近日，北京有一家互联网公司的求职APP遭遇撞库攻击，其短信验证码接口遭受攻击达1300余万次，最终该黑客攻击成功匹配了30余万个注册账号。经过警方调查，一个集编写恶意程序、实施撞库攻击、泄露数据资料为一体的“撞库黑客”团伙浮出水面。该团伙共导致300余万条用户数据泄露，危及群众信息安全、给企业带来经济损失。

俗话说有人的地方就有江湖，有账号的地方就有撞库，“撞库”攻击是一种非常典型的黑客攻击手段。“撞库（Credential Stuffing Attack）”字面意思即“碰撞数据库”，简单来说，就是利用很多用户会在不同平台使用同一密码的行为习惯，黑客在拿到用户在A平台注册的账号密码后，会以相同的账号密码去其他平台尝试登录。

北京警方在接到该互联网公司报案后，迅速研判，确定这是一起黑客利用网站漏洞非法获取账号信息并用于违法活动的案件。北京市公安局网安总队会同朝阳分局立即成立专案组开展侦查，最终锁定涉案嫌疑人喻某并在四川省将其抓获。而后另一名嫌疑人焦某也因涉嫌盗卖非法获取的大量公民个人信息及公司账号数据而被抓获。目前，犯罪嫌疑人喻某、焦某因破坏计算机信息系统被依法刑事拘留，案件正在进一步办理中。

据嫌疑人喻某交代，其于2022年10月18日注册该招聘网站账号，数次尝试验证接口。他发现该网站的签名算法相对单一，于是利用此弱点编写指令，制作黑客软件，对该网站进行撞库攻击。同时他还长期使用类似的方式对其它各大网站进行渗透并伺机查找网站漏洞，并以此为诱饵向他人兜售自己编写的恶意程序和黑客工具，从中牟取利益。

警方提醒，当你在不同平台使用相同的用户名和密码时，就相当于给黑客配了一把“万能钥匙”，只要登录成功，黑客就能随心所欲地获取你的个人信息，甚至进行数据的盗卖，这对个人和企业来说，都是巨大的安全隐患。

同时，警方建议公众：

1、设置密码时，避免过于简单、易猜。

2、在公共设备上登录个人账号时，不要勾选“记住密码”、“默认登录”等选项，尽可能选择匿名登录。

3、使用需填写重要账号密码的第三方app或不知名应用时，要持谨慎态度，尽量减少透露个人的详实信息。

编辑：左右里

资讯来源：公安部网安局公众号

转载请注明出处和本文链接