2600萬條陌陌數據庫出售,售價僅200元人民幣?昨天有爆料顯示,在網上有約2600萬陌陌數據出售,包括用戶的手機號和密碼,來源是3年前撞庫。不過經驗證,這組數據中的密碼並不正確,一些手機號不存在。
事件
3年前撞庫數據再度被出售
據微博博主lxghost透露,陌陌的約3000萬條數據在暗網出售,有多個賣家都有相關資源,價格僅為200元,但不保證數據的有效性。
一個約2600萬條的在售數據包括手機號和密碼。據賣家介紹,這批數據的來源是3年前撞庫而來。數據規模總共3161萬行,包括手機號加密碼或者僅手機號,其中含密碼的數據是2592萬行。
賣家還特別警告稱,“本人未有大批測試能力,故無法確保數據能登錄陌陌或者可搜索到陌陌账號的概率,這一點敬請諒解。”
截圖顯示,這些陌陌账號和密碼被整理成一個GVIM文檔,在截圖的20個手機號碼中,僅有3條無對應密碼,其余在手機號後都標有密碼。
另一個3000萬條數據庫的介紹顯示,這批數據是2015年7月17日被寫入的,總條數3161萬條,包含的資料欄有手機號和密碼。賣家介紹稱,“數據中密碼有空白項,但這部分所佔比例不到1%,就算去掉100萬條,還有3000萬條。”並申明:“本數據不保障現時有效性,隻適合撞庫等用”。
驗證
密碼不正確或陌陌號不存在
不過據驗證,這些數據的有效性存在很大問題,北青報記者隨機驗證了幾個账號發現,多個账號顯示“該陌陌號不存在”,還有的顯示“账號或密碼錯誤”。
例如數據中的136xxxx9535,在登錄時顯示“用戶名或密碼錯誤,是否找回密碼?”在找回密碼時則需要通過手機號碼進行驗證,他人無法直接進行登錄;而152xxxx0634則顯示“該陌陌號不存在”,說明數據庫數據存偽。
為何會有密碼錯誤或账號不存在的問題?據猜測,一種可能是因為數據庫本身有問題,由於暗網是一個匿名網站,上面的數據可能存在捏造等情況,而這些數據是用於出售的,因此很可能是有人捏造數據庫而騙取錢財;另一種可能是,三年前存在類似數據庫,但陌陌方面已經進行一些措施,提示用戶修改密碼或在此期間部分用戶注銷等,目前來看這批數據的利用價值已經不大。
追訪
數據庫洩露事件緣何時有發生
在資訊化、數據化的今天,數據洩露事件並非個案。11月30日,萬豪酒店集團披露,旗下喜達屋酒店的一個顧客預訂數據庫遭到入侵,有約5億顧客的資訊可能遭到洩露。被洩露的資訊包括姓名、生日、電話號碼、護照號碼甚至包括支付卡號碼及有效日期。
據業內人士介紹,萬豪事件是被“拖庫”了,在黑客術語裡面,“拖庫”是指黑客入侵有價值的網站,把注冊用戶的資料數據庫全部盜走的行為。而陌陌事件中提到的“撞庫”,是黑客將一個網站的數據庫嘗試在其他網站進行登錄,由於很多用戶喜歡使用相同的用戶名和密碼,黑客就可以用之前的數據庫登錄新的網站,盜取用戶在新網站的財產和資料。
“用戶要避免在不同的網站使用相同的用戶名和密碼,以避免被撞庫”,一位安全專家表示,“當然,販賣和購買公民資訊是違法的,這些售賣和購買數據庫的網友也將承擔相應的法律責任。”大安全時代,數據洩露事件並不是單一廠商的密碼洩露,而是一直以來或明或暗的安全事件——個人、資訊安全行業、公司實體都無法置身事外,需要建立一個協同聯動的機制和體系。
一份匯總分析了84個國家的《2017年的數據洩露調查報告》顯示,數據洩露原因方面,62%的數據洩露與黑客攻擊有關;81%的數據洩露涉及到撞庫或弱口令。導致數據洩露的主要手段分為技術手段(黑客入侵、軟體漏洞、惡意木馬)、非技術手段(內部人員泄密、非有意識泄密)。
文/本報記者 溫婧
最新消息
陌陌回應:他人無法僅憑手機號和密碼登錄用戶账號
昨日晚間,陌陌公開回應了關於用戶數據安全一事。
陌陌稱本著對用戶數據和隱私安全負責的態度,現就此事說明如下:第一,這個所謂的三年多前通過撞庫得來的數據,跟陌陌用戶的匹配度極低。多家媒體測試驗證的情況顯示,返回的也都是錯誤資訊。第二,陌陌採用高強度單向散列算法(用戶密碼被單向加密成密文,但不能通過密文還原為明文)加密存儲用戶密碼,因此任何人無法直接從陌陌數據庫中直接獲取用戶明文密碼。
陌陌最後表示,“請陌陌用戶放心,陌陌採用包括密碼驗證、設備驗證等多重校驗機制,以保護用戶資訊安全,任何人在其他設備上僅用手機號和密碼試圖登錄陌陌账號,都會觸發簡訊驗證碼等多種資訊驗證措施,他人根本無法僅憑手機號和密碼就登錄用戶陌陌账號。”
香港九龍灣馬來街興發大廈15樓D室