際網路公司報案後，迅速研判，確定這是一起駭客利用網站漏洞非法獲取賬號資訊並用於違法活動的案件。北京市公安局網安總隊會同朝陽分局立即成立專案組開展偵查，最終鎖定涉案嫌疑人喻某並在四川省將其抓獲。而後另一名嫌疑人焦某也因涉嫌盜賣非法獲取的大量公民個人資訊及公司賬號資料而被抓獲。目前，犯罪嫌疑人喻某、焦某因破壞計算機資訊系統被依法刑事拘留，案件正在進一步辦理中。

據嫌疑人喻某交代，其於2022年10月18日註冊該招聘網站賬號，數次嘗試驗證介面。他發現該網站的簽名演算法相對單一，於是利用此弱點編寫指令，製作駭客軟體，對該網站進行撞庫攻擊。同時他還長期使用類似的方式對其它各大網站進行滲透並伺機查詢網站漏洞，並以此為誘餌向他人兜售自己編寫的惡意程式和駭客工具，從中牟取利益。

警方提醒，當你在不同平臺使用相同的使用者名稱和密碼時，就相當於給駭客配了一把“萬能鑰匙”，只要登入成功，駭客就能隨心所欲地獲取你的個人資訊，甚至進行資料的盜賣，這對個人和企業來說，都是巨大的安全隱患。

同時，警方建議公眾：

1、設定密碼時，避免過於簡單、易猜。

2、在公共裝置上登入個人賬號時，不要勾選“記住密碼”、“預設登入”等選項，儘可能選擇匿名登入。

3、使用需填寫重要賬號密碼的第三方app或不知名應用時，要持謹慎態度，儘量減少透露個人的詳實資訊。

編輯：左右裡

資訊來源：公安部網安局公眾號

轉載請註明出處和本文連結