200元可买陌陌2600万条信息? 数据安全需各方“协同联动”
2600万条陌陌数据库出售,售价仅200元人民币?昨天有爆料显示,在网上有约2600万陌陌数据出售,包括用户的手机号和密码,来源是3年前撞库。不过经验证,这组数据中的密码并不正确,一些手机号不存在。
事件
3年前撞库数据再度被出售
据微博博主lxghost透露,陌陌的约3000万条数据在暗网出售,有多个卖家都有相关资源,价格仅为200元,但不保证数据的有效性。
一个约2600万条的在售数据包括手机号和密码。据卖家介绍,这批数据的来源是3年前撞库而来。数据规模总共3161万行,包括手机号加密码或者仅手机号,其中含密码的数据是2592万行。
卖家还特别警告称,“本人未有大批测试能力,故无法确保数据能登录陌陌或者可搜索到陌陌账号的概率,这一点敬请谅解。”
截图显示,这些陌陌账号和密码被整理成一个GVIM文档,在截图的20个手机号码中,仅有3条无对应密码,其余在手机号后都标有密码。
另一个3000万条数据库的介绍显示,这批数据是2015年7月17日被写入的,总条数3161万条,包含的字段有手机号和密码。卖家介绍称,“数据中密码有空白项,但这部分所占比例不到1%,就算去掉100万条,还有3000万条。”并申明:“本数据不保障现时有效性,只适合撞库等用”。
验证
密码不正确或陌陌号不存在
不过据验证,这些数据的有效性存在很大问题,北青报记者随机验证了几个账号发现,多个账号显示“该陌陌号不存在”,还有的显示“账号或密码错误”。
例如数据中的136xxxx9535,在登录时显示“用户名或密码错误,是否找回密码?”在找回密码时则需要通过手机号码进行验证,他人无法直接进行登录;而152xxxx0634则显示“该陌陌号不存在”,说明数据库数据存伪。
为何会有密码错误或账号不存在的问题?据猜测,一种可能是因为数据库本身有问题,由于暗网是一个匿名网站,上面的数据可能存在捏造等情况,而这些数据是用于出售的,因此很可能是有人捏造数据库而骗取钱财;另一种可能是,三年前存在类似数据库,但陌陌方面已经进行一些措施,提示用户修改密码或在此期间部分用户注销等,目前来看这批数据的利用价值已经不大。
追访
数据库泄露事件缘何时有发生
在信息化、数据化的今天,数据泄露事件并非个案。11月30日,万豪酒店集团披露,旗下喜达屋酒店的一个顾客预订数据库遭到入侵,有约5亿顾客的信息可能遭到泄露。被泄露的信息包括姓名、生日、电话号码、护照号码甚至包括支付卡号码及有效日期。
据业内人士介绍,万豪事件是被“拖库”了,在黑客术语里面,“拖库”是指黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为。而陌陌事件中提到的“撞库”,是黑客将一个网站的数据库尝试在其他网站进行登录,由于很多用户喜欢使用相同的用户名和密码,黑客就可以用之前的数据库登录新的网站,盗取用户在新网站的财产和资料。
“用户要避免在不同的网站使用相同的用户名和密码,以避免被撞库”,一位安全专家表示,“当然,贩卖和购买公民信息是违法的,这些售卖和购买数据库的网友也将承担相应的法律责任。”大安全时代,数据泄露事件并不是单一厂商的密码泄露,而是一直以来或明或暗的安全事件——个人、信息安全行业、公司实体都无法置身事外,需要建立一个协同联动的机制和体系。
一份汇总分析了84个国家的《2017年的数据泄露调查报告》显示,数据泄露原因方面,62%的数据泄露与黑客攻击有关;81%的数据泄露涉及到撞库或弱口令。导致数据泄露的主要手段分为技术手段(黑客入侵、软件漏洞、恶意木马)、非技术手段(内部人员泄密、非有意识泄密)。
最新消息
陌陌回应:他人无法仅凭手机号和密码登录用户账号
昨日晚间,陌陌公开回应了关于用户数据安全一事。
陌陌称本着对用户数据和隐私安全负责的态度,现就此事说明如下:第一,这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示,返回的也都是错误信息。第二,陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
陌陌最后表示,“请陌陌用户放心,陌陌采用包括密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。”