我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。
案情简介
“我啥也妹干呐,那家伙上来就给我哐哐哐撞了一千三百万下 警察同志,您一定要给我主持公道,不法分子必须严惩!”
——帝都某公司在警局里如是哭诉到
大家好,我是K哥!
今天给大家讲一个关于数据泄露的故事,故事很新,就发生在不久前。
事情是这样的,前阵子北京的警察叔叔们接到了自己辖区里边一家公司的报案,互联网公司,做招聘平台的。
该公司称自家 App 的短信验证码接口遭受了1300 余万次恶意攻击,而且被成功匹配了30 余万个注册账号 。
(这意味着30多万份的求职者信息遭到泄露)
接警之后,警察叔叔们迅速受理,并定性了这是一起黑客违法案件。
本案男一号喻某,2022 年 10 月 18 日的时候在该招聘平台注册账号,并多次尝试了验证接口,当时他就寻思,这个网站的签名算法比较单一,不复杂。
而喻某是懂这个的,刚好这兄弟手上又有点儿技术,就动了歪脑筋,针对这个网站的弱点写了套程序,专门用来撞人家库。
这里给小白同学解释一下”撞库“:
通俗一点讲,“撞库”就是黑客通过收集互联网上用户的账号和密码信息,生成对应的字典表,再尝试批量登录其他网站。以“撞运气”的形式“试”出可登录的用户名、密码。
-使用Python就可以轻松写出撞库攻击脚本,实现自动批量验证账户,技术门槛不高。
-撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击的成本很低。
-恰恰是这种比较笨的方式,让很多网站都防不胜防。
有兄弟就要问了:K哥K哥,黑客是怎么拿到这些账号密码的呀??
要知道,现如今的信息泄露情况是很严重的,私人信息数据的贩卖,在*网论坛早就有了成熟的灰色产业链,既然都当黑客了,自然有渠道能搞到。
至于怎么泄露出去的,花样就太多了,随便给大家列举几个场景:
在公共网络环境下输入了自己的账号密码,例如去网吧上网,而计算机里本身就有病毒程序,那你的账号自然就泄露了。
以前注册的一些网站,一是数据库本身有泄露风险,二是很多网站倒闭跑路时直接把用户信息打包卖了。
网传某输入法,在用户输入账号密码时,会自动记录并上传,至于做什么用,大家可以想一想。
……
而妙就妙在,很多人的账号密码是N年不换的,且多个平台通用一套账号密码,顶多调整下大小写。
因此黑客可以通过获取用户在A网站的账户去而尝试登录B网址,这就可以理解为撞库攻击。
(图片来源:央视网视频截图)
而撞库成功之后,还有对应的“拖库”和“洗库”。
“拖库”是指黑客入撞库成功过后,把注册用户的资料数据库全部导(dao)出(qie)的行为,因为谐音,也称作“脱裤”。
(之前360为了奖励提交漏洞的白帽子兄弟,专门搞了个“裤带计划”,名字出处就在这儿)
但拿到数据不是目的,赚米才是目的,那么黑客在拿到大量的用户数据之后,通过一些非法渠道将数据售卖变现,就叫做“洗库”。
撞库→拖库→洗库
(图片来源:百度百科)
法网恢恢
说回案件本身,本案男一号喻某通过黑客手段以及自己制作的黑客程序,恶意攻击了该求职招聘平台的 App 短信验证码接口,在该公司报警后不久便在成都被抓获。
(据喻某招供,他还利用类似方式对其他各大网站进行渗透,并伺机查询网站漏洞,以此为诱饵向他人兜售自己编写的恶意程序、黑客工具,从中牟利。)
另有一枚倒霉蛋,男二号焦某也于成都被警方逮捕,现场起获各类公司、人员数据 330 余万条。
(据焦某招供,自己花3000块钱买了喻某的黑客程序,用于撞库攻击其他网,而且还通过非法渠道在境外网站出售牟利。)
抓捕过程K哥没有找到什么详细报道,但估计警方也没遇到什么阻力,敲门,外卖,按住!一气呵成!
毕竟只是黑客,不是凤凰战士,网络重拳出击,现实一推就倒。