传闻中的世纪第一黑客大劫案到底是不是真的

发布时间：2020-03-09 17:50:12 阅读：次来源：尾灯厂家

首先如果你要一个定性的回答，一个非正即负的回答，我可以告诉你——真的。

接下来，如果你是一个具有正常思维逻辑的读者，你一定会问我：究竟有多严重?

我会告诉你，根本没表面上看的那么严重。整件所谓的世纪第一黑客大劫案，被挖掘此事件的安全专家和他所代表的安全技术公司，以及所有不了解究竟发生了什么事情的媒体，几乎无限制地夸大了。

先来陈列一下事实：根据 Hold Security，一家此前在业界并不算特别知名的计算机安全技术服务供应商所揭露出的情况，一个名为 CyberVor 的俄罗斯黑客组织一共掌握了大约 12 亿因为安全隐患泄露的帐号，当中包含大约 5 亿个独特的电子邮件地址，注册在全世界超过 42 万个网站——包括 Facebook、Google、微软 Microsoft Office 等人们最经常使用的网站和在线服务。

如果有读者看到这里就结束了，我怀疑你根本会不会开一个新的窗口去修改你(可能早已被暴露)的密码。

Hold Security 是何方神圣?

根据曾在华盛顿邮报工作长达 14 年的计算机安全技术方面评论员 Brian Krebs 透露，他认识 Hold Security 的创始人 Alex Holden 已有七年。Holden 个人来讲是一位比较著名的安全研究员，曾经在之前 Adobe 帐号密码泄露的事件中提供了重要的研究成果。

但 Hold Security 在本次事件中扮演了什么样的角色?

这是 Hold Security 在官网上的事件解释链接。

点进去后 Hold Security 对整件事情进行了一个大致的介绍。大段英文比较长，在这里总结几个关键点：

标题：你被黑了!

(这是恐吓吗?不就是电子邮件(和潜在的密码)泄露了吗?)

CyberVor 黑掉了大约 42 万个网站。

很不幸，按照目前世界黑客的平均技术水平来说，CyberVor 本次作案要打个分的话，10 分能给打 2 分就不错了。CyberVor 使用了一个非常强大——同时又十分常用——太过常用，以至于目前财富 500 级别的公司的服务器早已实施了针对措施的一种技术——SQL 注入。

「所谓 SQL 注入，就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令的目的。」

十几年前的黑客就已经在使用 SQL 注入这种手段来进行黑客攻击。而 2014 年任何水平的安全技术人士(一个网站应该配备的，或者网站的架设者自己就应该了解一些)都应当知道怎样免疫 SQL 注入。

这一切怎么发生的?

最初，该组织(CyberVor)从黑市上购买了一些失窃的，曾被用于攻击电子邮件服务上、社交媒体等网站以便发送垃圾广告信息的数据库。CyberVor 今年改变了策略，改为从黑市上购买别的黑客提供的肉鸡网络(僵尸网络，botnet)以获取数据。肉鸡网络中的电脑在登录网站的时候探索网站是否具有 SQL 漏洞，最终这个肉鸡网络发展的非常庞大，以至于成为了全网最大的安全审查机制(从不好的角度)，并且最终发现了超过 40 万个网站具有漏洞。CyborVor 的黑客使用了这些弱点来窃取「机密信息」……

Hold Security 使用了机密信息的字眼——这个字眼对于非安全人士未免太吓人了一点。美国科技媒体 The Verge 的 Russell Brandom 认为，Hold Security 到最后也没说「机密信息」究竟是什么——因为根本就没有 12 亿个密码被泄露(没有那么多)，最多只有 12 亿个电子邮件而已，而且当中还有超过 6 亿个是重复的。

那么，Hold Security 可能夸大了本次信息泄露事件的严重性。

这起事件中的各方都有什么意图?

本次泄密事件中的被泄露的大约 5 亿个有效的独立电子邮件，能造成多大的恐慌?如上所说，Hold Security 根本没有提供足够的证据以证明他们确信 CyberVor 的黑客同时获得了这些电子邮件的对应密码——目前还有哪些重要的网站会被简单的 SQL 注入劫持从而泄露密码呢?

Cybervor 真的搞到了如此巨量的电子邮件(和当中一部分的密码)，并不一定意味着他们真的考虑用这些帐号来牟利——比如通过直接出售掉数据库，或者真的话大精力来从涉及金融的帐号中窃取财富。包括 Brian Krebs 等在内的多名安全方面人士持有一个共同的看法，就是此次得手的结果，最多也就可以用来继续通过电子邮件、Twitter、Facebook 等向别人发送垃圾信息，仅此而已。恐怕得手的「质量」根本无法和 12 亿的数量相提并论，更别提拿此次泄密事件跟 Target 的信用卡泄露、Adobe 的账户信息泄露相比了。

但对于 Hold Security 来说，这就是一个完全不同的故事了。

Hold Security 事件声明正文中最下方的部分，该公司将自己的产品购买链接放了进去，放置在和介绍主谋、介绍事件经过、介绍事态严重性的小标题中同级别的位置。福布斯杂志、华尔街日报在报道该事件的文章中都提到了，Hold Security 有潜在的利用该次事件造成的恐慌来获利的意图存在。

Hold Security 向每个注册使用他们提供产品的个人用户提供 30 天的免费试用，然后收取 120 美元的年订阅费用。同时，他们还面向在此次泄密事件中可能收到波及的企业用户提供更加复杂，收费更高的服务。

看完了这篇文章，你现在可以去修改你的密码了。说实在的，除了可能多收几封垃圾邮件之外，恐怕你不需要担心太多。而 Hold Security 显然不希望你这样想，他们没准比 CyberVor 自身还要可怕。