Question to say "I can!"

你的帳號是如何泄密的

2013-11-23

來自:道哥

 

你的帳號是如何泄密的

 

最近在網上傳出騰訊有7000萬的QQ群關系數據泄露,里面涉及到用戶的QQ號、備注里有很多用戶的姓名、年齡、社會關系等個人隱私信息。騰訊方面則表示這是在2011年就已經處理過的事件。

與此類似的,最近還發現有一批黑客在攻擊DNS托管商的帳號,盜取了一個用戶的帳號后,進去為用戶的網站添加一個泛域名解析,比如:

「*.xxx.com」

這樣用戶訪問錯誤二級域名的閑散流量就被黑客都收集走了。黑客會用這些閑散流量來刷搜索引擎排名,所以一些排名高的站點的DNS服務帳號是主要攻擊目標。

有在DNS托管商工作的朋友找到我,讓我幫忙查一下這個事情。

我發現這批黑客用的手法是「掃號」,或「撞庫」。利用的是以前互聯網上泄露的一些大網站的數據庫,特別是包含了明文密碼的數據庫,對第三方網站進行掃號。而這次這家DNS托管商的朋友遇到黑客,用的還是幾年前CSDN泄露的那一批明文密碼。時隔這么多年,竟然還這么有效,讓我也頗為吃驚。

淘寶也曾經遭遇過「掃號」的攻擊。那是在CSDN數據庫泄露一年后,當時互聯網的幾大巨頭或多或少都遇到了,互相之間也提醒了一下。淘寶遇到的「掃號」問題,是DBA最先發現的。當時發現緩存的命中率變低了,數據庫負載增高,然后查問題一路查出來原來是掃號。查了下數據,都是CSDN泄露的數據庫里的。

 

如何保護個人隱私

 

所以現在密碼已經完全不可靠了。很多朋友問我上網時如何保護個人隱私,我有時候覺得很無奈。

我覺得保護個人信息完全不泄露是不太現實的,還是重點考慮一下如何把信息泄露后的損失降到最低。

就我個人而言,我一直是抱著「不信任」的態度登錄大部分的網站。每次在網站注冊時,我會選用一個最隨意的密碼,并且抱著「密碼隨時會泄露」的心態使用網站提供的服務。這樣的網站帳號丟了也不心疼,有心理準備。果然后來我的這個「隨意」的密碼在很多被黑客攻擊而泄露的數據庫里都能查到,但因為我知道這個帳號是不重要的,所以心里有數,也不心慌,也懶得修改。

對于另外一些比較重要的服務,則只選用最好的公司提供的服務,并使用一個較為復雜的密碼。

前些時遇到UCloud的季昕華,他說他的辦法是從來不在網上留電話。我當時就震驚了,這是咋做到的?他說他只在支付寶和騰訊留了電話。在騰訊留是因為騰訊安全以前是他自己做的,他心里有數;在支付寶留是因為我在阿里,所以他放心;其他地方則一概不留。這馬屁當時拍的我太舒爽了。但我自己其實心里很清楚,安全只是相對的。正如本文一開始提到的騰訊泄露的7000萬數據一樣,越大的公司,安全越難做。

?

現在更需要擔心的是:一些云端服務,比如現在的智能手機,大多提供云備份服務,比如你小米手機,那么你的通信錄、短信等就會備份到i.xiaomi.com,如果你使用 Google 的服務,那么就會備份到Google ,如果使用 QQ 同步助手,就會同步到 ic.qq.com,這個一旦泄露,造成的影響和損失恐怕是難以估量的,我的做法是,同步過后,就去云端刪除全部數據,只有等到下一次需要換手機的時候才重新備份和同步。

作者:admin | Categories:互聯網問題 | Tags:

發表評論

電子郵件地址不會被公開。 必填項已用*標注

*

澳洲f1赛车b盘开奖套路 黑龙江11选五5什么时候开始 今日个股查询 山西11选五技巧 福彩3d试机号今天 腾讯分分彩分析软件下载 极速时时彩是国家开奖 广东11选5技巧有哪些 股票为什么一直下跌 辽宁十一选五开奖 百家乐策略 海南飞鱼游戏玩法 辽宁35走势图 六合配资 甘肃快3基本走势一定牛 诺安股票基金分红 重庆快乐10分人工计划