从优衣库被撞库，看如何防范撞库

亚洲最大零售商Fast Retailing（迅销）发布声明，承认黑客可能获取了近50万优衣库和GU品牌在线商城的用户个人信息。该公司5月13日在官网发布声明称：

截图自Fast Retailing官网

“2019年5月10日确认，我公司运营的在线商店网站（优衣库在线商城、GU在线商城）发生了非客户的第三方未经授权的登录。受影响目标的数量和情况可能会根据进一步查明而更新，现将我公司目前确认的事实和采取的应对报告如下：

这一系列欺骗性登录是在2019年4月23日至5月10日通过“列表型账户黑客攻击（列表型攻击）”方式执行的，截至目前非法登录的账户数为461,091。对于因此带来的不便或担忧，我们向客户和利益相关方深表歉意。我们将进一步努力加强安全性并确保安全，使类似事件不再发生。”

据FastRetailing透露，可能已被浏览的客户的个人信息包括：

·客户姓名（名字，姓氏，拼音）

·客户地址（邮政编码，城市，县，街道地址，房间号）

·电话号码，手机号码，电子邮件地址，性别，出生日期，购买历史记录，在“我的尺寸”中注册的姓名和尺寸

·送货名称（名字，姓氏，地址），电话号码

·信用卡的部分信息（持卡人，到期日期，信用卡部分号码）

根据声明，该公司已对未经授权登录的通信源阻止访问，并加强对其他访问的监控。对于受影响的461,091个账户，其密码已于5月13日被强制失效，并通知用户重置密码。另外，FastRetailing已向东京都警察局报告该事件。

对此，Distil Networks的联合创始人Rami Essaid表示：

“拥有用户登录页面的电子商务企业有可能成为下一个遭受破坏的公司。像优衣库这样的数据泄露会在网站的登录屏幕上造成巨大的机器人流量高峰，因为黑客会通过大量被盗密码进行循环。尽管用户设置健壮、安全的强密码是至关重要的，但企业也有责任在大规模密码入侵发生之前检测并阻止恶意机器人流量。”

ImmuniWeb的创始人兼首席执行官Ilia Kolochenko表示：

“不安全的网络应用程序持续困扰着电子商务企业。当前，网络犯罪分子将越来越多地瞄准亚太地区发达国家的零售商，因为西方零售商的安全保障相对更好，同时也有经济衰退因素的影响。应用程序安全性应从整体存量和风险评估开始，以便做出明智的决策。之后，持续的安全监控对于确保敏捷开发流程和及时解决新的安全和隐私问题至关重要。”

从Fast Retailing声明的描述看，优衣库显然是被撞库了。

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的账户。因为很多用户在不同网站使用的账号密码大多是相同的，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。

如何防范被撞库

对网络运营者，安数网络特别整理了三种常见的撞库方法及其防范方法：

一、用n个密码字典撞m个账号

表征：一个账号在某个较短的时间内，有多次密码尝试。

防范：可以在账号层加限制措施，比如：一天内一个账号，密码错误次数超过N次时，禁止登录（或者校验手机短信/密保问题之后才能登录）。

二、用若干密码撞n个账号

表征：同一密码出现的频率非常高；

防范：可以统计一段时间内每个密码的错误次数，超过一定阈值时，这个密码在一段时间内禁止登录（或者校验手机短信/密保问题之后才能登录）。

三、用n组一一对应的账号密码来再撞库

表征：这种情况的撞库单纯从账号、密码的层面来看，不会有明显的异常。所以，需要一些其他的应对措施。

防范

1.单个IP封禁，如果一段时间内，单个IP地址，密码错误次数超过阈值，则禁止这个IP一段时间再登录（或者校验手机短信/密保问题之后才能登录）。

2.高危IP封禁，对代理IP、IDC IP等高危IP直接禁止登录。

3.行为式验证码，采用拖条、点选、拼图等通过用户的操作行为来完成的验证码。

4.设备识别和封禁，通过客户端植入SDK，收集用户端的设备信息，从设备层面来做高频策略，或者，直接识别出非正常的设备，然后对设备进行封禁。

5.行为识别和封禁，通过客户端植入SDK，收集用户在登录页面的交互行为，通过机器学习、大数据建模，训练出正常用户、异常用户的行为模型，在交互行为层面，将撞库的行为识别出来。这个方法需要耗费大量时间和成本。

对个人用户，安数网络温馨提醒您：

1.不同网站设置不同的账户密码。

2.设置健壮、安全的强密码。

*本文作者：安数君，转载请注明来自FreeBuf.COM