攻丝机厂家
免费服务热线

Free service

hotline

010-00000000
攻丝机厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

传闻中的世纪第一黑客大劫案到底是否是真的

发布时间:2020-03-10 09:55:12 阅读: 来源:攻丝机厂家

A5交易A5任务 SEO诊断淘宝客 站长团购

首先如果你要一个定性的回答,一个非正即负的回答,我可以告知你真的。

接下来,如果你是一个具有正常思惟逻辑的读者,你一定会问我:究竟有多严重?

我会告知你,根本没表面上看的那末严重。整件所谓的世纪第一黑客大劫案,被发掘此事件的安全专家和他所代表的安全技术公司,和所有不了解究竟产生了甚么事情的媒体,几近无限制地夸大了。

先来摆设一下事实:根据 Hold Security,一家此前在业界并不算特别知名的计算机安全技术服务供应商所揭穿出的情况,一个名为 CyberVor 的俄罗斯黑客组织一共掌握了大约 12 亿由于安全隐患泄漏的帐号,当中包括大约 5 亿个独特的电子邮件地址,注册在全球超过 42 万个网站包括 Facebook、Google、微软 Microsoft Office 等人们最常常使用的网站和在线服务。

如果有读者看到这里就结束了,我怀疑你根本会不会开一个新的窗口去修改你(可能早已被暴露)的密码。

Hold Security 是何方神圣?

根据曾在华盛顿邮报工作长达 14 年的计算机安全技术方面评论员 Brian Krebs 泄漏,他认识 Hold Security 的创始人 Alex Holden 已有七年。Holden 个人来说是一名比较著名的安全研究员,曾在之前 Adobe 帐号密码泄漏的事件中提供了重要的研究成果。

但 Hold Security 在本次事件中扮演了什么样的角色?

这是 Hold Security 在官网上的事件解释链接。

点进去后 Hold Security 对整件事情进行了一个大致的介绍。大段英文比较长,在这里总结几个关键点:

标题:你被黑了!

(这是恐吓吗?不就是电子邮件(和潜伏的密码)泄漏了吗?)

CyberVor 黑掉了大约 42 万个网站。

很不幸,依照目前世界黑客的平均技术水平来讲,CyberVor 本次作案要打个分的话,10 分能给打 2 分就不错了。CyberVor 使用了一个非常强大同时又十分经常使用太过经常使用,以至于目前财富 500 级别的公司的服务器早已实行了针对措施的一种技术SQL 注入。

「所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面要求的查询字符串,终究到达欺骗服务器履行歹意的 SQL 命令的目的。」

10几年前的黑客就已在使用 SQL 注入这类手段来进行黑客攻击。而 2014 年任何水平的安全技术人士(一个网站应当配备的,或网站的架设者自己就应当了解一些)都应当知道怎样免疫 SQL 注入。

这一切怎样产生的?

最初,该组织(CyberVor)从黑市上购买了一些失窃的,曾被用于攻击电子邮件服务上、社交媒体等网站以便发送垃圾广告信息的数据库。CyberVor 今年改变了策略,改成从黑市上购买别的黑客提供的肉鸡网络(僵尸网络,botnet)以获得数据。肉鸡网络中的电脑在登录网站的时候探索网站是不是具有 SQL 漏洞,终究这个肉鸡网络发展的非常庞大,以致于成为了全网最大的安全审查机制(从不好的角度),并且终究发现了超过 40 万个网站具有漏洞。CyborVor 的黑客使用了这些弱点来盗取「机密信息」

Hold Security 使用了机密信息的字眼这个字眼对非安全人士未免太吓人了一点。美国科技媒体 The Verge 的 Russell Brandom 认为,Hold Security 到最后也没说「机密信息」究竟是什么由于根本就没有 12 亿个密码被泄漏(没有那么多),最多只有 12 亿个电子邮件而已,而且当中还有超过 6 亿个是重复的。

那末,Hold Security 可能夸大了本次信息泄漏事件的严重性。

这起事件中的各方都有甚么意图?

本次泄密事件中的被泄漏的大约 5 亿个有效的独立电子邮件,能造成多大的恐慌?如上所说,Hold Security 根本没有提供足够的证据以证明他们确信 CyberVor 的黑客同时取得了这些电子邮件的对应密码目前还有哪些重要的网站会被简单的 SQL 注入劫持从而泄漏密码呢?

Cybervor 真的弄到了如此巨量的电子邮件(和当中一部分的密码),并不一定意味着他们真的斟酌用这些帐号来牟利比如通过直接出售掉数据库,或真的话大精力来从触及金融的帐号中盗取财富。包括 Brian Krebs 等在内的多名安全方面人士持有一个共同的看法,就是此次得手的结果,最多也就可以用来继续通过电子邮件、Twitter、Facebook 等向他人发送垃圾信息,仅此而已。恐怕得手的「质量」根本没法和 12 亿的数量等量齐观,更别提拿此次泄密事件跟 Target 的信用卡泄漏、Adobe 的账户信息泄漏相比了。

但对 Hold Security 来讲,这就是一个完全不同的故事了。

Hold Security 事件声明正文中最下方的部份,该公司将自己的产品购买链接放了进去,放置在和介绍主谋、介绍事件经过、介绍局势严重性的小标题中同级别的位置。福布斯杂志、华尔街日报在报导该事件的文章中都提到了,Hold Security 有潜伏的利用该次事件造成的恐慌来获利的意图存在。

Hold Security 向每一个注册使用他们提供产品的个人用户提供 30 天的免费试用,然后收取 120 美元的年定阅费用。同时,他们还面向在此次泄密事件中可能收到波及的企业用户提供更加复杂,收费更高的服务。

看完了这篇文章,你现在可以去修改你的密码了。说实在的,除可能多收几封垃圾邮件以外,恐怕你不需要担心太多。而 Hold Security 明显不希望你这样想,他们没准比 CyberVor 本身还要可怕。

中国光大银行股份有限公司北京西直门支行

诸暨市宝兹漫嗨塔给特纺织有限公司

遵义云上装饰有限公司