【K哥爬虫普法】北京某公司惨遭黑客攻击13000000余次,连夜报警……

发布时间:2023年12月19日

图片

我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。

案情介绍

“我啥也妹干呐,那家伙上来就给我哐哐哐撞了一千三百万下😭😭警察同志,您一定要给我主持公道,不法分子必须严惩!”

? ——帝都某公司在警局里如是哭诉到

大家好,我是K哥!

今天给大家讲一个关于数据泄露的故事,故事很新,就发生在不久前。

事情是这样的,前阵子北京的警察叔叔们接到了自己辖区里边一家公司的报案,互联网公司,做招聘平台的。

该公司称自家 App 的短信验证码接口遭受了1300 余万次恶意攻击,而且被成功匹配了30 余万个注册账号 。

(这意味着30多万份的求职者信息遭到泄露)

接警之后,警察叔叔们迅速受理,并定性了这是一起黑客违法案件

本案男一号喻某,2022 年 10 月 18 日的时候在该招聘平台注册账号,并多次尝试了验证接口,当时他就寻思,这个网站的签名算法比较单一,不复杂。

而喻某是懂这个的,刚好这兄弟手上又有点儿技术,就动了歪脑筋,针对这个网站的弱点写了套程序,专门用来撞人家库。

这里给小白同学解释一下**”撞库“**:

通俗一点讲,“撞库”就是黑客通过收集互联网上用户的账号和密码信息,生成对应的字典表,再尝试批量登录其他网站。以“撞运气”的形式“试”出可登录的用户名、密码。

-使用Python就可以轻松写出撞库攻击脚本,实现自动批量验证账户,技术门槛不高。

-撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击的成本很低。
-恰恰是这种比较笨的方式,让很多网站都防不胜防。

有兄弟就要问了:K哥K哥,黑客是怎么拿到这些账号密码的呀??

要知道,现如今的信息泄露情况是很严重的,私人信息数据的贩卖,在*网论坛早就有了成熟的灰色产业链,既然都当黑客了,自然有渠道能搞到。

至于怎么泄露出去的,花样就太多了,随便给大家列举几个场景:

  • 在公共网络环境下输入了自己的账号密码,例如去网吧上网,而计算机里本身就有病毒程序,那你的账号自然就泄露了。

  • 以前注册的一些网站,一是数据库本身有泄露风险,二是很多网站倒闭跑路时直接把用户信息打包卖了。

  • 网传某输入法,在用户输入账号密码时,会自动记录并上传,至于做什么用,大家可以想一想。

    ……

而妙就妙在,很多人的账号密码是N年不换的,且多个平台通用一套账号密码,顶多调整下大小写。

因此黑客可以通过获取用户在A网站的账户去而尝试登录B网址,这就可以理解为撞库攻击。

图片

? (图片来源:央视网视频截图)

而撞库成功之后,还有对应的**“拖库”“洗库”**。

***“*拖库*”*是指黑客入撞库成功过后,把注册用户的资料数据库全部导(dao)出(qie)的行为,因为谐音,也称作“脱裤”

(之前360为了奖励提交漏洞的白帽子兄弟,专门搞了个“裤带计划”,名字出处就在这儿)

但拿到数据不是目的,赚米才是目的,那么黑客在拿到大量的用户数据之后,通过一些非法渠道将数据售卖变现,就叫做**“洗库”**。

? 撞库→拖库→洗库

图片

? (图片来源:百度百科)

法网恢恢

说回案件本身,本案男一号喻某通过黑客手段以及自己制作的黑客程序,恶意攻击了该求职招聘平台的 App 短信验证码接口,在该公司报警后不久便在成都被抓获。

(据喻某招供,他还利用类似方式对其他各大网站进行渗透,并伺机查询网站漏洞,以此为诱饵向他人兜售自己编写的恶意程序、黑客工具,从中牟利。)

另有一枚倒霉蛋,男二号焦某也于成都被警方逮捕,现场起获各类公司、人员数据 330 余万条。

(据焦某招供,自己花3000块钱买了喻某的黑客程序,用于撞库攻击其他网,而且还通过非法渠道在境外网站出售牟利。)

抓捕过程K哥没有找到什么详细报道,但估计警方也没遇到什么阻力,**敲门,外卖,按住!**一气呵成!

毕竟只是黑客,不是凤凰战士,网络重拳出击,现实一推就倒。

图片

(以上猜测基于K哥平时看警匪片的个人爱好,并非经验之谈,请广大读者朋友切勿妄自对K哥进行揣摩)

目前犯罪嫌疑人喻某、焦某因破坏计算机信息系统罪被依法刑事拘留,案件正进一步办理中!

这俩哥们儿的牢饭是免不了了,估计还不会轻判,毕竟情节比较恶劣,涉及到300万条国内公民和公司的信息,而且还向境外倒卖!K哥只能说是咎由自取,抓得好!

以案为鉴

北京市公安局网安总队侦查员对用户设置密码提出如下建议:

  • 密码避免过于简单易猜;
  • 公共设备登录个人账号不要勾选“记住密码”“默认登录”等选项,尽可能选择匿名登录;
  • 使用需填写重要账号密码的第三方 App 或不知名应用时,要持谨慎态度,尽量减少透露个人的详实信息。

NordPass发布了2023年全球使用最多的密码榜单。像什么123456789;qwerty;asd123456都是国内很多人在用的。

如果你也是其中之一,K哥这边给出专家建议,能改就改哈。

图片

? (图片来源:NordPass)

K言K语

最后再说点儿题外话,很多人对爬虫有误解,特别是一些对行业一知半解的人,认为爬虫就是一种黑客技术,但K哥必须再次为咱们爬虫工程师正名,爬虫er≠黑客

爬虫技术的诞生是为了高效的获取一些公开的信息,提高工作效率,而不是去入侵,攻击人家的服务器。

只不过掌握了爬虫技术的人,确实离黑灰产很近,但技术无罪,有罪的是人,一念天堂一念地狱。

最后K哥提醒大家要对数据,对法律有敬畏之心,不该碰的信息坚决不碰,不该接的业务千万别接!

更多爬虫相关文章,公众号搜索关注——K哥爬虫
图片

文章来源:https://blog.csdn.net/kdl_csdn/article/details/135068080
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。