近日,烏雲網曝出大麥網(damai.com)使用者密碼資料庫在網上公開售賣,涉及使用者多達600餘萬!
在利用密碼進行一次md5解密後,果然可登陸大麥網。
在對洩露資料中取出三個相鄰的賬號進行登入,抓包分析其使用者id是連續的,技術上已經初步證明該資料有著很大的拖庫嫌疑。目前大麥網已確認使用者資訊洩露訊息的真實性,並緊急發布公告,通知大麥網使用者及時修改自己的密碼,另外也提前預防多出相同密碼造成的撞庫風險。
什麼是拖庫? 拖庫意味著什麼?
拖庫,又叫「脫褲」,往往是由於一些小的**伺服器安全措施不到位,被黑客入侵,拖出資料庫,匯出使用者名稱及密碼,然後在別的地方使用。例如以一定的**售賣給網上的「好事者」。
撞庫,就是網上的「好事者」通過一些渠道獲取大量的使用者名稱和密碼,以此帳戶密碼去大的**試登陸,(軟體自動進行,有的識別碼也能自動識別)撞到乙個就ok。這就意味著,一旦使用者在多家站點使用相同的賬號密碼,只要其中一家因為安全措施不到位被拖庫,該使用者的所有賬戶資訊都將受到威脅!
而事實上,獲取乙個**資料庫內的資料並不一定需要非常高深的技術以及成本,乙個掌握一些基礎黑客技術的人再加上乙個功能強大效率較高的黑客工具,即可完成「拖庫」任務,而一旦非法獲取的資料庫被用於撞庫,往往將造成更大的危害。
拖庫危害——密碼洩露的多公尺諾效應
2023年12月21日,某專業**資料庫開始在網上被瘋狂**,包括600餘萬個明文的註冊郵箱和密碼洩露,大批受影響使用者為此連夜修改密碼。此後,178遊戲網等5家**使用者資料庫又相繼公開,更有****數十家大型**已遭黑客「拖庫」,從而將2023年末的密碼危機推向高峰。正如四年前的密碼危機,如今600餘萬大麥網使用者資訊被網上公開叫賣,一旦被「有心人」加以利用,不斷撞庫其他**,很可能會引發一系列密碼洩露的連鎖效應,更多**的資料會被黑客放出。
儘管關於如何設定高強度密碼的文章劈天蓋地,但很多網民仍習慣為郵箱、微博、遊戲、網上支付、購物等帳號設定相同密碼。
一旦資料庫被洩漏,所有的使用者資料被公布於眾,任何人都可以拿著密碼去各個**嘗試登入。對普通使用者可能造成財產、個人隱私的損失或洩漏,詐騙者利用你的資訊冒充客服進行一系列詐騙。而對一些敏感的金融行業的使用者來說,這甚至是致命的危害!防止撞庫——你的密碼是否犯了「大忌」根據2023年發生的某購票**使用者資訊洩露資料,對網民的密碼使用習慣調查,發現大量網民在設定密碼是犯了這些大忌,請檢查一下自己是否在其中:
一、密碼中包含常用詞彙、生日、手機號、姓名拼音或縮寫等;如果你在設定密碼時犯了這些「大忌」,那麼你的賬號被盜的危險性也將提公升,因此,養成乙個良好的密碼使用習慣,對於保障賬戶安全是十分必要的。二、從來不改密碼,乙個密碼用很多年;
三、所有的密碼都儲存在電腦裡、瀏覽器中;
四、密碼長度過低、純數字;
五、不設定密保措施或二次驗證;
完整內容點此檢視
WhaleCTF之web密碼洩露
whalectf之密碼洩露 前往題目 沒有思路,習慣看一下原始碼,拉到最後,發現有驚喜 這是要讓我密碼爆破嗎?直接把密碼儲存成password.txt,掏出burp來一波爆破 開始爆破 好像是base64加密,拿去base64解密之後 得到290bca70c7dae93db6644fa00b9d83...
Dropbox密碼洩露影響6800萬使用者
dropbox確認在2012年的洩露事件裡6800萬使用者的身份資訊被洩露,並且它會持續提醒使用者更新密碼,避免密碼被重用,同時啟用雙因素身份認證。該雲儲存 商一直在淡化該新聞的影響,聲稱還沒有足夠證據表明dropbox密碼的洩露導致賬戶被入侵。dropbox上週強制那些自從2012年以來就沒有變更...
萬能密碼 php,PHP萬能密碼
說實話如果乙個 的前台都是注入漏洞,那麼憑經驗,萬能密碼進後台的機率基本上是百分之百。可是有的人說對php的站如果是gpc魔術轉換開啟,就會對特殊符號轉義,就徹底杜絕了php注入。其實說這話的人沒有好好想過,更沒有嘗試過用萬能密碼進php的後台。其實gpc魔術轉換是否開啟對用萬能密碼進後台一點影響也...