免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
——鼹鼠
1.什么是撞库(Credential Stuffing Attack)?
有人的地方就有江湖
有账号的地方就有撞库
是一种网络攻击手段,是指黑客通过非法手段获取用户数据库,并尝试用这些信息登录其他网站,看看能不能成功。就像用一把钥匙尝试开很多把锁一样,这种攻击方式被称为“撞库”。
由于黑客可能会使用自动化脚本进行批量尝试,所以又被称为“暴力破解”。这种攻击方式非常危险,一旦成功,黑客就可以获取到用户的个人信息,进而进行恶意行为,比如盗取银行账户、盗刷信用卡等等。
为了防止撞库攻击,网站通常会采取一些安全措施,比如限制登录次数、验证码验证等等。但是这些措施并不能完全防止黑客的攻击,所以用户也要提高警惕,保护好自己的个人信息。
前段时间,北京警方接到辖区内一互联网公司报案,称该公司的求职招聘类app的短信验证码接口遭受攻击达1300余万次!
这次攻击还成功匹配注册账号30余万个,造成经济损失不说,也危及群众信息安全。
北京警方迅速研判,确定这是一起黑客利用网站漏洞非法获取账号信息并用于违法活动的案件。
针对此案件,北京市公安局网安总队会同朝阳分局立即成立专案组开展侦查,最终确定了喻某有重大作案嫌疑,迅速在四川省自贡市将其抓获。
据喻某交待,其于2022年10月18日注册该招聘网站账号,数次尝试验证接口。
他发现该网站的签名算法相对单一,于是利用此弱点编写指令,制作黑客软件,对该网站进行撞库攻击。
同时该喻还长期使用类似的方式对其它各大网站进行渗透并伺机查找网站漏洞,并以此为诱饵向他人兜售自己编写的恶意程序和黑客工具,从中牟取利益。
通过对喻某的审查,一个集编写恶意程序、实施撞库攻击、泄露数据资料为一体的“撞库黑客”团伙逐渐浮出水面。
目前,犯罪嫌疑人喻某、焦某因破坏计算机信息系统被依法刑事拘留,案件正在进一步办理中。
转载——公安部网安局
2.关注我们进入交流群
原文始发于微信公众号(天盾信安):求职APP遭遇撞库攻击,泄露300多万条用户数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论