腾讯企鹅号撞库事件续：何为撞库？

一个被盗的自媒体企鹅号，可能激起腾讯内部整治的千层浪。不仅Pony马还亲自表态关注，腾讯后续对企业平台出现的盗号事件究竟是什么态度？这事又是从何说起？今天我们就科普下撞库！

     3月13日，自媒体微信公众号（三表龙门阵）发文《河南露露给我上了一堂七万的课》，揭露了自己企鹅号被盗后发生的事情。从今年1月12日起，他的同名企鹅号就被更名为“娱乐露露”，直到3月11日每天都雷打不动更新5篇文章。

      让他觉得不可思议的是：企鹅号名称和主体信息变更时，他没有接收到任何通知；一个笔耕数年的科技大号此前没有任何收益，但在娱乐露露的运作下，两月内赚了75196.37元。盗号后产生的巨大收益，以及盗号产业背后可能的利益链，都期待这腾讯官宣解答。

    对于这次“娱乐露露”等企鹅号自媒体平台出现的盗号问题，腾讯分析原因是因2018年底，由于某知名第三方网站账号数据库泄露，造成了不法分子对平台上部分企鹅号进行撞库攻击，少部分企鹅号因此被盗。腾讯企鹅号平台对目前已知的被盗账号进行了账号安全信息恢复，并成立专项小组全面排查可能存在风险的异常账户。同时腾讯也将全面提升企鹅号的账户安全机制：全面使用QQ、微信安全登录体系，逐步下线邮箱和手机登录;严打盗号，封禁盗号者的所有收益并对情节严重者移交司法。

  纯经验分享，对于一名初级白帽子来说，有时候很高深的技术不仅仅学不懂很难，而且实用价值并不是很大。如何快速高效的挖掘漏洞赚钱？由于黑客产业链背后高利益的驱使，大大小小的黑客们把更多的注意力转移到了对互联网用户信息的窃取上，根据对已曝出的国内泄漏数据的统计，自2011年至今，从互联网上泄漏的用户信息数据已超过11亿条，并且仍将愈演愈烈。造成信息泄漏的手段有很多，撞库就是其中一种主要方式。 那么到底何为撞库？

　　“撞库”本身是黑客术语，是指黑客通过各种手段（社工\攻击\购买等），收集并整理批量的互联网泄漏用户名和密码信息，并形成一定规模的字典表，之后对重点目标网站进行批量登录尝试，基于一定的成功概率，获得该网站可用用户名和密码的攻击方式。随后黑客通过掌握的这些信息，可以登录该网站，并且很容易地获得与用户有关的其他各类信息，如：手机号码、身份证号码、家庭住址、支付宝或网银信息等（信息内容取决于该网站的业务类型），进而获得更大的获利空间，如：身份盗用、定点诈骗、信息交易等。严重时，可直接导致个人财产受损，2014年苏州就发生过一起支付宝账号因撞库泄漏，导致用户被恶意转账32万元的案件。

　　撞库之所以有可乘之机，其根源是由于大量的用户安全意识薄弱，且为了方便记忆，习惯使用同一用户名和密码申请注册多个网站，这就相当于创造了一把“万能钥匙”，方便自己的同时，也为自己挖了一个大坑，由于各类网站安全防护技术能力良莠不齐，一旦某个网站被黑客攻破，这把“万能钥匙”就已经失窃。

　　总的来说，撞库其实更像是撞大运，更多是利用人性的弱点，对于网站来说，是一种非漏洞的漏洞，其攻击效果取决于使用的字典表，当字典表的量级达到一定规模时，其最终可以获的信息量也是非常惊人的，12306网站之所以被硬生生的“撞出”超过13万的用户信息，可以判断用于撞库的字典表至少需要达到千万级别。那么如此庞大的数据源如何获得？这就要提到拖库和洗库的概念。

　　和撞库类似，“拖库”和“洗库”同样是黑客术语。拖库是指黑客通过技术手段，入侵网站并盗取网站数据库内容的攻击行为。在获得的大量的用户数据后，通过一系列的技术手段对数据进行分类、筛选、清洗，再利用黑色产业链渠道，将有价值的数据变现，进而实现非法获利，这一过程则被称为“洗库”。 

​