一些市民发现后纷纷拍照发朋友圈质疑桥梁的质量。
女儿在17年前，被逼嫁给当地人，生活很艰苦。
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
　　近日，北京市海淀区公安局网络安全保卫大队对外透露，已侦破了百度网盘账户撞库刑事案件。在百度安全事业部的溯源反制技术协助下，警方在不到一个月时间内就抓捕两名嫌疑人。目前嫌疑人已经交代通过QQ群、淘宝等产业链实现百度网盘账号盗取、售卖的犯罪事实。
　　什么是撞库？
　　撞库就是，黑客将买来的信息利用“撞库”技术，攻击受害者其他目标数据库，并尝试获取更有价值的数据库密码，从中牟利。也就是说，在黑客攻不破B网站的情况下，只需要攻破安全性差的A网站，然后用账号来推测获取B网站账户密码，因为很多用户在不同网站使用的是相同的账号密码。
　　撞库安全事故并非百度网盘独一家。经过搜索可以看到，进入2016年下半年，撞库安全事故已经呈现高发状态，腾讯、CSDN、网易邮箱、世纪佳缘等大型社交网站／厂商纷纷中枪。记者了解到，撞库等用户大数据盗取黑产目前月已经形成了相当成熟的产业链，从上游数据信息盗取“拖库”“扫号”，到下游撞库，犯罪手法愈发高明。
　　以百度网盘为例，嫌疑人胡某先后以网络购买、朋友赠送的方式获得2500万条“个性数据”，也就是A网站的账户和密码，将这些数据通过马某嫌疑人出售的撞库软件进行批量撞库，核对出50余万条正确的百度网盘账号和密码。最终，通过淘宝网售卖和从另一网友处售卖获得分成总共获利5万余元。
　　怎么防御撞库攻击？
　　一：不要图省事在多个网站使用同一套账号密码，这样相当于给不法分子配了一把“万能钥匙”。尽量做到每一个网站有独立的用户名与密码，并定期更新。
　　二：电脑中一定要安装安全软件。选择百度卫士等正规的安全软件可以有效抵御各类木马、病毒，最大限度降低用户被攻击的风险，从根本上保证用户信息的安全。
　　三：使用正版软件。“盗版”“破解”软件可能会被植入各类木马病毒文件，极易泄露个人隐私。
　　四：遇事要冷静，先确认事情真伪。遇到不明支付短信等情况不要慌张，发现资金异常应立即联系银行或选择报案，防止造成财产损失。
　　希望广大网友注意自身账号安全，与互联网服务企业和网络警察携手共建安全的网络环境，共同应对“撞库”风险。
　　来源：互联网 编辑：gcm
欢迎举报抄袭、转载、暴力色情及含有欺诈和虚假信息的不良文章。
请先登录再操作
请先登录再操作
微信扫一扫分享至朋友圈
搜狐公众平台官方账号
生活时尚&搭配博主 /生活时尚自媒体 /时尚类书籍作者
搜狐网教育频道官方账号
全球最大华文占星网站-专业研究星座命理及测算服务机构
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
客服热线：86-10-
客服邮箱：12306信息泄露系撞库攻击，窃密者已被抓获（全文）
最新进展：据中国铁路官方微博报道，铁路公安机关于日晚，将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查，嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆其他网站进行“撞库”，非常获取用户的信息，并谋求非法信息。目前，案件正在审理中。本报记者：吴燕雨&陈宝亮&王峰&杨志锦&孙春芳&申剑丽&北京报道这不是12306网站第一次发生用户信息泄露事件了，但是最大的一次。12306官方网站当日公告称，经认真核查，此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。12月25日上午10：59，乌云网发布漏洞报告称，大量12306用户数据在网络上疯狂传播。而此时，正是春运购票的关键时刻，12306网站每天的访问量都很惊人。乌云网创始人邬迪告诉21世纪经济报道记者，“这是乌云网历史上，第一次如此大规模的铁路用户数据泄露。”据了解，本次泄露事件被泄露的数据达131653&条，包括用户账号、明文密码、身份证和邮箱等多种信息。乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称，乌云网每天都会对各项数据进行监测，12306事件只是今天的一项内容。但此前，他们也曾报告过12306网站泄露用户信息的情况。对这次用户信息泄露事件，网络议论热烈。有网友担心，这些泄露的信息是否包含购票过程使用的银行卡等信息等。专业人士建议，如果用户在其他网站也使用了12306网站同样的用户名和密码，应当修改密码。多位接受21世纪经济报道记者采访的安全专家对此事件分析认为，这次很可能是黑客“撞库”行为造成的，而非12306网站直接泄露，但同样说明12306网站仍存在安全漏洞。不过，也有一些专家认为事件原因仍不明。对于此事件的影响，中国政法大学传播法研究中心研究员朱巍分析称，如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”，朱巍说。泄露原因何在？乌云网创始人邬迪告诉21世纪经济报道记者，12月25日上午10：59，在事件发生后，乌云网立刻进行了核查，在确认该消息的真实可靠性后对此事进行了发布。不久后12306就在第一时间知道了此消息，并与乌云网取得联系，表示会认真调查此事，并在日后发布公告。下午14：15，乌云网通过微博发布了消息称，数据疑似黑客撞库后整理得到，而并非12306直接泄漏，请用户及时修改密码同时慎用抢票工具。邬迪也对21世纪经济报道记者称，所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息，生成对应的“字典表”，到其他网站尝试批量登录，得到一批可以登录的用户账号及密码。登录用户的后台后，可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说,“但这并不等于自己的信息就完全安全了。”邬迪告诉记者，除了撞库，还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”在业内人士看来，“拖库”是指入侵有价值的网络站点，把数据库全部盗走的行为。盗取数据后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”。浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称，“在互联网的黑市里有一个非常成熟的产业链，有一个非常成熟的形成利益过程：拖库、洗库和撞库。”针对此次泄露事件的原因，互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示，“此次12306网站信息泄露是被黑客撞库造成的。”其理由是，经过他们安全研究人员的调查发现，第一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。在今天的泄露事件发生后，网上曾流传称，有18G的完整12306数据库被泄露，但是目前并没有人在网上找到过这个数据库。泄露事件发生后，12306发布公告称网上泄露的用户信息系经其他网站或渠道流出，原因是12306网站使用的是多次加密的密码，而泄露的是明文密码。分析人士称，这也从另一个侧面说明，这些密码可能不是从12306网站泄露出去的。据乌云官网发布的消息称，漏洞已交由第三方厂商国家互联网应急中心处理。12月25日，国家互联网应急中心人士对21世纪经济报道记者表示：“事件正在调查当中，结果以官网发布为准。”一位网络安全研究人员对21世纪经济报道记者称，12306网站第一时间知道这个事情的，并发布了公告，但是几个小时过去了，那些用户名和密码还可以登录，并可能被用于更改他人密码、找到他人的电话号码，甚至帮人家退票，“他们为什么不紧急通过技术手段，短信通知用户，将泄露的用户密码强制更改或提醒客户更改？”为什么会有这么大的漏洞？不过，邬迪称，“此事目前还无法下定论。”在12306网站在发布上述提示公告时，还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑，此次泄露事件由第三方抢票软件而起。一位长期研究刷票软件的人员告诉21世纪经济报道，目前抢票软件发展速度极快，但并不存在十分清晰的盈利模式，因此从第三方软件中泄露数据的可能性也依然存在。一位从事软件程序开发的技术人员告诉21世纪经济报道记者，这类抢票软件的技术要求一般不高，如果第三方没有严格的保护措施，用户信息就存在不安全的隐患。对于此，公司相关人员书面回应称，360抢票王基于360安全浏览器，360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为，此次12306数据泄露事件与抢票软件无关。互联网安全专家更关心的是，如果真是撞库造成的泄露，12306网站为什么会留下这么大的漏洞？“如果这次撞库发生在、身上，不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序。”&猎豹移动安全专家李铁军对21世纪经济报道说。但是，目前并不清楚，此次漏洞是否与验证程序设置有关。据一位对乌云网比较了解的专业人士称，12306网站从2012年2月开始，在乌云网上被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，而还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注射漏洞。而这些被监测到的漏洞都持续了很长时间。这位专业人士称，他们也不明白为什么这些漏洞一直没有被补救。360安全专家安扬也认为，12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。据21世纪经济报道此前的报道，&12306网站由铁科院开发，铁科院是原铁道部下属的单位。一位从事高铁安全行业的人士对21世纪经济报道记者称，其实早在之前，铁科院内部已经发现这一问题，但至今尚未完全解决，直到如今东窗事发。黑色产业链安扬对21世纪经济报道记者介绍，目前在互联网上公开流传的用户数据很多，仅2012年CSDN、的泄露数据就超过2亿条，今年还出现了、如家、当当的泄露事件。另据知道创宇旗下的网络空间搜索引擎ZoomEye统计，中国目前至少有13000台服务器存在破壳漏洞，全球大概有140000台主机存在风险。知道创宇技术副总裁钟晨鸣称，最近三四年，国内持续泄露的互联网数据，国内总量级达到50亿条用户账户信息。&知道创宇是全球知名的互联网安全公司，其创始团队在互联网安全领域服务了十多年，不久前还承担了APEC期间新闻平台网络安全工作。此外，腾讯手机管家安全专家陆兆华对21世纪经济报道记者表示，在互联网黑色产业链内部，成员还存在数据库共享的机制，非常容易就获取到不同平台被成功拖库的信息，而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的，一旦泄漏就会给用户造成持续的影响。在此事件的发生上一周，由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示，2014&年&12&月&15&日至2014&年&12&月&21&日，国家信息安全漏洞共享平台（以下简称&CNVD）本周共收集、整理信息安全漏洞&144&个。上述漏洞中，可利用来实施远程攻击的漏洞有&128&个。截至报告发布时间，已有&119&个漏洞由厂商提供了修补方案。猎豹移动安全专家李铁军指出，中国的互联网化进程非常快，很多传统行业，比如政府、医疗、航空、保险等等，都采用信息化开发业务。但是，这些企业的安全意识转变并没有跟上，企业的安全管理、安全人才储备不足，很容易被攻击，造成信息泄露。“所以，有的客户刚刚订了机票，就收到机票相关的诈骗电话、短信。”北京银库副总裁杜占源对21世纪经济报道记者表示，对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制，但这些网站未必采取了很好的安全措施，一旦这类网站存在漏洞，用户身份证的关键信息必然泄露。据央行制定的《银行卡收单业务管理办法》规定，“收单单位不得以任何形式储存银行卡的敏感信息”，但一些网站往往突破此规定。在携程网“漏洞门”事件中，携程网坚持没有过度搜集用户信息，其理由是：“未扣款成功的CVV码信息会被暂存7天，目的是协助用户便捷支付。”12306泄露事件发生至今，尚未暴出泄露的个人信息中包括用户购票的银行卡信息。泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因，就是无法解决大规模个人信息泄露问题”，中国政法大学传播法研究中心研究员朱巍说。他建议，我国网络实名制实行过程中，可以考虑规定商业网站无权保管个人核心信息，转由安保等级更高的公安部平台管理。侵权责任如何划分？日，全国人大常委会通过《关于加强网络信息保护的决定》后，网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。最新的司法依据是10月9日，最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，其中首次列举了个人隐私的范围。“泄露个人信息者一定要承担相应的侵权责任，问题是谁来承担”，朱巍告诉记者。“如果是12306泄露，要区分为故意泄露还是过失泄露，故意泄露毫无疑问要承担侵权责任”，朱巍说，“在国外，故意泄露还可以区分为出于商业目的还是非商业目的，如果是商业目的要加大处分力度，但国内司法没有这样的区分”。如果12306是出于过失导致信息泄露，司法实践中会采用过错推定原则确定侵权责任，“即先推定12306存在过错，然后由12306举证，证明自己尽到了安保责任”，朱巍说。朱巍认为，如果存在12306作为开放平台，通过开放端口与第三方平台进行授权合作的情况，即使信息是经第三方泄露，12306也应承担连带责任。“这几乎是整个互联网产业的‘通病’，比如用户注册了一家互联网服务，结果发现自己的信息被授权给了这家网站的合作方”，朱巍说。他认为，哪怕用户在注册互联网服务时，对方已经提醒其个人信息可以授权转让给合作方，这也不能成为用户信息泄露时其免责的理由，“因为这是格式合同，用户如果拒绝就不能完成注册”，朱巍说。只不过，承担连带责任的网站，可以按照和第三方网站的内部责任划分约定，向直接泄露信息的第三方追偿。“最后一种情况是12306根本不知情，信息泄露源于不可抗力，但12306也要证明自己尽到了安保义务”，朱巍说。（编辑&谭翊飞&张凡&申剑丽）
相关新闻：
本文来源：21世纪经济报道
关键词阅读
48小时评论排行
评论156914条
评论33030条
评论7963条
评论4368条
评论4333条
跟贴热词：
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
用微信扫描二维码分享至好友和朋友圈您好，分享的企鹅
“撞库”是啥？如果你还不知道可能倾家荡产
原标题：“撞库”是啥？如果你还不知道，可能倾家荡产！犯罪团伙已进入湖南！“撞库”你听说过吗？近日，小棒棒从怀化警方获悉，有犯罪团伙利用“撞库”的方式，侵犯、售卖公民个人信息，所涉数据高达1000多万组。什么是“撞库”？黑客专用语，又称“扫存”。指的是拿网上已经泄露的用户和密码信息，批量尝试在另一个网站或平台进行匹配登录的行为。只要有一次匹配成功，就成功窃取到用户信息。出租屋电脑存亿条个人信息5月13日晚21时许，怀化新晃县晃洲镇原交警队宿舍，社区民警采集“三实”信息时见到这样一幕：逼仄的小出租屋内摆着9台电脑，而且都在运行同一个程序。随后，新晃县公安局网安大队民警展开调查，民警透露，该团伙成员通过在互联网上购买或搜索下载等方式，搜集了上亿组邮箱、论坛等平台的账号、密码，然后利用“撞库”软件在某宝平台上进行比对、碰撞，获取某宝平台的账号密码信息。据了解，该团伙先后将1000多万组数据在某宝平台上比对、匹配，在清查所有电脑时，发现尚存留有上万组密码吻合的账户信息。据了解，从2015年5月份开始，该团伙先后在怀化鹤城区、新晃县、洪江市租住了六处房屋，用于盗窃账号信息，非法获利共数十万元。10月12日，怀化市公安局网技支队民警透露，该案的6名犯罪嫌疑人均已落网，朱某铭等5人因涉嫌非法获取公民个人信息罪被刑拘，而李某民因“代刷淘宝店铺信誉”为由，诈骗淘宝店铺商家二十余人，骗取金额5万余元，涉嫌网络诈骗罪，目前均已被依法批准逮捕。你的信息值多少钱？该团伙编写“撞库”软件，并大肆寻找已经泄露的其他平台的账户、密码。从警方掌握的情况来看，他们获取的某宝平台的账户信息，大多数用于给网店刷单。同时，还将一些账户、密码吻合的信息卖给其他人，价格在每组5元到20元不等。如果绑定了手机号码，则是优质账号，价钱也相应增高。对于部分本没有绑定手机号的账户，该团伙则购买大量170号段的非实名卡，用于绑定这些账号。“撞库”所用的已泄露账户与密码来自哪里这就不能不说“拖库”和“洗库”“拖库”和“洗库”黑客掌握某网站的高危漏洞，并且利用漏洞将用户信息完整盗取出来，就叫“拖库”。因为谐音，也经常被称作“脱裤”。在取得大量的用户数据之后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，通常被称作“洗库”。拖库➔洗库➔撞库，背后环环相扣数据泄露请看图 更可怕的是不仅密码一致有危险，同类也有危险很多人在设置密码时，会习惯性地关联生日或姓名的拼音、电话号码等，犯罪分子在进行“撞库”时，往往会将这些信息汇入一个词库内，利用软件进行不同的组合，并反复登陆，直到盗取密码成功。“撞库”就发生在你注册的网站中CSDN、携程、天涯、当当等曾被黑客攻破，12306、东方航空、大麦网、智联招聘等曾被撞库，用户订单信息被串改，个人信息大量泄露。 如何设置一个别人猜不到的密码？1、形式上，应该至少包括以下字符类别中的三组：大写字母、小写字母、数字、非数字符号（如&_等）。同时，可以进行一些简单的记忆变化，例如： i变成！ 字母o变成数字011变成2ge1（两个一）2、为了便于记忆，应该尽量是有意义的内容，或在长度上进行拉伸，或使用数学运算符。例如：just for you可以设置为juST4_U shezhimima可以变成s_he_zhi_mimA mypassword可以变成M。Y。P。A。S。S。W。O。R。D-1 5*5+5=30？Yes！ 如何防止被“撞库”？注册账号时要尽量“有限提供”，能不填的个人信息尽量不填；定期清理电脑中的Cookie，避免上网时被跟踪；不同的个人账号设置不同密码，而且密码设置不能太简单，定期修改密码。重要账号要通过绑定个人电子邮箱或手机号、加装数字证书或申请U盾等多重防护措施。离开电脑时，记得按下Win（Windows图标那个键）+L键，锁屏，这个习惯非常非常关键！！最后强调一下目前最重要的事，请检查一下你的某宝账户还好吗？（潇湘晨报 编辑 陈杰
实习生 柳月婷）
正文已结束，您可以按alt+4进行评论
相关搜索：
看过本文的人还看了
[责任编辑：wyvanliu]
热门搜索：
Copyright & 1998 - 2016 Tencent. All Rights Reserved}