1. 主页 > 黑客技术

[web渗透]撕葱大众点评遭盗绑的原因是它!

[web渗透]之:撕葱大众点评遭盗绑的原因是它!

首先,我们来看这个概念:撞库。
 
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

撕葱10月10日在微博发文:@大众点评这就是上万亿市值公司的安全系统吗?莫名其妙就能被别人改绑手机?你们大众点评除了会恰烂钱做虚假分数还会点啥?
 
[web渗透]撕葱大众点评遭盗绑的原因是它!(图1) 
从撕葱的微博透露情况来看,很有可能是出现了上述的撞库。也就是被人套取个人信息后,通过多次撞库的方式实现了盗绑。
 
目前互联网APP在用户账号保护上基本上都是使用多层信息验证的方式。如果用户想要解绑手机和更改密码,就要先通过手机验证码的方式进行验证,要是无法验证,平台就会通过其他的方式进行验证。比如实名认证、社交验证和预留信息验证等方式,其中社交和人脸识别实名认证的安全性最高,但是不是所有的平台都可以实现。
 
微信这种社交平台具有好友关系,基本上都可以实现。但是其他的一些平台缺乏社交验证方式,又不能像12306一样打通实名认证系统就只能让用户自留隐私信息作为验证手段。大众点评账号很有可能使用的就是“预留信息验证”的方式。
 
而像撕葱这种公众人物,一定是有个人信息泄漏的。网络上很多明星身份照、证件照片都被泄漏过。所以,如果有人掌握了撕葱的所有信息,比如身份证号码、住址等等,那么通过撞库的手段破解账号其实并不难。
 
虽然很多平台对明星的等公账人物的账号会有特殊保护,但是平台的风控手段只能通过异常IP、异常登录方式识别,再加上明星个人信息泄漏的情况。那么风控系统在掌握大量个人信息的盗号者面前就很有可能失效。
 

本文话题是[web渗透]撕葱大众点评遭盗绑的原因是它!

本文由黑帽达人官网发布,不代表黑帽达人官网立场,转载联系作者并注明出处:https://m.czlg.net/article/wangzhanseo/632.html