“撞库”攻击真的无药可救？

近期，网易的用户数据库疑似泄露，波及上亿网易邮箱用户，网上纷传网易遭受“撞库”攻击。

回想起最近发生的一些网友iCloud帐号被黑，绑定的iPhone手机被锁敲诈事件，被敲诈用户的共性就是都采用了网易邮箱作为iCloud帐号，其中利害，可想而知。

提到“撞库”，必然会想到“脱库”，正本需先清源，先明晰一下这两个概念：

在这一轮的网易邮箱信息泄漏事件中，先疑为“撞库”攻击，后来演变为成体系、大规模数据泄漏，“撞库”可能变成了“脱库”。

在中国有一家对于防“脱库”技术的创业公司——长亭科技，规模虽小，却曾凭借其研究的“新型 SQL 注入检测与防御引擎 SQLChop”，受邀参展2015年世界顶级安全峰会BlackHat。

网易数据泄漏事件发生后，长亭科技的联合创始人找我聊了一下这件事儿，当谈到网易遭受“撞库”攻击时，出于安全领域的职业敏感，他立刻纠正到“这绝非撞库攻击”，与乌云检测平台的“不是撞库”的判断不谋而合。

当然，是不是“撞库”攻击都不重要了，网易说他根本就没有发生数据泄漏。

在企业安全领域，如果不是平台自己内部检测或者授权第三方进行检测的话，别人是很难拿到证据证明其确实遭受攻击的，即使平台的数据和信息已经满天飞了，只要当事方咬紧牙关不松口，别人拿它也没辙。

毕竟，前几个月，支付宝也可以因为挖断了光纤而当机，造成网站奔溃和信息泄漏的原因可以有多种。

“撞库”也应负责到底

在黑客界，有一种常见的攻击方式叫做SQL攻击， SQL注入攻击在网络安全事件中占比近1/3，由此造成的数据库信息泄露被业内称之为“脱库”或者“撞库”，是互联网安全维护人员最为头疼的攻击形式之一。

头疼的原因在于，被直接攻击的是A企业，但是攻击A企业并不是最终目的所在，更多的是为了拿到B企业的账号和密码信息，最终损失惨重的还是B企业，还能形成连锁反应，导致C企业、D企业受到牵连。

按理说，泄漏账号和密码的源头不在我平台，我平台应该没什么责任吧？

答案是：NO

前面讲了这么多废话，下面直接上理由吧，虽然这样有点粗暴。

1、被撞企业，如果登陆入口验证足够安全，依旧可以避免信息泄漏，比较常用的解决策略是增加登陆入口的识别能力，纵然黑客已经通过SQL攻击拿到了登陆密码，如果能敏锐地判断前来登陆的事机器，那么就可以pass掉这一轮登陆请求，自然也避免了信息被窃取。

当然，这里也需要有一个度，如果验证信息过于复杂，也会影响用户体验，但至少在这一个环节如果做得足够好，依然可以规避被撞。

2、还有一点需要注意的是，企业应该有意识地避免与“安全级别低”的网站建立联系，针对“安全级别中等”的网站，则可以采用OAUTH协议授权登录的方式，与以往的授权方式不同， OAUTH的授权不会让第三方触及到用户的帐号信息（如用户名与密码），我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。

这里也会衍生出一个互联网安全的问题，如果授权登录使用过多，一旦单点失败会导致整个互联网受到牵连，所以需要寻找一个平衡点。

3、 当然，以上两点对于一个专业的企业安全团队而言，必然都会考虑到，但是或受限于技术条件，或需要耗去大量的人力和时间，或难以找到一个有效的平衡点，最终都没有成功防御。

但是对于用户而言，却有没有心思去关系背后的逻辑问题和技术难题，对于企业而言，去找寻到最佳的平衡点和最优的技术解决办法本是应然之责。

单论被撞企业有无责任这件事而言，被直接攻击的企业导致了密码泄露，自然要承担主要责任，但这依旧无法抹去被间接牵连企业安全策略不到位的间接责任，虽然“情有可原”之处，但却不可放任其推卸自我平台的责任，不然也不排除有企业或者组织利用其中的“责任漏洞”主动“被撞”获取他人信息，还可以逍遥于法律之外的可能性。

文｜然先生（ID:ranxiansheng123）