电商网站 91% 的登录访问来自黑客攻击

网络安全公司 Shape Security 发布了一份 2017 年全球身份信息泄露报告，报告指出电商网站 91% 的登录流量来自黑客的撞库攻击。

　　Shape Security 是加利福尼亚的一家网络安全创业公司，创始人曾是五角大楼的安全顾问。Shape 主要为零售商、金融机构、航空公司和政府机构提供恶意攻击防御服务。据官方介绍，他们的客户包括北美排名前十的银行和财富 500 强排名的零售商。此次发布数据报告的数据主要来自于 Shape 自己的监测以及公开报道。

　　撞库攻击通常是指，黑客拿到一个网站的用户登录信息（用户名、邮箱、密码等信息），然后用这些信息在其它网站登录的行为。

　　通常黑产会选择在安全性较差和价值较低的网站进行拖库，然后在价值较高的网站进行撞库。据 Shape 统计，有 26% 的信息泄露来自于论坛。

　　据报告，一家奢侈品零售电商在 2017 年 99% 的登录流量都来自黑客撞库攻击。对于黑产来说，零售网站除了绑定了用户支付信息，有较大的价值外，也是较容易进行诈骗的渠道。因为现在零售网站中线上用户在跟线下商家进行沟通的方式几乎都是邮件、在线聊天的形式，黑客获取了用户的购物信息后，很容易通过这些方式进行行骗。电商用户量的增长，也是黑客攻击量上升的原因。

　　酒店和机票预定行业也是黑客撞库攻击频率较高的账户。黑客攻击分别占它们登录流量的 60% 和 44%。酒店和机票预定对大多数人来说，使用频率并不高，因此黑客盗取后被发现的时间也更长。这些用户信息也可以被用来卖给一些营销公司，作为各种促销的数据依据。

　　据 Shape 统计，这些撞库攻击的成功概率是 3%。这种信息泄露每年会给美国零售商带来了约 60 亿美元损失，给消费类银行带来的损失约为 17 亿美元，给酒店和航空类公司带来的损失约为 7 亿美元。

　　不过随着网络安全意识的提高，身份信息泄漏事件正在减少。2017 年全年共有 23 亿条信息被泄露，少于去年的 33 亿条。不过单次数据泄漏事件所涉及的用户量规模越来越大。

　　Shape 在报告中还列出了 2017 年被报道过的所有网站用户信息泄露事件。其中，泄漏用户数据最多的有雅虎、优酷和美国教育社区 Edmodo，数量分别为 20 亿、1 亿 和 7700 万。

　　这些信息流向黑市后，通常 1 条信息连 1 分钱都不值。以优酷为例，2017 年 4 月在黑市中被卖的超过 1 亿条用户信息，打包价格仅为 0.2559 个比特币，以当时的比特币市价，约合 300 美元（ 2021 元人民币）。一般黑产得手后，15 个月后才会被媒体或网站发现数据被窃。

　　对于普通用户来说，要避免数据泄漏的基本方法有两个：不要在多个网站使用同一个密码，在看到信息泄露报道后最好立刻更换密码；不要怕麻烦，使用网站提供的完整安全认证方式。