原标题：上亿条酒店信息泄露，“撞库”风险你真的了解吗？

最近，此次XX旗下酒店因程序员的一个低级错误导致信息泄露的问题相当惹眼，上亿条用户数据在暗网进行售卖，当大家聚焦于已被泄露的信息数据时，却忽略了信息泄露背后的风险。利用已有的1.23亿注册信息撞库其他网站平台，泄露的可能就不仅仅是你的开房信息了......

工信部方面于7月31日表示，因上海洋码头网络技术有限公司存在用户个人信息安全管理制度不完善、用户个人信息泄露补救措施不到位等问题，责令该企业限期整改。洋码头对此回应称，经安全团队校验，样本数据显示绝大部分来自于其他平台泄露的账户密码，由此遭到“撞库”。

此外，携程、腾讯、爱奇艺等多家知名互联网企业也被问询，工信部要求上述企业按照法律法规有关网络数据和用户个人信息保护要求，进一步完善内部管理制度和技术保障措施，强化网络数据和用户个人信息安全保护，落实重大安全事件及时报告要求。

工信部指出，下一步，工信部网络安全管理局将持续加大对网络数据和用户个人信息安全事件的监测巡查力度，指导督促企业切实履行相关法律责任，依法依规严肃处理涉事企业，切实做好网络数据和用户个人信息安全保护工作。

一种危害数据安全的流行病

百度百科：撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

MBA智库：撞库，黑客专用语，又称“扫存”。指的是拿网上已经泄露的用户和密码信息，批量尝试在另一个网站或平台进行匹配登录的行为。只要有一次匹配成功，就成功窃取到用户信息。

通俗点讲就是利用网站A泄露的批量明文账号密码去网站B进行登录尝试，如下图所示：

提到撞库，不得不提的就是拖库和洗库，如下为黑产整个的攻击链条：

• 拖库：黑客从有价值的网站盗取用户资料数据；
• 洗库：黑客将用户账户的财产或虚拟财产或账户信息本身变现 ；
• 社工库：黑客将获取的各种数据库关联起来，对用户进行全方位画像 ；
• 定向攻击：黑客根据用户画像，对特定人或人群进行针对性的犯罪活动，比如诈骗。

然后我们一起来看撞库、洗库、拖库每部分又都是如何完成的：

第一步拖库：入侵者首先寻找目标系统，然后分别通过技术手段（SQL注入、跨站脚本攻击等）和社会工程手段（内部员工泄密、针对管理员钓鱼等）获得完整数据库。

第二步洗库：获得完整数据库后会将数据进行分层处理（金融类账户或社交类账户分门别类）

第三步撞库：洗库完成，黑产会进行两个动作，直接进行信息售卖现金变现，或者针对具体网站定向攻击从而获得更多用户信息。 撞库所得信息又可以再次进行洗库操作，此拖、洗、撞相辅相成，构成完整的信息窃取产业链。

『 信息=资源=利益 』

随着互联网+的热潮愈演愈烈，越来越多的用户开始将资源从线下转移到线上（包括资金和个人信息等虚拟资产），由此黑产嗅到了利益的气息，那么黑产撞库所得信息获资源又是如何进行变现的呢？无外乎两种：暗网售卖、诈骗勒索。

某二次元弹幕视频网站X站的用户数据在暗网出售（用户名+手机号+密码），数量高达800万条，且大部分为一手数据。在这里用户隐私被明码标价，将近1500万个用户的个人信息价值31,000元，假设这1500万个账户中，平均每个账户薅到1毛钱，都是150万的暴利。

浙江省1000万学籍数据在暗网出售，包含了学生姓名、***、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称售卖的学籍数据里还提供有照片链接，数据在100G左右，利用比特币进行交易（我们可以一起来算一笔账：国内多起大学生被骗案件中，涉案金额都不会低于5000，就打1000万个人中，只有100个人受骗，就是50万！更何况，受骗的学生远不止这100人）。

据统计，43%的国人都曾遭受过网络诈骗，通常通过冒充熟人、谎称网购平台、伪基站或者电信诈骗，其中电信诈骗每年可获得大约几百亿的收益。

案例一：至今提起来依然让我们感到痛心的“徐玉玉案”。

事件描述：『2016年8月19日，徐玉玉的母亲接到了骗子的***，对方声称有2600元助学金，并说这是发放助学金的最后一天，但需要将其原有的9900元通过ATM机取出，以此来激活银行卡，再将原有的钱汇入一个指定账号，到时候将助学金和原有的钱一起取出。徐玉玉照做了，骗子随后关机，9900元学费被全部骗走。当晚，徐玉玉报警后在派出所回来的路上，呼吸心脏骤停，最终于2016年8月21日晚上9点30分左右因心脏骤停抢救无效去世。』

利用撞库登录方式获取账号+密码，然后通过变号软件拨打通信运营公司******为受害人开通短信助手业务（增设短信过滤、短信保管、短信转移等功能），从而截获短信验证码，进行转账操作。

现在更有伪基站强势转账，详情请参照文章：黑产拿“伪基站”强势转账，我是手机，我现在慌得一批

『 知己知彼，方能百战百胜 』

小编在网上找了个撞库教程整理给大家看看，了解黑客是如何撞库的：

① 首先找到一个目标网站，随便输入一组用户名和密码，测试其验证码是否可以被绕过。

② 提交正确的验证码，repeater两次，回显都是提示账户名和密码错误。说明该网站验证码可绕过。

③ 设置彩虹表，就是黑客手中已有的账户名和密码。网络上面有很多可以使用的彩虹表。

④ 开始撞库了，分分钟获得1000+有用的用户名和密码。可登录的用户名和密码会暴露我们的很多信息。

登录进去之后，姓名，***，工作单位，手机号，家庭住址什么信息都有。我们就这样暴露了。

1.QQ信封号产业链：由于QQ邮箱的大规模使用，很多人在网站注册用户时直接使用QQ号对应的QQ邮箱和密码，导致每天被盗的成百上千万QQ号被大量直接用来进行网站撞库；

2.网站泄露数据: 各大网站频繁曝出的泄露数据则为其提供了丰富的弹药；

3.地下黑市流通：暗网和地下黑市的数据流通成为其构建庞大社工库的主要来源之一。

谈谈其具体的攻击方法，最关键的步骤莫过于：check-user-exist

• 注册接口快速验证：许多网站在填写注册信息时，会通过AJAX对账户名是否可用做实时验证，如果可用便在页面上打个勾。该接口大量被黑客用来判断某用户名是否有在网站注册；
• 登录接口返回信息：部分网站如果账号密码错误会返回敏感信息暴露账号存在情况。例如返回提示「账号不存在」或「密码错误」，便能让黑客判断账号是否存在。此处我们推荐的返回信息是「账号或密码错误」；
• 找回密码接口：部分网站在找回密码的流程中，填写手机号或邮箱后会有一次带提示信息的再确认，此处也常常被黑客用来判断账户存在与否。

• 游戏行业：游戏业一直是黑客关注的重点，从盗号木马到外挂编写，从打金工作室到私服，从代练到金币装备交易。而能直接获得对方游戏账号的撞库方案自然也成为黑客关注的重中之重，因此，游戏公司在此类攻击中首当其冲也是理所当然了。
• 金融行业：金融行业作为重资产行业，银行撞库登录诱导用户操作进行资金转出事件屡见不鲜；证券股票行业撞库大V账号，引导大家买股趋势等情况都屡有发生。
• 区块链行业：区块链行业作为新兴行业，也是黑产重点关注行业。3.7事件某安被撞库31个账户进行高卖低卖操作，利用交易所的流动性，选择不起眼的小币种进行洗钱操作，涉案资产高达几十亿。
• 电商行业：电商平台包含有用户通讯信息联系***，订单信息等详细信息，泄漏后很容易遇到诈骗勒索等事件，小红书事件、亚马逊洋码头等都是案例，用户订单信息以2元一条价格在黑市进行售卖。

15年阿里安全报告显示如下：

1. 品牌形象受损：保护用户的信息安全是企业基本责任之一，泄露用户信息会缺失公信力，损毁公司品牌形象。
2. 承担法律责任：触犯网络安全法相关规定，轻则工信部约谈，重则企业勒令关闭。

1. 骚扰***: 时不时接收到垃圾短信，营销***，甚至诈骗***等骚扰信息，影响正常生活。
2. 生命财产损失: 因骗子手中对于我们个人信息掌握，很容易受其诱导，自主进行转账等操作最终导致个人财产损失。更有甚者可能会付出生命的代价。

目前无论是网站主本身，还是第三方安全厂商，对于撞库的防御，也是八仙过海各显神通，接下来我们一起来看看主流的防控手段和其效果。

前面撞库教程中有提到:

输入一次验证码可进行多次登录尝试，且黑产往往会利用所有和后端数据库存在交互的端口进行check-user-exist的尝试。

故而再次建议网站主可做如下业务逻辑调整：

1. 每次登陆都需要重新请求验证码，避免出现一个验证码可进行多次登陆验证的操作

2. 返回信息优化：避免明确告知其错误信息，而是提醒：账号或密码错误等

但是，事实上一般网站在主流业务关键端口业务逻辑都是很完善的，因此黑产往往会选择一些边缘性业务端口进行撞库尝试（之前有了解到，有些边缘业务，甚至企业自身安全部门都不知道其存在），故而在此也是建议企业：

以SSO为目标，建立统一登录平台，避免边缘业务端口给黑产提供可趁之机。

根据黑IP库或者同一IP短时间内访问次数，短时间内禁止某一IP的访问请求

封IP的方法是企业以及第三方厂商最惯用的手段，再最开始的时候成本极低，且收效极好，但随着黑色产业链的逐渐完善，目前来看基于IP的防控收效甚微：

1. IP黑库量级远远不及黑产更丰富 ；

2. 黑产具有平台化的IP自动切换工具，诸如：扫描代理、付费代理、付费***、付费VPS、秒拨软件等，这里只简单介绍一下秒拨软件。

可以调用全国甚至国外的ADSL宽带动态IP资源，只要通过简单配置，就可以实现IP的“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡(MAC)信息、多地域IP资源调换等服务，规避网站的限制策略。相比之下，一些平台引以为傲的动态IP防御策略似乎不堪一击。

1. 基于计算机的操作系统类型，***的各种插件，浏览器的语言设置及其时区 、设备的硬件ID，手机的IMEI，电脑的网卡Mac地址，字体设置等，通过某种Hash算法生成特征字符串来用作设备指纹；
2. 当识别到某一账号设备指纹发生变化时即有可能被撞库，可引入更高级的身份验证方式。

一台手机+改机工具=无数台手机

目前黑产利用改机工具甚至群控系统，可以轻松实现设备的伪造和批量操作，极大节省人力成本，提高工作效率，同时修改伪造的设备信息也使得设备指纹变成美丽的空中楼阁。

市面上主流的改机工具都是XPOSED框架来修改手机的机型。这种修改方式目前是一种主流技术，主流技术的优点就是兼容性好、开发(包括文档支持、社区支持、第三方模块)成本低、稳定性高等特点，主要伪造手机的设备信息（包括手机品牌、型号、串号、IMEI、定位、mac地址、手机运营商、无线网名称）。

群控系统=手机+改机工具+群控软件

验证码作为全自动区分计算机和人类的公开图灵测试，是用来区分用户是计算机或人的公共全自动程序。而批量的撞库操作往往都是由机器完成，再加之验证码相对来说成本较低，故而利用验证码进行撞库防御也是企业和厂商惯用手段。

以上为目前常见的验证码形式，然而随着机器学习的发展，以上验证码的局限性也愈发明显，即使被大家吐槽最多体验最差的12306验证码据传也已被携程破解（春运期间加20元便可升级VIP优先出票即是通过机器识别变态验证码）。

以下为传统验证码的破解方式：

由此可见，传统验证码的安全性已然无法保障。

自2012年，极验首次提出行为式验证之后，各大厂商纷纷效仿，开始掀起行为验证的热潮，其核心原理基于模型训练和机器学习来解决验证码被绕过的问题：

① 利用机器学习，深度学习对人的行为特征进行了大量的分析。建立了安全模型去区分人与机器程序

② 动态更新，当网站出现可疑情况时我们能够最快速的进行全网的验证模型更新。

③ 用深度学习构建的神经网络是可以不断的自主学习的，在不断的验证过程中不断的学习新的特征分析，做到自我优化。

通过模型分析，红色是恶意程序，绿色是正常用户，我们可以清晰的分辨出来，说明人与机器程序在网络世界的行为是具有很大差距。

通过模型分析，红色是恶意程序，绿色是正常用户，我们可以清晰的分辨出来，说明人与机器程序在网络世界的行为是具有很大差距。

1. 在登录场景进行部署，如果用户id对应的设备指纹发生变化，代表有被盗号的风险，可要求用户进行二步校验，用户申诉后可手动更新风险等级。
2. 在注册改密等和后端数据库存在交互的地方进行部署，恶意行为不进行提醒等，解决check-User-exist问题。
3. 机器批量操作行为可利用验证码进行拦截。

据统计，目前能够成功绕过风控策略进行撞库攻击占总攻击量的83%，而其撞库成功率则在0.4%左右浮动。所以撞库类风险作为常规风险，其核心往往不在于如何完全避免，而更多应该考虑的是攻防对抗的成本提升，防患于未然。

最后想说一句：安全的本质是对抗！世上没有绝对安全的防御体系，只有不断完善的安全建设！

欢迎关注微信公众号”极验“，还可以添加技术助理微信geetest1024，与作者共同探讨问题~