創業公司另一死穴危機！揭秘地下黑客背后的金主利益鏈

    本文首發于微信公眾號：獵云網。文章內容屬作者個人觀點，不代表和訊網立場。投資者據此操作，風險請自擔。

　　3786字，約需10分鐘閱讀

　　企業信息泄露是防不住的，因為錯的人不在你，而是那些別有用心、虎視眈眈的窺視者。

　　在互聯網江湖上，每天都在上演一場場無形的攻防戰，那里是互聯網企業與黑客們的角斗場。黑客們，像一只非洲草叢中的獵豹，隱匿而嗜血，靠著金錢的誘惑，他們瘋狂的向互聯網企業發動一次次撞庫、拖庫，為雇主竊取信息。

　　而進攻的策動者，則是利益熏陶的金主―競爭對手、廣告主、詐騙集團，黑客在他們眼中，是撞開財富寶庫大門的攻城重器，用完即扔。

　　曾經，盜取企業用戶信息，是一個一本萬利、無需擔當風險的掘金地。但隨著法律量刑出臺，暢通無阻的舞臺，變得滿地荊棘。

　　互聯網企業、黑客、雇主，這場沒有炮火聲的戰爭還將持續，只是天枰略有傾斜。

　　“我現在一分錢都沒有，生活開銷都是跟朋友借的”，石女士，北交碩士、管理咨詢顧問、某互聯網金融公司戰略部高級研究員、金融從業多年，光鮮的標簽支撐著她的北漂夢，“生活是美好的，有奔頭?！比欢鲁?，一個自稱京東客服的電話，把石女士小確幸的生活撕得稀巴爛。

　　“被騙了33萬，騙子到底怎么知道我在京東上的訂單信息”，電話溝通的那一頭，石女士言語沮喪，充滿著陣陣慍怒。毫無疑問，京東訂單信息的泄露，是撞開她警惕線的一記重錘，“以后不敢在在京東買東西了?！?/P>

　　其實企業信息泄露，早已老生常談，并不稀奇。

　　2017年月8日，美國三大征信局艾可菲，被黑客盜走1.43億美國消費者的個人信息；同年3月，京東因內鬼監守自盜，50億條個人信息流向黑產；2016年12月，京東被曝12G的用戶數據包在黑產市場買賣；2015年，網易 163、126郵箱被曝漏洞，近5億郵箱賬號、密碼數據泄露；2014年12月， 超過13萬條的12306網站用戶信息在互聯網上瘋傳；同年年，小米論壇遭黑客拖庫，800萬用戶注冊信息遭泄露……

　　互聯網公司陣地頻頻失手，個人用戶信息大量外泄。而攻城拔寨、功績彪炳的則是活躍在無形戰場上的黑客，“安全工程師的薪酬待遇比較高，做內鬼不值當”，百度安全負責人黃正向獵云網表示，互聯網企業真正的威脅來自外部的黑客進攻。

　　在網絡世界里，他們是草原霸主，無所忌憚、無孔不入，大肆攻擊互聯網企業，盜取用戶信息。即便是網絡安全專家也未能幸免?！坝幸淮挝胰?，連接過公共WIFI，結果被別人克隆出跟我一摸一樣的QQ號，冒充我向我的朋友借錢”，向獵云網回憶時，資深安全專家大Z不免寒栗。

　　黑客的武器庫中，十八般兵器，但撞庫與拖庫是黑客攻陷企業城防的兩大攻堅利器。

　　拖庫簡單粗暴，入侵網站后，直接獲取數據庫中用戶的全部數據，在黑客面前，企業的城防如此薄弱?！爸灰以诶锩娴膸咨弦粋€禮拜，我就能把這些格子間的信息全部拿到”，談到網絡入侵，某互聯網企業技術負責人指著SOHO辦公樓，不無得意，“有點像狙擊手，要潛伏等待，扣動扳機，一擊致命?！?/P>

　　攻破城防的核心在于獲取獲取管理員權限，因此多數黑客尋找漏洞，植入病毒、建立偽基站等方式，取得管理員權限，查看源碼?！昂诳蛡冎恍杞ㄔ靷位?，挾持流量，從流量中就能分析出用戶的賬號、密碼”，黃正指出拖庫的進攻線路，只要獲取管理員權限就能看到整個網站的密碼，企業用戶信息就這樣被黑客玩弄于鼓掌。

　　拖庫看似直插企業命門、深不可測，其實并非頂級黑客的獨門秘籍?！巴弦粋€數據庫，只需要幾萬塊錢，不論數據庫的規?！?，黑客愛好者小M向獵云網介紹到。

　　對信息安全防護不重視，系統老舊，為黑客攻擊大開城門。據獵云網了解，艾可菲數據庫被黑客攻破，主要是因為系統老舊，黑客從網上找到相應托庫工具，“很多系統都用通用拖庫工具，拖庫沒有想象的那么富有技術?！?/P>

　　如果說拖庫是一劍封口的精準點殺，那么撞庫則黑客們的地毯轟炸，利用用戶在其他網站上已經泄露的賬號密碼，去各個網站上登陸驗證?！昂诳蛷钠渌阔@取信息，比如之前已經泄露的信息，或是小網站的賬號密碼，在利用這些數據去撞庫”，黃正指出。

　　2017年7月，百度網盤遭受黑客撞庫攻擊，部分用戶網盤數據被清空，用戶賬號、密碼信息泄露；2016年7月，黑客用撞庫方法在大麥網上購買商品，試試欺詐，39名用戶被騙近150萬；2015年3月，黑客實施撞庫，竊取用戶信息，用戶被騙……

　　“多數用戶比較懶，賬號密碼都是同一個，成功率相當大”，對于撞庫，小M頗為自信，屢試不爽，原因是多數用戶對個人信息不重視。為此，為加固城防，防止黑客大規模撞庫，互聯網公司紛紛加入驗證碼，識別網絡請求的發起方是人類，而不是機器?！膀炞C碼是對機器訪問，撞庫攻擊，暴力破解非常好的一種抵御方式”，某安全專家表示。

　　但魔高一丈，黑客們要么利用系統漏洞，繞開驗證碼校驗，要么與打碼平臺合作，黑客將賬號密碼信息輸入撞庫軟件，發動登錄請求，撞庫軟件將受到驗證碼圖片發送給打碼平臺，并將圖片信息轉化為文字信息。

　　目前部分黑客已經為撞庫進攻加入AI技術，今年9月，浙江警方查封打碼平臺“快啊”，“快啊”是黑市市場上最大的打碼平臺，能夠識別市面上98%的驗證碼，在查封時，警方截獲了 10 億余組公民個人信息。

　　其實，與黑客的搏斗，并非想象中的你死我活、炮火連天，而是悄然無聲的暗夜殺人。黑客，就像狩獵前的獵豹，隱匿于無形，尋找企業服務器漏洞，“根本沒有驚心動魄的攻防戰，他要攻擊你，你都不知道什么時候”，看著手頭的工作，黃正感嘆。

　　發現漏洞、利用漏斗，是黑客信息盜取的前提，就像古代武林高手對決，心有雜念、稍不留神的一方必敗無疑。

　　黑客雖然無影無蹤，但他僅僅是攻破企業城防的重錘，真正可怕的購買用戶數據的買家。

　　競爭對手、廣告主、詐騙集團組成的買家，它才是數據黑市的始作俑者：提供需求、支付費用，而黑客、交易商，游戲的所有參與者都為其服務。在這里，買家是一切非法行為的源頭，任何的黑客行為都會被貼上價格，只要有錢，就可以做任何事情。

　　為了干掉競爭對手，企業無所不用其極，利用黑客進攻對手，贏得戰爭屢見不鮮。

　　2016年2月，拉勾網員工通過黑客技術破解BOSS直聘所使用的企業郵箱管理員密碼，該員工在騰訊企業郵箱后臺、蘋果App開發者后臺，申請App store官方刪除了Boss直聘APP，惡意操作導致產品下架。

　　金三銀四，招聘黃金月，在App Store搜索“Boss直聘”時，索結果卻為“Boss在線”，而“BOSS在線”為拉勾網開發，與“Boss直聘”無任何關系。在黑客的進攻導致BOSS招聘損失慘重，“重建了家園，努力降低損失，努力服務好正處于招聘求職旺季的用戶”，BOSS招聘官方回應。

　　而對互聯網創業公司來說，信息安全更為重要，不但關系輸贏，更關乎生死。與大企業相比，創業者更愿意把錢花在營銷和研發上，而不愿再安全上過多投入，但安全上的摳門，也可能成為創業公司的死穴?！澳硞€創業公司老板，雇傭黑客，把競爭對手的數據庫刪得一干二凈，原本勢均力敵的關系瞬間打破”，某公司創始人透露。

　　搞掉對手僅是買家意圖的一角，有盜取的資料信息快速變現，催生買家的欲望，就像尋著血腥味而來的野狼?！巴庑沟膫€人用戶數據，主要用于廣告推送和電信詐騙”，火絨網聯合創始人馬剛向獵云網表示。

　　而BAT因信息量大、價值高，成為黑客重點“照顧對象”。7月，百度網盤遭受黑客頻繁撞庫攻擊，戰斗在一線的黃正承受外界攻擊的壓力，“百度每天都會面對黑客的攻擊?！?/P>

　　百度賬號只能捆綁一個手機號，靠大量注冊百度賬號刷量，提高貼吧、百科等級成本太高，為此，犯罪團伙雇傭黑客，通過其他渠道收集到的信息頻繁撞擊百度網盤數據庫。一旦成功，這些賬號會被犯罪團伙用于刷帖等，從中牟利。

　　“個人信息保護最核心的是要弄清楚，黑客侵入的真正目的是什么”，與黑客反復的較量博弈，黃正有著自己的心得體會，在他看來網絡安全，不是軟件與軟件的戰爭，背后的主導則是人與人的打斗。

　　據中國互聯網協會發布的《中國網名權益保護調查報告2016》顯示：2016 年，數據黑市交易的個人信息達到65億條次，因詐騙短信、信息泄露等受害者達6.88 億，造成的經濟損失約為915 億元。

　　網絡威脅面前沒有幸存者，飽受黑客攻擊的互聯網企業，紛紛成立行業組織，抱團取暖。今年云棲大會上，阿里聯合17家企業，共同推動“數據安全合作伙伴計劃”；9月24日，網信辦、工信部等部委發起，阿里巴巴、騰訊、百度等互聯網企業簽訂《個人信息保護倡議書》；360推出威脅情報共享工程，開放自己的數據和能力……

　　黑客與數據買主的肆意妄為，則是之前法律監管的缺失?！耙郧靶畔踩缸?，只要不出人命，通常是緩刑”，對于盜竊用戶信息量刑過小，網絡安全從業者小G憤憤不平。

　　高收益、低風險，利益誘惑，詐騙團伙等買家，尋著血腥而來，雇傭黑客，一次又一次發動高頻進攻。但隨著開房記錄數據泄露、徐玉玉因欺詐身亡、校園貸裸照外流……公眾將矛頭直指個人信息安全。

　　2016年11月，《中華人民共和國網絡安全法》發布；2017年3月，最高人民法院審判委員會全體會議通過《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對非法買賣個人信息做出量刑處罰。

　　同時，公安部重拳出擊，對數據公司、黑產交易方嚴查死打：出售行蹤軌跡、通信、財產、征信等信息五十條以上，處以三年以下有期徒刑；因個人信息泄露，造成被害人死亡、重傷、精神失?；蛘弑唤壖艿葒乐睾蠊?，處以三年以上，七年以下有期徒刑。

　　在這場攻擊與防守的較量中，信息泄露量刑出臺，勝負的天枰修正了軌跡，偏向了互聯網企業。天氣雖已變，黑客將不再像以往那樣無所忌憚，但兩者買主、黑客與互聯網企業的角斗仍將持續。

　　- END -

　　推薦閱讀

　　創立、失去、復得，吳文輝與網絡文學15年的愛恨情仇