近日,有微博网友称遭到自称“大麦网工作人员”的诈骗电话,并直接造成了7.6万元的财产损失,随后又有网友纷纷跟帖表示有相同经历,据统计,截止目前为止已有39名大麦网用户受骗,造成财产损失147.42万元,单人受骗金额最高近10万元,甚至有受害者表示,被骗的5万元是准备给父亲买墓地的,现在受骗不敢和家人提及,承受了巨大的精神压力,目前警方已介入调查。
大麦网深表歉意 先行承担用户损失
那么究竟是什么原因造成了用户如此巨大的损失呢?对此,大麦网在7月15日发表声明,对受骗用户所造成的损失表达了歉意,并表示“绝不会对外泄露任何用户信息”,本次用户信息是因为遭遇撞库而被窃取,此外还表示称大麦网技术团队已对全平台加强安全防范措施,全面升级信息安全级别。
▲大麦网关于用户诈骗的后续声明
次日又再次发表了“大麦网关于用户诈骗的后续声明”,公布称在此次事件中,有充分证明造成经济损失的用户数量为39人,总金额达147.42万元。警方已经介入事件调查,考虑到调查周期较长,所以大麦网向用户垫付被骗资金,表明了大麦网向用户负责的态度。
用户受骗 究竟谁之责?
要想明确责任,首先要先了解一下什么是“撞库”。所谓的“撞库”是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。也就是说撞库简单的理解就是:黑客“凑巧”获取到了一些用户的数据(用户名密码),再应用到其他网站登录系统。从这个角度来看的话,大麦网本次事件的主要责任在于用户,由于用户缺乏必要的网络安全常识所致。
然而,本次事件并非如此简单,否则大麦网也不会如此爽快的对用户进行先行赔付吧。接下来让我们听听还有哪些声音:根据乌云漏洞平台的解释,“撞库攻击”又称“互联网泄密事件”,它以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其他的网站。重案组37号探员查询乌云漏洞平台发现,去年大麦网曾四次被报告有“撞库”问题,均被标为设计缺陷。从受害人提供的信息可以看出,在今年的1月份就有用户受骗,但大麦网并没有及时采取措施,没有对系统是否存在漏洞进行检查,当然也没有对其他用户进行警告来保护用户的信息,这才导致了更多用户的财产损失。很显然大麦网在此事件中也有着不可推卸的责任。
通过多方面的分析,大麦网和用户双方都有着不可推卸的责任,当然大麦网也积极地承担了自己应付的责任,对用户进行了“先行承担用户损失”的措施。
“撞库”事件屡屡出现 该如何应对?
大麦网此次遭遇撞库再一次引起了大家的警觉,其实之前“撞库”事件发生过多次,譬如2014年12月25日,12306网站用户信息在互联网上疯传。据悉泄露的用户数据不少于13万条,该批数据基本确认为黑客通过“撞库攻击”所获得。再比如去年京东的“泄密门”事件,均为撞库所致,既然撞库事件如此频发,究竟该如何面对呢?
防止撞库,这就首先要从用户说起,用户为了方便记忆,一般在多个平台使用同一个账号密码,这就如同把鸡蛋放在同一个篮子里一样,很容易因此造成不必要的损失,所以用户的安全意识很重要。
当然出现“撞库”事件,企业也有着不可推卸的责任,因为撞库并非不可避免,这就需要网站使用一些措施来进行防御,其中最简单的就是增加图片验证码,在图片验证码防破解上多下功夫,适当增加验证码生成的强度。此外网站号可以根据黑客“撞库攻击”的一些特点来进行防御,黑客一般都是通过机器扫描,单位时间内的操作次数远远大于正常用户,网站可以根据这些特点锁定恶意IP,整理出“恶意IP库”并对其进行检测限制。除此之外还有很多方法都是可以使用的,例如账户异地登录检测,手机验证登录等都不失为一个好的应对措施。
写在最后
在数据泛滥的时代,我们的个人信息面临着诸多的威胁,个人信息的泄露或多或少的会对用户造成一些影响,为了避免造成不必要的损失,用户应该提高自己的安全意识,竭力保护自己的个人信息,作为网站的运营方来讲,也要对用户的信息安全负责,保证用户的个人信息不被泄露,不辜负用户的信任,只有运营方和用户共同携手,才能更好的维护网络安全。
====================================分割线================================
本文转自d1net(转载)