騰訊企鵝號撞庫事件續：何為撞庫？_風聞

一個被盜的自媒體企鵝號，可能激起騰訊內部整治的千層浪。不僅Pony馬還親自表態關注，騰訊後續對企業平台出現的盜號事件究竟是什麼態度？這事又是從何説起？今天我們就科普下撞庫！

     3月13日，自媒體微信公眾號（三表龍門陣）發文《河南露露給我上了一堂七萬的課》，揭露了自己企鵝號被盜後發生的事情。從今年1月12日起，他的同名企鵝號就被更名為“娛樂露露”，直到3月11日每天都雷打不動更新5篇文章。

      讓他覺得不可思議的是：企鵝號名稱和主體信息變更時，他沒有接收到任何通知；一個筆耕數年的科技大號此前沒有任何收益，但在娛樂露露的運作下，兩月內賺了75196.37元。盜號後產生的巨大收益，以及盜號產業背後可能的利益鏈，都期待這騰訊官宣解答。

    對於這次“娛樂露露”等企鵝號自媒體平台出現的盜號問題，騰訊分析原因是因2018年底，由於某知名第三方網站賬號數據庫泄露，造成了不法分子對平台上部分企鵝號進行撞庫攻擊，少部分企鵝號因此被盜。騰訊企鵝號平台對目前已知的被盜賬號進行了賬號安全信息恢復，併成立專項小組全面排查可能存在風險的異常賬户。同時騰訊也將全面提升企鵝號的賬户安全機制：全面使用QQ、微信安全登錄體系，逐步下線郵箱和手機登錄;嚴打盜號，封禁盜號者的所有收益並對情節嚴重者移交司法。

  純經驗分享，對於一名初級白帽子來説，有時候很高深的技術不僅僅學不懂很難，而且實用價值並不是很大。如何快速高效的挖掘漏洞賺錢？由於黑客產業鏈背後高利益的驅使，大大小小的黑客們把更多的注意力轉移到了對互聯網用户信息的竊取上，根據對已曝出的國內泄漏數據的統計，自2011年至今，從互聯網上泄漏的用户信息數據已超過11億條，並且仍將愈演愈烈。造成信息泄漏的手段有很多，撞庫就是其中一種主要方式。 那麼到底何為撞庫？

　　“撞庫”本身是黑客術語，是指黑客通過各種手段（社工\攻擊\購買等），收集並整理批量的互聯網泄漏用户名和密碼信息，並形成一定規模的字典表，之後對重點目標網站進行批量登錄嘗試，基於一定的成功概率，獲得該網站可用用户名和密碼的攻擊方式。隨後黑客通過掌握的這些信息，可以登錄該網站，並且很容易地獲得與用户有關的其他各類信息，如：手機號碼、身份證號碼、家庭住址、支付寶或網銀信息等（信息內容取決於該網站的業務類型），進而獲得更大的獲利空間，如：身份盜用、定點詐騙、信息交易等。嚴重時，可直接導致個人財產受損，2014年蘇州就發生過一起支付寶賬號因撞庫泄漏，導致用户被惡意轉賬32萬元的案件。

　　撞庫之所以有可乘之機，其根源是由於大量的用户安全意識薄弱，且為了方便記憶，習慣使用同一用户名和密碼申請註冊多個網站，這就相當於創造了一把“萬能鑰匙”，方便自己的同時，也為自己挖了一個大坑，由於各類網站安全防護技術能力良莠不齊，一旦某個網站被黑客攻破，這把“萬能鑰匙”就已經失竊。

　　總的來説，撞庫其實更像是撞大運，更多是利用人性的弱點，對於網站來説，是一種非漏洞的漏洞，其攻擊效果取決於使用的字典表，當字典表的量級達到一定規模時，其最終可以獲的信息量也是非常驚人的，12306網站之所以被硬生生的“撞出”超過13萬的用户信息，可以判斷用於撞庫的字典表至少需要達到千萬級別。那麼如此龐大的數據源如何獲得？這就要提到拖庫和洗庫的概念。

　　和撞庫類似，“拖庫”和“洗庫”同樣是黑客術語。拖庫是指黑客通過技術手段，入侵網站並盜取網站數據庫內容的攻擊行為。在獲得的大量的用户數據後，通過一系列的技術手段對數據進行分類、篩選、清洗，再利用黑色產業鏈渠道，將有價值的數據變現，進而實現非法獲利，這一過程則被稱為“洗庫”。 

​