10月24日晚间时分，国泰航空发布一份重要公告称，发现公司及其全资子公司港龙航空的大量乘客资料被窃取。

其中包含：

• 940万乘客的姓名、生日、电话、邮箱、地址、身份证、护照号及飞行记录等详细个人敏感信息；
• 403张信用卡账号，27张无安全码信用卡账号；
• 86万个护照号码，24万5千个香港身份证号码……

不禁让人想起在九月一度被华住酒店数据泄漏支配着的恐惧——

• 23亿条华住官网注册资料，包括用户的姓名、手机号、邮箱、身份证号、登录密码等，数据规模共53GB。
• 3亿入住人登记身份信息，包括住客的姓名、身份证号、家庭住址、生日、内部ID号，共22.3GB。
• 4亿条酒店开房记录，包括内部ID号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2GB。

5亿余条包含姓名、身份证号、手机号、密码、家庭住址等详细信息的数据泄漏，使得“华住事件”成为近5年国内最大、最严重的个人信息泄露事件。

虽然直至目前，国泰航空、华住两次事件的官方声明均宣称没有相关信息被攻击者利用的情况发生，但是如此庞大而详细的个人数据遭到泄漏，后续而来的潜在安全风险就仍然如同一把达摩克利斯之剑，在每一个牵连者头上高悬。

以利用已知账号密码尝试登陆其他平台的撞库攻击为例，一旦黑客利用已经泄漏的数据进行撞库攻击，那么，受影响的可能就不仅仅是网友戏言的“家庭关系”了……

01 撞库到底是什么？

所谓“撞库”，就是黑客界的“以一当百”。

当黑客透过入侵窃取或从黑色产业链购买获得大量账号密码之后，就可以此尝试入侵受害者的其他网络账号。利用“许多用户都会在不同网站上重复使用相同的登录名及密码”的行为弱点，黑客可以相对轻松地黑入用户在其他网站上的账号，进而一举网获大量账号为其所用。

9月在英国伦敦举办的第21届Information Security Conference （ISC2018）信息安全会议上进行的一项调查显示，居然有45%的与会安全人士重复使用相同的密码，专业人士尚且如此，更不用说是一般用户了。

截至今日，2018年黑客已经在网络上发布超过14亿笔已外泄的账号密码查询系统，并且大多提供了可以用比特币购买完整资料库的渠道。事实上，仅2017年全球外泄数据的笔数就高达78亿笔，其中包含大量账号和密码相关数据，为撞库攻击的进行提供了充足的弹药准备。

02为什么撞库？

简而言之，利益二字。

以华住事件为例，黑客以8个比特币（约38.3万元人民币）或520门罗币（约36.5万元人民币）的打包价在暗网叫卖5亿华住集团客户的个人数据，千条信息不足1元；但该信息若被用于撞库，并挟持到用户的其他网站账号，尤其是电商、网银等账号，那一人身上可以得到的商业价值至少也能以百元计数。

不仅如此，随之而来的敲诈勒索才是黑产利益的更大来源。拥有大量用户的平台，如航旅酒店、电商、网银更是感受到威胁甚巨，一旦被撞库成功、遭遇敲诈勒索，部分企业为了避免事态不断恶化造成难以估计的负面影响，会倾向于先向攻击者提供金钱来解决问题。

因此，也就不难理解为什么许多犯罪分子明知盗取信息、撞库盗号是违法行为，但仍前赴后继了。然而，面对黑客广泛利用自动化攻击工具模拟合法用户操作，并利用大量跳板快速更换IP的新型攻击手段，企业毫无招架之力，传统基于特征比对及行为规则的防护机制几乎束手无策。

03 我们怎么办？

• 对个人：

既然撞库攻击的基本原理就是以一套账号密码去尝试登陆不同平台，那么“换密码”就成了对个人而言最傻瓜却也最有效的应对方式。

但是，经常有人吐槽“不要重复使用相同的账号密码”这句话在实际操作中实在有些难度。这里就介绍瑞数小编设置密码时常用的一个小方法——“固定+变化”模式，容易记、不重复。比如在River@2018这个基本密码之上，固定的就是“River@”，变化的就是“2018”，如果是新浪就设置为“River@Sina”，如果是百度就设置为“River@Baidu”，以此类推。

当然，这种方式的密码设置也是基于一定规律，仍然容易被升级版的撞库工具识破，因此小编只是在此抛砖引玉，实际设置时大家还是可以在字母大小写、字母符号替换（如以！换i、以@换a）、顺序上做文章，避免密码的重复。

• 对企业：

虽然使用多因素认证或者两阶段验证可以大幅降低撞库的风险，但全面实施这类安全措施的推广过程还需要克服重重的内外部阻碍，同时这也会增加用户登录过程的额外负担，所以目前仍然只有少数大型网站支持这类安全机制。

为了有效克服传统安全机制在对抗撞库攻击的重大挑战，必须要用新方法来解决老问题。改变传统的被动式安全防护策略，唯有创新的主动防御才可有效阻挡撞库及其他各类自动化攻击。

瑞数信息的动态安全解决方案以“动态技术”为核心，可以高效甄别伪装正常行为的已知和未知自动化攻击，防止数据泄漏，防止黑客利用已经泄漏的用户信息及密码进行批量登陆，并尝试获取可登录账号，全面保障企业的数据安全和账户安全，让航旅企业和游客一同安心。