我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。
“我啥也妹干呐,那家伙上来就给我哐哐哐撞了一千三百万下????????警察同志,您一定要给我主持公道,不法分子必须严惩!”
——帝都某公司在警局里如是哭诉到
大家好,我是K哥!
今天给大家讲一个关于数据泄露的故事,故事很新,就发生在不久前。
事情是这样的,前阵子北京的警察叔叔们接到了自己辖区里边一家公司的报案,互联网公司,做招聘平台的。
该公司称自家 App 的短信验证码接口遭受了1300 余万次恶意攻击,而且被成功匹配了30 余万个注册账号 。
(这意味着30多万份的求职者信息遭到泄露)
接警之后,警察叔叔们迅速受理,并定性了这是一起 黑客违法案件 。
本案男一号喻某,2022 年 10 月 18 日的时候在该招聘平台注册账号,并多次尝试了验证接口,当时他就寻思,这个网站的签名算法比较单一,不复杂。
而喻某是懂这个的,刚好这兄弟手上又有点儿技术,就动了歪脑筋,针对这个网站的弱点写了套程序,专门用来撞人家库。
这里给小白同学解释一下**”撞库“**:
通俗一点讲,“撞库”就是黑客通过收集互联网上用户的账号和密码信息,生成对应的字典表,再尝试批量登录其他网站。以“撞运气”的形式“试”出可登录的用户名、密码。
-使用Python就可以轻松写出撞库攻击脚本,实现自动批量验证账户,技术门槛不高。
-撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击的成本很低。
-恰恰是这种比较笨的方式,让很多网站都防不胜防。
有兄弟就要问了:K哥K哥,黑客是怎么拿到这些账号密码的呀??
要知道,现如今的信息泄露情况是很严重的,私人信息数据的贩卖,在*网论坛早就有了成熟的灰色产业链,既然都当黑客了,自然有渠道能搞到。
至于怎么泄露出去的,花样就太多了,随便给大家列举几个场景:
在公共网络环境下输入了自己的账号密码,例如去网吧上网,而计算机里本身就有病毒程序,那你的账号自然就泄露了。
以前注册的一些网站,一是数据库本身有泄露风险,二是很多网站倒闭跑路时直接把用户信息打包卖了。
网传某输入法,在用户输入账号密码时,会自动记录并上传,至于做什么用,大家可以想一想。
……
而妙就妙在,很多人的账号密码是N年不换的,且多个平台通用一套账号密码,顶多调整下大小写。
因此黑客可以通过获取用户在A网站的账户去而尝试登录B网址,这就可以理解为撞库攻击。
(图片来源:央视网视频截图)
而撞库成功之后,还有对应的**“拖库” 和 “洗库”**。
** *“* 拖库* ”* 是指黑客入撞库成功过后,把注册用户的资料数据库全部导(dao)出(qie)的行为,因为谐音,也称作 “脱裤” 。
(之前360为了奖励提交漏洞的白帽子兄弟,专门搞了个“裤带计划”,名字出处就在这儿)
但拿到数据不是目的,赚米才是目的,那么黑客在拿到大量的用户数据之后,通过一些非法渠道将数据售卖变现,就叫做**“洗库”**。
撞库→拖库→洗库
(图片来源:百度百科)
说回案件本身,本案男一号喻某通过黑客手段以及自己制作的黑客程序,恶意攻击了该求职招聘平台的 App 短信验证码接口,在该公司报警后不久便在成都被抓获。
(据喻某招供,他还利用类似方式对其他各大网站进行渗透,并伺机查询网站漏洞,以此为诱饵向他人兜售自己编写的恶意程序、黑客工具,从中牟利。)
另有一枚倒霉蛋,男二号焦某也于成都被警方逮捕,现场起获各类公司、人员数据 330 余万条。
(据焦某招供,自己花3000块钱买了喻某的黑客程序,用于撞库攻击其他网,而且还通过非法渠道在境外网站出售牟利。)
抓捕过程K哥没有找到什么详细报道,但估计警方也没遇到什么阻力,**敲门,外卖,按住!**一气呵成!
毕竟只是黑客,不是凤凰战士, 网络重拳出击,现实一推就倒。
(以上猜测基于K哥平时看警匪片的个人爱好,并非经验之谈,请广大读者朋友切勿妄自对K哥进行揣摩)
目前犯罪嫌疑人喻某、焦某因 破坏计算机信息系统罪 被依法刑事拘留,案件正进一步办理中!
这俩哥们儿的牢饭是免不了了,估计还不会轻判,毕竟情节比较恶劣,涉及到300万条国内公民和公司的信息,而且还向境外倒卖!K哥只能说是咎由自取,抓得好!
北京市公安局网安总队侦查员对用户设置密码提出如下建议:
NordPass发布了2023年全球使用最多的密码榜单。像什么 123456789;qwerty;asd123456 都是国内很多人在用的。
如果你也是其中之一,K哥这边给出专家建议,能改就改哈。
(图片来源:NordPass)
最后再说点儿题外话,很多人对爬虫有误解,特别是一些对行业一知半解的人,认为爬虫就是一种黑客技术,但K哥必须再次为咱们爬虫工程师正名, 爬虫er≠黑客 。
爬虫技术的诞生是为了高效的获取一些公开的信息,提高工作效率,而不是去入侵,攻击人家的服务器。
只不过掌握了爬虫技术的人,确实离黑灰产很近,但技术无罪,有罪的是人,一念天堂一念地狱。
最后K哥提醒大家要对数据,对法律有敬畏之心,不该碰的信息坚决不碰,不该接的业务千万别接!
更多爬虫相关文章,公众号搜索关注——K哥爬虫
