今天有个空闲就写写文章吧
曾经年少轻狂的我
注册QQ和支付宝 密码用了自己的生日
直到有一天
小马哥的企鹅应用我登录不上
What the fuck ? ? ? 然后就手忙脚乱的去各种申诉,这经历是否似曾相识呢?
想当年QQ一个很火的业务,就是Q币,80、90后的人应该都充值过。那时很多人的QQ里面有Q币,用来购买QQ秀,充五颜六色的钻,Q宠物的日常开销等等。
以前盗号的最常见的,就是盗Q币了,很简单的一个钓鱼网站,也就是web版的QQ,告诉你账户密码泄露了,让你紧急登录,年少的我曾经中彩过好几回。
正确的输入账户密码却一直提示登录失败,其实那个账户密码的表单已经保存到黑客的数据库中,过后黑客就用你的账号密码去登录你的QQ了,转移”财产“,官方购买一元一个Q币,但是被黑客盗走再转卖一个两三毛钱,在通过各个代理啥的,就被分销完了。
这种钓鱼的网站后来少了很多,直到去年,我偶然的遇见了一个www.xxoo.com的山寨网站,犯贱的我打开了chrome浏览器的控制台,查看了里面的network面板,然后看到了后台提交的url和form表单的名称……
我就给那台黑客的服务器做了简单的ab测试(Apache ab工具),发现并没有做啥安全防护,比如IP黑名单这些。
随手我就写了个脚本,随机组装了账号和密码,放到阿里云服务器上,每秒并发80条请求,然后跑了几天,我自己的数据统计,成功请求的次数有约五千万条。相信吧,那位朋友会记住这个教训的 。
随着科技的进步,技术也在不断的更新,2010~2018年,谁敢说哪个知名的电商没被脱库过?(不明白脱库的请百度哈)
关于数据泄露后,流向何处?举个简单的例子,好比苹果出了一批iphone10(好比用户数据),怎么卖出去呢?
首先就是渠道分销商啦,快到上市的日子,分销商就会找到总的货源,然后分销商把部分iphone10自己去卖赚钱,部分又给下面的代理的去消化,一级又一级的代理,最后就成为大家都知道的事情啦。
有人说还有苹果官网也可以销售,所以灰色产业链里面也有“官网”(这里就不明说)。
包括各个大公司,比如国内的网易、优酷、京东等等,国外的Adobe、linkedln都逃脱不了这种内忧外患。
尽管用户的输入的密码可能是经过加密保存的(比如MD5加密),但是一样可以通过撞库,把你明文密码显示出来,A网站泄漏了,可能你在B网站上的信息也给盗了,简单流程如下图。
(图片来源于网络)
好点的建议就是密码取复杂点,如大小写字母+数字+特殊字符,尽管也可以撞库显示明文,但是成本和时间就大的多了。
分离核心密码和非核心密码,比如支付密码和登录密码。
普通网站或小公司的App应用注册时填写的信息也要考虑他们实际的情况,很有可能他们明文保存你的信息,然后就...
当然,多关注科技类新闻,比如”某某公司数据库泄漏了“,第一时间去修改密码尽量减少损失。
再推荐一个国外的工具吧,检测你自己的账户有没被泄漏过
下图是目前被泄漏用户信息的企业排行榜
The End
