被“脱裤”的可能不止B站,还有快手、新浪微博、A站……
事实证明,这次“快视频事件”受到波及的不止B站一家。根据网友反馈,自己在新浪微博上独家发送的视频,本已删除数月,却也在快视频中出现。这样的情况,不禁让人浮想联翩……
图片来自“AcFun弹幕视频网”微博
“脱裤”是一个技术名词,即“拖库”,这个谐音词的产生来自于360的库带计划(即奖励提交漏洞的白帽子)。通俗来说,拖库就是把一个网站的数据库拖回来,把数据导出保存。
从技术角度来讲, 拖库的实现方式有很多种:利用web应用漏洞、远程下载数据库文件、利用web服务器漏洞、水坑攻击、XSS劫持、邮件钓鱼等。这些方法大多从网站管理员入手,攻破对方的安全防线。
前文笔者提到过GitHub网站,也是全球知名的开源平台。开源项目的成熟与发展,让很多企业(包括B站)会选择使用开源应用,以便减少开发成本。而这些开源项目,如果使用者不进行更新而直接使用,很容易被黑客识别目标代码,利用漏洞进行攻击。
防拖库监测(图片来源于网络)
当然,拖库只是第一步。在拖库之后,多数情况下还会发生洗库和撞库。即黑客(攻击方)将获得的数据通过技术手段或者黑色产业链进行变现为洗库;将这些信息(如密码)与其他网站进行暴力测试,为撞库。比如,去年某电商平台发生的信息泄露事件,就是不法黑客撞库引发的骚动。
这就要求用户有较强的个人信息保护意识,对于国内用户而言尤其需要注意。不是你银行卡里只有三位数,你的个人信息就没有价值, 而是面对黑客攻击,信息泄露事件,你有没有被波及。
这里笔者给出几条保护个人数据的意见:
1、提升密码复杂度;如,可采用数字+符号+字母的形式;
2、重要账户使用独立密码,避免被撞库成功;
3、不连接公共场所WiFi;
4、选择可信的浏览器(此处省略xx字);
5、离开座位随手win+L锁屏,请网络管理员看到这一点;
