中國網民的資料,一夜之間成為了一個個打包的文件,在互聯網上散播,其中更是傳出個人銀行資料和出入境資料被完全公開,雖然隨后被辟謠,但是對于互聯網個人信息的安全已經鬧得人心惶惶,作為網民自己,面對這樣毫無辦法的“被侵犯”難免感到心寒,而作為中國互聯網的管理部門也終于按捺不住了,針對近期CSDN(中國軟件開發聯盟)、“天涯”等網站發生的用戶信息泄露事件,中國工業和信息化部近日表示,泄露事件侵犯了用戶合法權利,危害互聯網安全,對竊取和泄露用戶信息的行為表示強烈譴責。這也是工信部少有地對互聯網事件進行官方的譴責。
面對已經逐漸淡去的資料泄漏事件,目前媒體所看到的更多的是對泄漏網站的責備,同時對事態所造成的影響的估算,但是對于事件發生背后的原因卻甚少有進行了解。記者親身深入到某黑客組織內部,對事件的內幕進行了探究。
盜取用戶賬號密碼真的很簡單黑客軟件網上可自由下載使用
“黑客拖庫攻擊早在2009年之前就已大量出現,只是由于黑客沒有把數據庫放在網上提供公開下載,沒有像現在一樣引起巨大的社會轟動。之所以有多家網站聲明在2009年改變了用戶數據庫的加密方式,很可能是這部分網站管理者當時意識到了用戶數據庫泄露的危害。”
面對記者,曾經也熱衷于黑客活動,如今成為了某互聯網安全企業員工的“果子”(化名)對記者侃侃而談。“這次其實真正被泄漏資料的應該就只有CSDN和天涯網而已,更多的網站的資料所謂被泄漏,其實是‘撞庫’的原因,‘撞庫’指黑客用拖庫所得的海量注冊郵箱和密碼,在電子支付、微博、聊天、購物等不同平臺上試探登錄,如果有人習慣使用相同的注冊郵箱的和密碼,很容易會被黑客撞庫盜號(例如CSDN泄露的用戶數據庫中,超過30%使用了QQ郵箱注冊,這部分用戶如果為CSDN賬號和QQ設置了相同密碼,可能導致QQ賬號被盜)”
“盜取用戶賬號密碼真的很簡單,并不像大家所想象的那樣深奧,目前很多黑客軟件網民可以自由下載使用。”記者與“果子”相約在某咖啡廳,“果子”在咖啡廳的公用電腦上,簡單的幾個步驟就安裝了一款竊聽賬戶密碼的軟件,通過簡單設置后,這款軟件很快就消失在這臺電腦的桌面上,“這臺電腦以后所有賬戶密碼的輸入,包括QQ賬戶密碼、銀行卡賬戶密碼等所有賬戶密碼信息,都會按照我設置的時間頻率,自動生成一個文檔文件,發送到我設置好的郵箱當中。”
在記者強烈建議下,“果子”在不到一分鐘時間內即可把這款軟件刪除。“如果不是我主動刪除,這款軟件就會一直生效到這臺電腦下次重裝的時候,每次啟動都會默認在后臺運行。”面對咖啡廳內數臺共用的電腦,“果子”也不敢擔保其他電腦是否已經被其他人安裝了類似的軟件。
職業黑客盜亦有道“用戶資料泄漏應是菜鳥所為”
回到最近被泄露的眾多用戶信息的問題上,“果子”認為并不像是職業黑客的行為,“此次事件應該是某些黑客想炫耀或恐嚇網民,也可能是一些菜鳥黑客的不小心行為,因為一旦數據庫在網上公開,黑客們就無法通過交易轉讓數據庫獲利,因為這些都變成了公開信息了。”
此前金山網絡反病毒工程師李鐵軍在接受記者采訪時也表示,隨著他們對源頭的挖掘,本次資料泄漏事件的起因應該是部分初級黑客在通過點對點傳輸軟件進行資料的交換時,意外地把資料放在了公開通道上而被部分網民發現,而通過標簽的匹配,這部分發現資料的網友則挖掘了更多的類似的用戶資料的數據出來,進而通過網絡共享而進一步的擴散。
“這部分資料應該已經在黑客圈內倒賣了多次了,并且可能已經成為了一些初級黑客‘練手’的工具,黑客組織實際掌握的用戶數據庫規模應該遠大于已經公開暴露的這部分。”李鐵軍認為黑客目前掌握的數據庫數量已經無法估算。
黑客產業鏈暗藏巨大商業價值用戶個人信息安全保護警鐘長鳴
“按照目前黑客圈中的價格,像這次泄漏的這種比較老的數據,在經過轉賣交易后,一萬個賬號的‘批發價’只有50元。”
“果子”認為黑客圈中的資料價值直接體現了資料的重要性,同時“果子”也向記者講述了黑客的產業鏈:“首先黑客認準了某個數據庫后,先要進行‘拖庫’,就是黑客通過網站漏洞入侵服務器,竊取用戶密碼數據庫下載到電腦中;然后黑客們還會將數據進行‘聚合’,不同黑客組織通過交易、共享等方式聚合不同網站的密碼庫,形成龐大的規模;最后黑客們則要將數據庫交給真正帶來利益的一部分人來進行‘洗號’,也就是把密碼庫批發給專門從事‘洗號’環節的人來兌現。真正高手的黑客大多在做‘拖庫’,后面的‘聚合’和‘洗號’工作相對簡單。”
據業內人士透露,目前黑客產業鏈暗藏巨大的商業價值,困擾中國網民已久的個人資料外泄大多緣起于此。“‘洗號’的過程一般就是個人信息被公開的時候。”
“果子”解釋了危害最大的“洗號”當中的步驟:“1.利用密碼庫在網上支付平臺自動批量發起交易,如果恰好用戶泄露的密碼和網上支付密碼相同,支付賬戶中的余額就可能被黑客竊取;2.利用密碼庫嘗試竊取QQ、MSN等聊天軟件賬號(如QQ郵箱、hotmail、live郵箱注冊的賬號密碼泄露),向好友發送借錢詐騙消息;3.利用密碼庫在微博、人人、開心等社交網站上嘗試登錄,發布廣告信息或釣魚詐騙鏈接;4.利用注冊郵箱數據發布垃圾郵件。這些郵箱一方面成了垃圾郵件的發送對象,另一方面也可能被黑客利用作為垃圾郵件發件人;5.一些游戲廠商的用戶數據庫被黑客竊取后,可能被黑客轉賣給其競爭對手,成為競爭廠商爭奪用戶資源的‘營銷對象’;6.轉讓倒賣用戶密碼數據庫。經過這六大步驟后,一個用戶賬戶的信息基本上也就價值耗盡了,而黑客也完成了榨取這個賬戶價值的工作。”
“這次資料外泄事件,在黑客圈中也引起了極大的反響。”“果子”認為黑客本身其實并不愿意如此受到社會的關注。“雖然黑客是一個去中心化的組織,但是黑客們更希望大家看到的是黑客‘黑掉’蒙牛網站這樣的事情,而不是一些菜鳥黑客泄漏資料所引起的風波。”