摘 要:日前从上海市浦东新区法院获悉,该院日前审结的一起案件,被告人马某某正是通过“撞库”的方式非法获取了1号店的用户名和密码信息638组,后被法院以非法获取计算机信息系统数据罪判刑半年。
黑客非法获取大量的用户名及对应密码后,利用程序逐一尝试登录其他网站。由于很多网民在不同的网站、论坛、电子信箱注册时使用的用户名和密码完全相同,黑客成功登录有一定的概率。
这种利用网民上网习惯窃取信息的方式,叫“撞库”。法晚记者(微信公号:fzwb_52165216)日前从上海市浦东新区法院获悉,该院日前审结的一起案件,被告人马某某正是通过“撞库”的方式非法获取了1号店的用户名和密码信息638组,后被法院以非法获取计算机信息系统数据罪判刑半年。
黑客窃取1号店客户信息被判
2015年6月15日,上海市浦东新区检察院以非法获取计算机信息系统数据罪对马某某提起公诉。
检察院指控,2014年,马某某购进大量邮箱用户名和密码信息后,又购买了“1号店.exe”程序。
该程序可以批量导入用户名及密码,并使用导入的用户名密码对1号店网站进行批量查询、检测。
2014年11月,马某某对上海益实多电子商务有限公司下属1号店网站实施“撞库”行为,共非法获取1号店网站客户用户名密码信息638组。
2015年1月29日,马某某被公安机关抓获,到案后如实供述了犯罪事实。
浦东新区法院审理后认为,马某某违反国家规定,采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。鉴于马某某到案后能如实供述自己的罪行,依法从轻处罚。
2015年6月24日,浦东新区法院以非法获取计算机信息系统数据罪判处马某某有期徒刑6个月,罚金人民币2000元,涉案电脑硬盘予以没收。
通过“撞库”作案 有一定成功概率
在北京经营计算机安全公司的白先生告诉《法制晚报》记者(微信公号:fzwb_52165216),撞库是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量用收集来的这些用户名和密码,去登录其他网站,得到一系列可以登录的用户名。
“打个比方,黑客通过非法手段获取或购买了某个消费者在当当网的用户名和密码后,他用这个用户名和密码,尝试着登录亚马逊、京东商城、淘宝……因为很多网购消费者在不同的电商网站上设定的用户名和密码都是相同的,因此有一定的成功登录的概率。撞库,顾名思义,有撞大运的成分。”他介绍说。
他表示,撞库的前提,是黑客提前获得大量的用户名和密码,有的是自己买来的,有的是自己“黑”到别的网站上获取的,这个过程叫“拖库”。一般来说,黑客会“黑”进某个含有巨大价值的网站,把网站的数据全部盗走,然后分检出有用信息。
网购达人易遭到四渠道攻击
2014年12月底,铁路购票网站12306的大量用户账号、明文密码、身份证等敏感信息泄露,有人在网上公开售卖,涉及用户约14万个。
有网络安全人员搜索以往互联网上的数据进行了匹配,基本可以确认该批数据是通过“撞库”获得。
今年年初,消费者组建“京东盗刷维权”QQ群,称下单后接到骗子电话,每人的被骗金额从数千元到数万元不等。
2015年3月14日,京东商城表示,发生用户信息泄露的原因,是部分保护用户信息安全意识较为薄弱的网站可能存在批量泄露用户信息的情况,被不法分子获取后,使用撞库的方式获取京东商城的用户信息,进而冒充客服人员诈骗。
据澎湃新闻报道,2015年8月25日,多人称电商网站唯品会泄露了他们的账户信息,有人自称“唯品会客服人员”实施电话诈骗。
目前反映接到此类诈骗电话的唯品会消费者已有20余人,遍布全国10多个省市,其中个人被骗金额最高4万多元。
2015年8月21日,唯品会官方称,其一直严格对客户信息进行加密保护,“可能是黑客利用‘撞库’技术盗取了消费者的账户信息。”
百度安全中心曾表示,黑客千方百计获取用户信息的唯一目的无非是为获利。目前,黑客在获得用户信息后,一般会通过以下几种途径来迅速获利。
一是售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”。
二是获取金融类账号,比如:支付宝、网银、信用卡、股票的账号和密码等,用来进行金融犯罪和诈骗。
三是对于一些比较特殊的用户信息,如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利。
四是将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。
解密“撞库”
1 “黑”来基础数据 拖库
黑客到一些网站、论坛上搜寻目标,窃取客户的用户名、密码、身份证号等信息。
2 对数据进行分类 洗库
黑客将上述数据库信息进行分类,大致分为:金融账户、游戏账户、个人真实信息三类,有的黑客将这三类信息进行售卖获取现金收益,有的则继续进行下一步“撞库”。
3 试探性登录其他网站 撞库
黑客通过技术手段将已经获取的个人信息拿到其他网站进行试探性登录——得到更多个人信息,再次进行售卖,为他人进行金融诈骗提供条件。
网购提醒 不同网站上 多换用户名和密码
在北京经营计算机安全公司的白先生表示,黑客会“撞库”成功,是因为很多网民使用的用户名和密码过于单一。
“如果某个网民平时在大量的网站、论坛、电子邮箱都注册了信息,但注册的用户名密码都是同一个,那么,他被‘撞库’成功的概率就非常大。”白先生说。
白先生提醒电商购物者,在不同的电商网站注册,最好设定不同的用户名或密码,且密码不能过短。在保存密码时,也不要将所有网站的用户名密码都存在电脑里,防止电脑被远程控制后,泄露全部的信息。另外,白先生建议,最好养成定期修改密码的习惯。
“在黑客面前,大部分网民的IT知识显得太贫乏,这就需要网站承担起减少网络安全风险的责任。”白先生说,网站从建设上应采用更先进的安全技术,增加保护手段,比如使用动态密码、图片验证等,来确保用户信息安全。
发生“撞库”侵权责任如何确定
北京京师律师事务所合伙人王晓营告诉《法制晚报》记者(微信公号:fzwb_52165216),全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。新《消费者权益保护法》也增加了保护消费者个人信息的规定。
王晓营说,泄露个人信息也是侵权,关键是要确定责任谁来担。她说,如果是从网站泄露了个人信息,要区分故意泄露还是过失泄露。
若是过失泄露,则采用过错推定原则。“也就是说,首先推定网站存在过错,由网站来举证,证明自己已经尽到安全保护责任。”她说。
还有最后一种情况是网站对泄露事件不知情,属于不可抗力的事件,但网站要证明自己尽到了安全义务。