百度贴吧网盘 创业公司另一死穴危机!揭秘地下黑客背后的金主利益链
点击上方蓝色字体“腾讯创业”选择关注公众号
风投圈里的大事小事你都可以掌控
腾讯创业| ID:
突破城防的核心是获得管理员权限。 因此,大多数黑客通过查找漏洞、植入病毒、建立假基站等方式获取管理员权限并查看源代码。
文/张宁
来源/猎云网(ID:)
企业信息的泄露是不可能杜绝的,因为错不在你,而在于那些别有用心的刺探。
互联网上每天都在上演无形的攻防战,这是互联网公司和黑客的竞技场。
黑客就像非洲草地上的猎豹,隐秘而嗜血。 依靠金钱的诱惑,他们疯狂对互联网公司发起数据库填充、拖拉,为雇主窃取信息。
攻击的煽动者是受利益影响的金融支持者——竞争对手、广告商和欺诈团体。 在他们眼里,黑客就是重型攻城武器,破开财富宝库的大门,用完就扔掉。
过去,窃取企业用户信息是一个有利可图且无风险的地方。 但随着法律量刑的出台,顺利的阶段变得布满荆棘。
互联网公司、黑客、雇主,这场没有硝烟的战争还将继续,只是天平略有倾斜。
33万用户被骗
互联网企业城市频频倒塌
“我现在一分钱都没有了,生活费全都是跟朋友借的。”北京交通大学硕士、管理顾问、互联网金融公司战略部高级研究员石女士说。 ,并从事金融工作多年。 她的光鲜亮丽的标签支撑着她的北票梦。 “生活是美好的,也是有进步的”。
然而,10月初,一个自称是京东客服的来电,撕碎了施女士的小生命。
“我被骗了33万元,骗子是怎么知道我在京东的订单信息的?” 电话通讯的那头,时女士的话语里充满了沮丧和愤怒。
毫无疑问,京东订单信息的泄露对她的警惕性是一个打击。 “以后我再也不敢在京东买东西了。”
事实上,企业信息泄露早已是司空见惯的事,并不少见。
2017年8月8日,黑客从美国三大征信机构之一的EcoFi窃取了1.43亿美国消费者的个人信息;
同年3月,京东发现50亿条个人信息因内幕监管被盗;
2016年12月,京东被曝12G用户数据包在黑市交易;
2015年,网易163、126邮箱被曝漏洞,近5亿邮箱账号及密码数据泄露;
2014年12月,12306网站用户信息13万余条在互联网上广泛传播;
同年,小米论坛被黑,800万用户注册信息泄露……
互联网企业频频倒闭,个人用户信息大量泄露。 正是活跃在无形战场上的黑客们攻城略地,立下赫赫战功。
“安全工程师的工资比较高,当内奸不值得。”百度安全负责人黄峥对猎云网表示,互联网企业真正的威胁来自于外部黑客的攻击。
在网络世界里,他们是草原霸主。 他们肆无忌惮、无孔不入,攻击互联网企业,窃取用户信息。 即使网络安全专家也不能幸免。
“有一次我出国,连上公共WIFI,有人克隆了一个和我一模一样的QQ账号,冒充我向朋友借钱。” 资深安全专家大Z回忆起来不禁心寒。
数据库拖拽、数据库填充、黑客的獠牙
黑客的武器库中有十八种武器,但撞库和拖库是黑客击败企业防御的两种最有力的武器。
拖拽数据库简单粗暴。 入侵网站后,直接获取数据库中的所有用户数据。 面对黑客,公司的防御是如此薄弱。
“只要我在厕所里蹲一个星期,我就能得到这些隔间里的所有信息。”
说起网络入侵,一家互联网公司的技术总监指着SOHO办公楼自豪地说:“这有点像狙击手,你必须等待,扣动扳机,一击必杀。”
突破城防的核心是获得管理员权限。 因此,大多数黑客通过查找漏洞、植入病毒、建立假基站等方式获取管理员权限并查看源代码。
“黑客只需搭建假基站,劫持流量,从流量中分析出用户的账号和密码。” 黄征指出了德的攻击线。 只要获得管理员权限,就可以看到整个网站的密码。 企业用户信息因此被黑客操纵。
拖库看似与企业活力直接相连,深不可测,但实际上并不是顶级黑客的独特秘方。 “无论数据库大小,拖一个数据库只需要几万块钱”,黑客爱好者小M告诉我们。
信息安全保护不重视,系统陈旧,给黑客攻击留下了可乘之机。
据我们了解,EcoFi数据库被黑客攻破的主要原因是系统陈旧,黑客从互联网上找到了相应的存储库工具。 “很多系统都使用通用的仓库拖拽工具,而仓库拖拽并没有想象中那么技术性强。”
如果说数据库拖拽是精准的点击查杀,那么数据库填充就是黑客的地毯式轰炸,利用其他网站泄露的用户账户密码登录各个网站进行验证。
“黑客从其他渠道获取信息,比如以前泄露过的信息,或者小网站的账户密码,并利用这些数据来填充数据库。”黄峥指出。
2017年7月,百度网盘遭受黑客数据库填充攻击。 部分用户网盘数据被清除,用户账号、密码信息泄露;
2016年7月,黑客利用撞库手段在大麦网购买商品,并企图实施诈骗。 39名用户被骗近150万;
2015年3月,黑客实施撞库,窃取用户信息,用户被欺骗……
“大多数用户都很懒,账号和密码都一样,所以成功率相当高。” 小M对撞库很有信心,也多次尝试过。 原因是大多数用户不关注个人信息。
为此,为了加强城防,防止黑客大规模撞库,互联网公司添加了验证码,将网络请求的发起者识别为人,而不是机器。
一位安全专家表示:“验证码是抵御机器访问、撞库攻击和暴力破解的一种非常好的方法。”
但魔力太高了。 黑客要么利用系统漏洞绕过验证码验证,要么与编码平台合作。 黑客将账号和密码信息输入撞库软件并发起登录请求。 撞库软件会发送验证码图片。 提供编码平台,将图片信息转换为文本信息。
目前,一些黑客在撞库攻击中加入了AI技术。 今年9月,浙江警方查获了编码平台“快啊”。 “快啊”是黑市上最大的编码平台,可以识别市面上98%的验证码。 。
抓获过程中,警方截获超过10亿条公民个人信息。
事实上,与黑客的斗争并不是想象中的猛烈枪林弹雨的生死战,而是黑暗中无声的杀戮。
黑客就像狩猎前的猎豹一样,隐藏在无形之中,寻找企业服务器中的漏洞。 “根本没有什么惊心动魄的攻防战,你不知道他什么时候会攻击你。”黄正看着手头的工作,叹了口气。
发现并利用漏洞是黑客窃取信息的前提。 就像古代武林高手之间的对决一样,心存杂念、不小心的人一定会输。
商业、广告、欺诈
受利益影响,黑产业犯罪根源
虽然黑客已经消失得无影无踪,但他只是攻破企业防御的重锤。 真正可怕的是购买用户数据的买家。
是由竞争对手、广告商、诈骗团伙组成的买家。 它是数据黑市的发起者:提供需求并支付费用,而黑客、交易者以及所有游戏参与者都为它服务。
在这里,买家是一切非法活动的根源,任何黑客行为都会被定价。 只要有钱,什么都可以做。
为了消灭竞争对手,企业利用黑客攻击对手并赢得战争的情况并不少见。
2016年2月,拉勾网员工利用黑客技术破解了BOSS直聘使用的企业邮箱管理员密码。 该员工向应用商店官方申请删除腾讯企业邮箱后台和苹果App开发者后台中的BOSS直聘APP。 恶意操作导致产品下架。
金三、银四是招兵买马的黄金月份。 在App Store中搜索“BOSS直聘”时,搜索结果是“BOSS ”,而“BOSS ”是拉勾网开发的,与“BOSS直聘”无关。
黑客攻击导致BOSS招聘遭受重创后,“我们已重建家园,努力减少损失,努力服务处于招聘旺季的用户”,BOSS招聘官方回应。
对于互联网初创企业来说,信息安全更为重要。 这不仅是胜负问题,更是生死攸关的问题。
与大公司相比,创业者更愿意把钱花在营销和研发上,而不是在安全方面投入过多。 然而,对安全性的吝啬也可能成为初创公司的致命弱点。
“某初创公司老板雇佣黑客删除了竞争对手的所有数据库,原本平等的关系瞬间被打破。”某公司创始人透露。
摆脱对手只是买家意图的一部分。 被盗的信息可以很快变现,刺激买家的欲望,就像野狼寻找血腥味一样。
“泄露的个人用户数据主要用于广告推送和电信诈骗。”火绒网联合创始人马刚告诉猎云网。 由于信息量大、价值高,BAT成为黑客重点“关爱目标”。
7月份,百度网盘频繁遭受黑客撞库攻击。 奋战在前线的黄峥,承受着外部攻击的压力。 “百度每天都会面临黑客攻击。”
百度帐号只能绑定一个手机号码。 通过注册大量的百度账号来提升贴吧、百科的水平,成本太高了。 为此,犯罪团伙雇佣黑客,利用其他渠道收集的信息频繁碰撞百度网盘数据库。
一旦得手,这些账号就会被犯罪团伙用来刷帖,并从中牟利。
“个人信息保护的核心是了解黑客入侵的真正目的是什么。”
经过与黑客的多次较量,黄峥有了自己的体会。 在他看来,网络安全不是软件与软件之间的战争,而是人与人之间的战争。
据中国互联网协会发布的《2016年中国互联网域名权保护情况调查报告》显示:
2016年,数据黑市个人信息交易量达65亿笔,因诈骗短信、信息泄露而受害的人数达6.88亿人,造成经济损失约915亿元。
面对网络威胁,无人生还。 遭受黑客攻击的互联网企业纷纷成立行业组织,联合取暖。
在今年的云栖大会上,阿里巴巴联手17家企业共同推动“数据安全合作伙伴计划”;
9月24日,国家网信办、工信部等部委发起,阿里巴巴、腾讯、百度等互联网企业签署《个人信息保护倡议》;
360启动威胁情报共享项目,开放自有数据和能力……
量刑公布
战争仍将继续
黑客和数据购买者的肆意行为是由于之前法律监管的缺失。
“过去,信息安全犯罪,只要没有造成人员伤亡,通常都会被缓刑。” 网络安全从业者小G很委屈,认为窃取用户信息的处罚太小。
高回报、低风险、利益诱惑,诈骗团伙等买家前来寻血,雇佣黑客,一次次发起高频攻击。
然而,随着房屋记录数据泄露、徐玉玉被骗身亡、校园贷裸照泄露……公众将矛头指向了个人信息安全。
2016年11月,《中华人民共和国网络安全法》发布;
2017年3月,最高人民法院审判委员会全体会议通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 ,对非法交易个人信息进行量刑处罚。
与此同时,公安部对数据公司和黑产商发起重拳出击:出售行踪、通讯、财产、信用信息等50余条信息将被判处最高刑期至三年; 因泄露个人信息,造成被害人死亡、重伤、精神障碍、绑架等严重后果的,处三年以上七年以下有期徒刑。
在这场攻守之战中,引入了信息泄露的量刑,胜负的天平将其轨迹向有利于互联网企业的方向修正。
尽管天气变了,黑客不再像以前那样无所畏惧,但买家、黑客和互联网公司之间的战斗仍将继续。
有关风险投资行业的有趣事实和有用信息
欢迎来到腾讯创投!
提交邮箱: