求职APP遭遇黑客撞库攻击，泄露了300余万条用户数据

"撞库"（Credential Stuffing Attack）是一种网络攻击方式，与字面意思的“碰撞数据库”有些出入。这种攻击是指黑客使用在先前的数据泄露中获取的用户名和密码组合，尝试登录多个用户帐户，看看是否有用户在不同的在线服务上使用相同的凭据。

攻击者通过自动化工具迅速尝试大量的用户名和密码组合，利用许多人在多个网站上重复使用相同的凭据的倾向。如果用户在被攻击的网站上使用的用户名和密码与之前泄露的凭据匹配，攻击者就能够成功登录用户的帐户。

近期，一家互联网公司在北京发现其求职招聘类App的短信验证码接口遭到严重攻击，攻击次数高达1300余万次，成功匹配注册账号30余万个，给公司经济造成损失的同时也威胁了用户信息安全。北京警方紧急介入，初步判断这是一起黑客通过网站漏洞非法获取账号信息的案件。在迅速研判后，北京市公安局网安总队和朝阳分局成立专案组，迅速锁定了嫌疑人喻某，成功在四川省自贡市将其抓获。

据嫌疑人喻某交代，他于2022年10月18日注册了该招聘网站账号，多次尝试验证接口。喻某发现该网站的签名算法相对简单，于是利用这一弱点编写指令，制作了黑客软件，并对该网站进行了撞库攻击。此外，喻某还长期使用类似方式对其他主要网站进行渗透，寻找漏洞，并以此为诱饵向他人兜售自己编写的恶意程序和黑客工具，从中牟取利益。

通过对喻某的审查，警方逐渐揭示了一个集编写恶意程序、实施撞库攻击、泄露数据资料为一体的“撞库黑客”团伙。专案组在四川成都成功抓获另一名嫌疑人焦某，现场查获各类公司、人员数据330余万条。据焦某交代，他以3000元的价格从喻某手中购得恶意程序，长期在境外网站非法盗卖由撞库获取的大量公民个人信息及公司账号数据，并以虚拟币进行交易。

目前，涉案嫌疑人喻某、焦某因涉嫌破坏计算机信息系统被依法刑事拘留，案件正在进一步办理中。

这一事件突显了撞库攻击对个人隐私和企业安全的严重威胁，同时也强调了用户和企业应加强网络安全防护，采取有效措施保护个人信息和敏感数据。