基本語意
拖庫(拼音:tuō kù;英文:Drag) ;拖庫一詞多用於資料庫程式設計師專業人士使用,語意:從資料庫導出數據。很多時候資料庫的資料需要導出來在別的地方使用,並且資料庫資料可以導出好幾種格式,例如:TXT,XLS等格式。
拖庫事件
根據2011年12月21日媒體報導,多家網際網路站被黑客公開用戶資料庫,超過5000萬個用戶帳號和密碼在網上流傳。2011年12月21日,某專業網站資料庫開始在網上被瘋狂轉發,包括600餘萬個明文的註冊信箱和密碼泄露,大批受影響用戶為此連夜修改密碼。此後,178遊戲網等5家網站用戶資料庫又相繼公開,更有媒體曝光金山毒霸等數十家大型網站已遭黑客“拖庫”,從而將2011年末的密碼危機推向高峰。
2011年12月21日有黑客在網上公開提供CSDN網站用戶資料庫下載後,包括人人網、貓撲、多玩等在內的網站部分用戶資料庫也被傳到網上供用戶下載。預計泄露網站資料庫的行為可能會引發連鎖效應,更多網站的數據會被黑客放出。之前這類資料庫通過網路地下交易,這些黑客可以取得收益。但由於很多用戶的用戶名及密碼在各網站幾乎一樣,有黑客將某網站資料庫放出後,其他黑客手裡的資料庫就沒有價值。有些黑客出於各種目的,會放出其它網站的資料庫,由此引發連鎖效應。網站不可能100%安全,對於有技術能力的人,登入相關網站時,密碼並不是唯一的。但是在有黑客放出網站的用戶資料庫信息後,沒有技術能力的人,可能會對網站及其他用戶產生很大的破壞性。同時,由於很多用戶的用戶名和密碼大多一致,有可能會被這些人來刷其它網站的庫,產生的影響會更大。如果要改變這個局勢,網站需要強制所有用戶更換他們的密碼,並且採取獨特的加密方式,以避免用戶信息再次被泄露。據稱,很多網站並沒有保護用戶信息安全的意識,用戶的數據信息在資料庫里沒有任何保護。相關網站能夠加強安全意識,從軟硬體多方面強化信息保護。Goodwell對搜狐IT稱,最徹底的保護方面,是更改網站靜態密碼的機制並在MD5基礎上使用自己獨有的加密函式等方法,同時及時修補系統漏洞。
隨著網站及微博實名制規定的陸續出台,如果在實名制的網站出現用戶數據泄露事件,將會產生更惡劣的影響。在實名制前提下,主管部門及網站應該出台相應的標準及保護機制,以安全地保護用戶的隱私。如果在推動實名制而安全保護機制無法跟上的情況下導致信息泄露,會使用戶對網站及機構產生信任危機。
用戶在上網的時候也要加強自我安全保護意識。在上網時,用戶最好根據不同的網站設定不同的密碼。為了方便記憶,密碼最好根據網站的域名做相應變化。
網易信箱數據泄露事件
2015年10月17日開始,有微博用戶發文稱,網易信箱被暴力破解,網易隨後在官方微博上做出回應,稱此系“撞庫”所致,即黑客通過收集網際網路中已泄露的用戶和密碼信息,嘗試批量登錄其他網站。19日下午,網站安全漏洞發現者烏雲平台用戶“路人甲”發布了《網易163/126信箱過億數據泄密》,報告稱,泄露信息包括用戶名、密碼、密碼保護信息、登錄IP以及用戶生日等多個原始信息,影響數量總共近5億條。網易免費信箱官方微博於19日發出再次回應,稱網易信箱不存在自身數據泄露問題。國家網際網路應急中心近日通報證實,確有網易信箱數據遭泄露,泄露的數據中包括一個信箱賬號、信箱密碼的MD5、密保問題以及密保答案的MD5。
拖庫步驟
“拖庫”的通常步驟為:
第一,黑客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、檔案上傳漏洞等。
第二,通過該漏洞在網站伺服器上建立“後門(webshell)”,通過該後門獲取伺服器作業系統的許可權。
第三,利用系統許可權直接下載備份資料庫,或查找資料庫連結,將其導出到本地。
拖庫危害
根據資料顯示部分網民習慣為信箱、微博、遊戲、網上支付、購物等帳號設定相同密碼,一旦資料庫被泄漏,所有的用戶資料被公布於眾,任何人都可以拿著密碼去各個網站去嘗試登錄,對一些敏感的金融行業是致命的危害,對普通用戶可能造成財產,個人隱私的損失或泄漏。
防止拖庫
第一,分級管理密碼,重要帳號(如常用信箱、網上支付、聊天帳號等)單獨設定密碼。
第二,定期修改密碼,可有效避免網站資料庫泄露影響到自身帳號;
第三,工作信箱不用於註冊網路帳號,以免密碼泄露後危及企業信息安全。
第四,網站資料庫加密保護
第五,網站漏洞檢測、網站掛馬實時監控、網站篡改實時監控
第六,不讓電腦自動“保存密碼”,不隨意在第三方網站輸入帳號和密碼;即便是個人電腦,也要定期在所有已登錄站點手動強制註銷進行安全退出