倾家荡产、隐私全无？独家揭秘撞库攻击( 二 ) _撞库攻击

数字 4：83%

从实施撞库攻击的攻击工具来看，83%以上的攻击流量来自简单的脚本，这里的“简单脚本”定义为一些通过最简单的人机识别方式（如 JS 校验）就能检测出的脚本工具，而在这其中 JAVA Tools 和 Python Requests 是“最有存在感”的两种脚本工具。
不过值得注意的是，近些年随着爬虫技术和相关产业的迅猛发展，“正规军”占比已越来越大，这些团伙手中掌握大量的攻击资源和最新的爬虫技术，整个产业链上下游分工精细，协同流畅，普通企业防御起来的难度也在迅速上升。
撞库带来的合规风险
自欧盟隐私法 GDPR 生效以来，世界各国监管对于数据保护极为重视，自 2019 年开始，对泄露的处罚和后果也呈上升趋势。在 GDPR 的第 4 条中提出，个人数据泄露是指“由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。”
所以，即使是使用已经泄露的数据来进行撞库攻击，但是企业自身的安全防护工作没有能够避免被未经授权的访问，也是违规的一种。美国的健康保险携带和责任法案（HIPAA）也有规定 “以 HIPAA 隐私规则所不允许的方式获取、访问、使用或披露个人医疗信息，等于损害安全性或隐私。”即使被非法访问的数据是被加密的，但是系统和数据受到了未经授权的攻击，因此也属于 HIPAA 隐私权规则所不允许的披露。被撞库的企业为受害者，但是每个受害者都因自身安全控制不到位而成为这雪球效应中贡献的一分子。
2019 年夏天，信用评级公司穆迪（Moody's）对网络安全的业务影响进行了新的调整，将网络风险纳入其信用评级。穆迪根据企业违规而造成的业务影响将上市企业的评级从稳定降至负面。穆迪正在积极将网络风险纳入其信用评级，这可能只是第一个倒下的多米诺骨牌。信用评级广泛影响到投资者在选择投资对象时所考虑的风险评估以及投资决定。对上市企业来说，重新考虑其网络安全和合规性方法，尤其是随着法规变得越来越难以遵守。不仅如此，针对特定的行业，也将面对更多不同的处罚规定。
随着近年来物联网设备的爆炸性增长，再加上公共云、容器和 VM 的激增，导致人们对数据流量的可见性普遍缺乏，从而大大增加了整体威胁面和公司的漏洞。数据泄露事件不断增加，导致撞库攻击成为近年来常用的一种入侵办法。每一次泄露的数据都可能变成下一次入侵的开门匙。
如何防护撞库攻击？
个人篇
从个人用户自我保护的角度来说，我们给出 4 个建议：

尽量减少在不同网站使用相同密码。当然，人性的懒惰跟密码机制的安全性天然上就有冲突，大部分人很难做到这一点，据第三方统计，超过 60%的人依然在多个站点使用同一个密码。
使用更复杂的密码。比如请不要再用 123456、111111 了……
定期更换常用密码。黑产手里往往掌握大量的“社工库”，里面存储了很多已知的用户名-密码组合，他们可能就包含了你多年前在某网站上使用的组合。因此经常更换密码可以减小社工库信息的有效期。
【倾家荡产、隐私全无？独家揭秘撞库攻击】启用更多密码以外的身份验证机制。其实很多安全性好的企业已经在采取一些二次验证、多因素验证之类的最佳实践，如苹果的二次验证、google 的身份验证器、支付宝的人脸识别、微信的声纹等，建议个人用户尽可能的开启类似的验证机制。

常用的密码前 500 名（来自 Informationisbeautiful）
企业篇
从企业的角度来说，做好账户安全是非常非常重要且基础的工作，因为账户很大程度上是业务安全体系的基石，账号安全一旦失守，只会带来后续更多的问题，补救这些问题需要付出的成本要远远大于做好账户安全防护本身。当然账号安全本身是非常复杂的系统工程，这里我们只是针对撞库这个场景给出一些最佳实践供参考：