近日,有微網誌網友稱遭到自稱“大麥網從業人員”的詐騙電話,并直接造成了7.6萬元的财産損失,随後又有網友紛紛跟帖表示有相同經曆,據統計,截止目前為止已有39名大麥網使用者受騙,造成财産損失147.42萬元,單人受騙金額最高近10萬元,甚至有受害者表示,被騙的5萬元是準備給父親買墓地的,現在受騙不敢和家人提及,承受了巨大的精神壓力,目前警方已介入調查。
大麥網深表歉意 先行承擔使用者損失
那麼究竟是什麼原因造成了使用者如此巨大的損失呢?對此,大麥網在7月15日發表聲明,對受騙使用者所造成的損失表達了歉意,并表示“絕不會對外洩露任何使用者資訊”,本次使用者資訊是因為遭遇撞庫而被竊取,此外還表示稱大麥網技術團隊已對全平台加強安全防範措施,全面更新資訊安全級别。
▲大麥網關于使用者詐騙的後續聲明
次日又再次發表了“大麥網關于使用者詐騙的後續聲明”,公布稱在此次事件中,有充分證明造成經濟損失的使用者數量為39人,總金額達147.42萬元。警方已經介入事件調查,考慮到調查周期較長,是以大麥網向使用者墊付被騙資金,表明了大麥網向使用者負責的态度。
使用者受騙 究竟誰之責?
要想明确責任,首先要先了解一下什麼是“撞庫”。所謂的“撞庫”是黑客通過收集網際網路已洩露的使用者和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登入的使用者。很多使用者在不同網站使用的是相同的帳号密碼,是以黑客可以通過擷取使用者在a網站的賬戶進而嘗試登入b網址,這就可以了解為撞庫攻擊。也就是說撞庫簡單的了解就是:黑客“湊巧”擷取到了一些使用者的資料(使用者名密碼),再應用到其他網站登入系統。從這個角度來看的話,大麥網本次事件的主要責任在于使用者,由于使用者缺乏必要的網絡安全常識所緻。
然而,本次事件并非如此簡單,否則大麥網也不會如此爽快的對使用者進行先行賠付吧。接下來讓我們聽聽還有哪些聲音:根據烏雲漏洞平台的解釋,“撞庫攻擊”又稱“網際網路洩密事件”,它以大量的使用者資料為基礎,利用使用者相同的注冊習慣(相同的使用者名和密碼),嘗試登入其他的網站。重案組37号探員查詢烏雲漏洞平台發現,去年大麥網曾四次被報告有“撞庫”問題,均被标為設計缺陷。從受害人提供的資訊可以看出,在今年的1月份就有使用者受騙,但大麥網并沒有及時采取措施,沒有對系統是否存在漏洞進行檢查,當然也沒有對其他使用者進行警告來保護使用者的資訊,這才導緻了更多使用者的财産損失。很顯然大麥網在此事件中也有着不可推卸的責任。
通過多方面的分析,大麥網和使用者雙方都有着不可推卸的責任,當然大麥網也積極地承擔了自己應付的責任,對使用者進行了“先行承擔使用者損失”的措施。
“撞庫”事件屢屢出現 該如何應對?
大麥網此次遭遇撞庫再一次引起了大家的警覺,其實之前“撞庫”事件發生過多次,譬如2014年12月25日,12306網站使用者資訊在網際網路上瘋傳。據悉洩露的使用者資料不少于13萬條,該批資料基本确認為黑客通過“撞庫攻擊”所獲得。再比如去年京東的“洩密門”事件,均為撞庫所緻,既然撞庫事件如此頻發,究竟該如何面對呢?
防止撞庫,這就首先要從使用者說起,使用者為了友善記憶,一般在多個平台使用同一個賬号密碼,這就如同把雞蛋放在同一個籃子裡一樣,很容易是以造成不必要的損失,是以使用者的安全意識很重要。
當然出現“撞庫”事件,企業也有着不可推卸的責任,因為撞庫并非不可避免,這就需要網站使用一些措施來進行防禦,其中最簡單的就是增加圖檔驗證碼,在圖檔驗證碼防破解上多下功夫,适當增加驗證碼生成的強度。此外網站号可以根據黑客“撞庫攻擊”的一些特點來進行防禦,黑客一般都是通過機器掃描,機關時間内的操作次數遠遠大于正常使用者,網站可以根據這些特點鎖定惡意ip,整理出“惡意ip庫”并對其進行檢測限制。除此之外還有很多方法都是可以使用的,例如賬戶異地登入檢測,手機驗證登入等都不失為一個好的應對措施。
寫在最後
在資料泛濫的時代,我們的個人資訊面臨着諸多的威脅,個人資訊的洩露或多或少的會對使用者造成一些影響,為了避免造成不必要的損失,使用者應該提高自己的安全意識,竭力保護自己的個人資訊,作為網站的營運方來講,也要對使用者的資訊安全負責,保證使用者的個人資訊不被洩露,不辜負使用者的信任,隻有營運方和使用者共同攜手,才能更好的維護網絡安全。
====================================分割線================================
本文轉自d1net(轉載)