锤子官网曝撞库漏洞存疑百度安全专家深度解新时代

锤子官曝“撞库”漏洞存疑 百度安全专家深度解谜

5月22日，乌云漏洞平台曝出锤子科技官无限制撞库漏洞，同时乌云平台将此漏洞的危害等级也定为了高，虽然相关损失还无法统计，但针对近期频发的小米脱库、锤子撞库事件，百度安全中心专家称，用户应对此类事件的最好方法是及时修改密码，以防个人信息惨遭泄露，同时针对锤子的撞库事件也给出了分析。

昨日，国内知名的安全问题反馈及发布平台乌云()显示，由于站本身存在设计缺陷和逻辑错误，锤子官出现了无限制撞库漏洞，其危害等级为高。目前，乌云已将相联想乐商店的巨大下载量关漏洞细节反馈给厂商，但锤子官方并未给出任何回应。

不过，百度安全专家分析称，如果此次事件真是因为站漏洞，用户就应及时修改密码，但联系到近日锤子发布，以及站用户关注度的问题，锤子官是否真的会有大批量注册用户，是否是借撞库事件炒作也让人心存疑虑。

不过什么是撞库、拖库?它们在出现，究竟能给用户带来哪些危害?百度安全中心的相关技术人员就这些问题给出了翔实解答，同时，用户应如何防范这些恶意行为，百度度安全中心也给出了中肯的建议。

什么是撞库?

撞库是一个看起来很专业，但实际理解起来却很简单的名词。它其实就是黑客无聊的恶作剧。黑客首先会通过收集互联已泄露的用户+密码信息，生成对应的字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他站，这样，一旦用户为了省事，在多个站设置了同样的用户名和密码的话，黑客很容易就会通过字典中已有的信息，登录到这些站，从而获得用户的相关信息，如：号码、身份证号码、家庭住址，支付宝及银信息等。这些信息泄露后，不仅会给用户和精神和经济带来巨大损失，同时也会给相关站带来负面影响。

比如：最近京东发生的抹黑事件，实际上，黑客就是利用撞库手法，凑巧获取到了一些京东用户的数据(用户名密码)，然后通过模仿用户评论，给京东留下了大量抹黑的差评。

什么是拖库?

和撞库一样，拖库也是一个黑客术语，它指的是黑客入侵有价值的站，把注册用户的资料数据库全部盗走的行为，因为谐音，所以也常被称作脱裤，比如前几天刚发生的小米用户信息大量泄露事件，就是拖裤行为的一个典型案例。

在该事件中，小米用户名和密码大量泄露，黑客反过利用这些用户名和密码，登录小米服务器，获得了极其详细的用户资料，其中包括用户的号、邮箱甚至通讯录等。

一般来说，在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为洗库。

撞库、拖库会给用户带来哪些危害

百度安全中心表示，黑客千方百计获取用户信息的唯一目的无非是为获利。目前，黑客在获得用户信息后，一般会通过以下几种途径来迅速获利。

一是售卖用户账号中的虚拟货币、游戏账号、装备等变现，也就是俗称的盗号;

二是对于金融类账号，比如：支付宝、银、信用卡、股票的账号和密码等，则可以用来进行金融犯罪和诈骗;

三是对于一些比较特殊的用户信息，如：学生、打工者、老板等，则会通过发送广告、垃圾短信、电商营销等方式变相获利;

四是会将有价值的用户信息直接出售给第三方，如店经营者和广告投放公司等。

显然，这当中无论哪种方式，都会给用户的日常生活带来严重困扰，甚至直接带来经济损失。比如前几天小米用户信息泄露后，不少用户都反馈称接到了、等来电。这些来电可提供准确小米用户的个人信息，如：姓名、地址、、购买记录等，以货到付款的方式进行诈骗，就是上述危害中很常见的一种。

络用户应如何保证自己的信息安全?

为很好地防范撞库行为的发生，切实保障自己的信息安全，百度安全中心建议，广大民应提高防范意识，从以下几个方面入手规避风险：

一是不要图省事，在所有站都使用统一的用户和密码，特别是对于一些重要的站，如：游戏、购物、支付类服务站等，一定分使用独立的、复杂的密码，并定期更换;

二是系统一定要勤打补丁，安装一款安全防护及杀毒软件。目前百度卫士和百度杀毒等，已能有效地防止各种木马、病毒的攻击，并能对钓鱼站和含有恶意代码的站，进行有效识别，可最大限度减少用户被攻击的风险，从根本上保证用户信息的安全。

三是尽量不要使用盗版软件，盗版、破解的软件往往存在各种猫腻，后门存在的可能性很大;

四是不可信的软件，就安装在虚拟机中运行，待确认安全后，再安装到物理机中;

五是尽量不要在公共场合(如咖啡厅、机场等)使用公共无线，

六是自己的无线AP，用安全的加密方式(如WPA2)，密码复杂些;

七是离开电脑时，记得按下Win(Windows图标那个键)+L键锁屏，这个习惯看起来很麻烦，其实非常关键。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时积极打造特色亮点工作 我们紧紧围绕区委、区政府中心工作联系我们，本站将会在24小时内处理完毕。