亚马逊等电商用户信息遭售卖2元一条 黑客“撞库”获得

timg

扫号产业链:黑客偷、贩子倒、骗子买

“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川向新京报记者表示,“而一些平台的用户信息之所以遭到泄露,就是因为缺少对这种‘撞库攻击’的防范。”

根据目前受骗者的案例,这些信息流向骗子的手中,当骗子掌握用户的具体购物信息时,一般会以冒充客服退款等方式进行诈骗。

“所谓‘扫号撞库’,简单来说,就是黑客用技术手段入侵一些安全防范不是很高的网站,取得大量的用户注册名和密码数据,有些网站的登录名包括用户的手机号、邮箱甚至身份证号,这些登录名可以与其他网站关联上,是信息泄露的载体,信息贩子掌握这些信息后,可以用‘撞库’方式尝试登录其他网站。”张百川说。

据他介绍,在实际操作中,信息贩子往往是通过专门的“扫号”软件,来批量验证账号密码是否是有价值的。

5月2日,当新京报记者询问“AA收购数据”有没有淘宝的平台账号密码时,“AA收购数据”回答称做不了,因为“没有软件”。

5月2日,新京报记者以出售数据为名联系到了一个网名为“四哥”的信息贩子。“四哥”称他们“大量收购所有网购历史订单,月内为优”。并称,“拿货价2元一个,囤货多了再出手,随便一天出3万个左右,保证最新数据”。

至于数据来源,“四哥”称“都是扫号得来的”,并询问记者是不是“技术源头”。

“这些信息贩子的‘技术源头’就是黑客平台”。张百川告诉新京报记者,“这些在黑客圈子里都可以找到,黑客盗取某些网站的数据库后就可以售卖给信息贩子,根据数据价值的不同,售价也不同,但一般都是第一次出售价格最高,比如最开始这个数据库可以卖一万,‘二倒手’之后就只能卖6千,再倒手之后价格更低,直至最后没有价值,向公众公开。”

一条黑客盗窃数据库信息,信息贩子通过扫号软件“撞库”取得网购平台账户密码,骗子再以几元一条的价格购买信息并进行电话诈骗的“扫号”黑色产业链浮出水面。“这个产业链存在至少有七八年了。”张百川表示。

新京报记者发现,一些QQ群是这些信息倒卖者的“大本营”。例如在某个以“网路安全”为名的QQ群里,不少人公开发广告称“求能拿指定站的大牛,价格以万为基数,长期合作,另诚意收购金融网站数据库”、“收带名字、电话、身份证号、地址的一手个人数据,价格包你满意”。

猎网在2015年11月曾发布《现代网络诈骗产业链分析报告》,报告显示:基于对网民举报的近9万起网络诈骗案件的追踪研究,该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链;初步统计,网络诈骗从业者至少有160万人,“年产值”超过1100亿元,而涉嫌泄露用户信息量已超过千万级。

猎网平台反网络诈骗专家裴智勇介绍,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。

有“漏洞”平台更易被“撞库”

“说白了,撞库攻击就是不断地尝试错误的密码。”张百川表示,“对于大型平台来说,往往可以利用技术手段限制这一‘撞库攻击’。比如登录错误几次后直接封掉登录者的IP地址,一个账户一天之内只允许输入三次,一个IP地址如果输入了两个账户或者输错了5次以上,24小时内就不允许再登录等。”

5月10日,新京报记者在某互联网平台多次以错误密码登录同一账号后,登录界面出现了“您今日只能再输入三次”的提示。

新京报记者同日在1号店网站上多次试验登录同一账号,多次输错账号密码后,1号店要求输入验证码,但除此之外并无其他防范手段。

5月16日,新京报记者尝试以错误密码登录苏宁易购,发现输错3次密码后,苏宁易购开启了移动滑块的防护措施,并在输错10次后锁死了账户信息,显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时,小红书方面表示需要以接收手机验证码的方式登录。

“1号店的验证码模式并不算是防御撞库攻击的有效方式,现在在网上搜索验证码识别、验证码绕过,可以得到相应的破解软件。移动滑块相应高端一些,但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码,万涛表示,现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称,当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后,被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。

5月10日,新京报记者致电一位信息已遭泄露的电商用户时,该用户告诉新京报记者,她接到了冒充1号店客服打来的诈骗电话。这名用户在两家电商平台上的登录名为同一个手机号。

“事实上,对撞库攻击进行防御的成本并不高,但除支付宝等大型平台外,小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。

对于因信息泄露遭受诈骗而形成的损失,电商平台应承担怎样的责任至今仍不明确。大部分电商平台对于此类事件的回应一般为“配合警方调查”。1号店昨日向新京报记者回复称,需要对信息泄露一事再核实。1号店的后台安全系统会24小时不间断监测顾客登录和购物行为,一旦发现频繁异常登录等高风险情况,将采取锁定账户等紧急手段,顾客需要修改密码或通过身份验证再次使用。如果顾客遭遇信息泄露后的财产损失情况,将全力配合警方提供所需要的信息。

苏宁方面表示,苏宁基于用户信息安全防范成立的安全团队,以网络安全攻击、Web安全攻击的安全风险发现识别为基础,可以通过可视化网络与Web攻击事件,发现内部网络高级持续性威胁,挖掘与检测针对苏宁消费者与商家的钓鱼网站,并予以及时处理。对于涉及消费者信息安全问题,将第一时间核实处理,确保用户购物支付环境的安全与稳定。

根据今年3月补天平台发布的《2016年网站泄露个人信息形势分析报告》,2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露2类信息),可能泄露的数量多达42.3亿条和40.1亿条。

电商平台是否担责?律师称难判断

“电商平台在获取个人信息的同时,就有保护个人信息的义务。”北京盈科律师事务所方超强律师向新京报记者表示,“信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。”

他进一步解释称,若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。

根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。

但方超强直言,在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到“撞库”盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。

万涛表示,实际上判断电商安全等级的相关标准有很多,包括国家信息安全等级保护制度和ISO27001信息管理认证,这要看电商能拿到哪些安全标准认定。比如在国家信息安全保护等级上,网约车必须拿到三级等级保护。但现在用户的信息泄露渠道实在太多,有大量的用户隐私数据已经处于泄露状态,以此判断电商责任并不全面。

万涛认为,核心问题是发生信息泄露之后,往往很难判断是哪一个环节出了问题,对责任的界定和处罚不明确,导致信息泄露从取证到用户的维权成本都过高。“电商有物流、第三方等多个环节,有很多订单泄露与其内部数据的管理和安全手段能不能覆盖到业务是有关联的。”

5月16日,“AA收购数据”还以2.6元一条的价格向新京报记者提供了一份淘宝网购用户数据,这份用户数据并没有账号密码。“这份数据的来源并非扫号,是我向开淘宝店的朋友直接拿到的。”

“一般而言,卖家在电商平台上出售商品,是要与平台签订协议的,在注册条款里平台需要尽到告知义务,即卖家不能买卖买家的个人信息获利,这种行为本身构成侵权,买卖达到一定数量也构成犯罪。但若平台尽到了告知义务,是没有责任的。”上海市百良律师事务所主任王冰告诉记者。

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。