去年“拖库”，今年“撞库”，大麦网数据泄露给用户带来哪些警示？

近日，因大麦网数据泄漏，用户个人信息被窃取，间接导致全国多地 39 名用户受骗，损失金额达 147.42 万元，单人受骗金额最高近 10 万元。

不法分子利用用户信息进行诈骗的基本流程 如图：

###数据泄漏如何发生

可以看出，利用个人信息（身份证号、电话号码等）打消用户疑虑，是最为关键的一步。大麦网发布声明，称用户信息泄露系不法分子使用“撞库”方法所致。那什么是撞库呢？

撞库 是指黑客攻击网站，获取用户隐私信息的一种技术手段。黑客通过收集互联网已泄露的信息，利用用户相同的注册习惯，比如相同的用户名和密码，尝试登录其他的网站，一旦登录成功便可以十分方便地获取用户个人信息。

举个例子，如果我知道你的 QQ 密码，然后用这个密码去你可能注册过的别的网站尝试登录，假如你恰巧是一个习惯使用相同密码登录多个网站账号的用户，那么很不幸，你的账号遭遇撞库的风险的可能性就大大提高了。

无独有偶，去年 8 月大麦网也曾陷入用户数据外泄事件，遭遇了“拖库”，涉及 600 万用户数据在网上被公开叫卖。

拖库 又叫“脱裤”，简单地说就是网站服务器被黑客拿走了数据库权限。从数据库中导出的用户名及密码等信息，往往会被不法分子利用。

而遭遇拖库的公司也不胜枚举， 2015 年初 12306 疑似遭到拖库，泄露数十万用户数据； 2016 年 5 月，全球最大的职业社交网站 Linkdein 1.65 亿用户信息被挂牌出售。

拖库、撞库，这两者往往相互关联，举个例子，如果黑客“拖库”小米，拿到数据库权限，黑客除了得到了被拖库网站的用户信息情况，他还可以利用小米数据库中的信息，去撞库其它网站，以获得更多的信息。由此产生的连锁反应，所造成的信息泄漏，可能会给用户带来难以估量的损失。

互联网数据泄漏的渠道还有很多

某些安全措施薄弱的网站，容易被黑客用 SQL 注入等手段获得数据库信息；黑客会通过钓鱼网站的木马链接来诱导用户点击操作，获取用户信息。而这些从各种非法渠道被收集来的用户信息，包括用户名和密码，以及电话号码等等，有人会专门将整理成一份文件，这份文件通常被称为“字典”或者“社工库”。

字典&社工库 运用非技术攻克方式采集大数据，所得到的有关个人社会关系、手机号码、行为记录、常用密码等一系列结构化的数据库。

即使不是技术过硬的黑客，利用“字典”上的账号和密码等信息，并使用恶意软件进行批量登录尝试，也极有可能撞库成功，获得该账号用户的相关信息，进而利用这些信息实施犯罪活动等。

###用户如何降低被盗号风险

窃取用户信息成本的低廉及手段的多样，让用户账户安全岌岌可危。有什么好的办法，可以降低用户被盗号风险呢？

一方面，对于已经爆出信息泄露的网站，第一时间更改在该网站设置的密码等信息，定期更新账户密码。对于某些重要账号，开启双因素验证（如 QQ 邮箱启动密码验证之后，还需要手机扫描二维码才能登录）

另一方面，养成良好的密码使用习惯，避免使用单一的数字或字母组成的弱口令密码；避免使用和自己身份信息相关的内容作为密码，例如生日，姓名拼音等等；避免将工作账号和个人账号的密码相关联，以免在个人信息泄漏时，造成更大损失。

虽然设置种类繁多的复杂密码，可能又会为你在使用的过程中带来新的问题，比如自己记不住或者混淆了密码，但这的确是降低遭遇撞库风险最直接的方法。