今天小編分享的科技經驗:招聘App短信驗證碼接口遭1300多萬次黑客攻擊,致300萬條數據洩露,歡迎閱讀。
IT 之家 12 月 10 日消息,據央視新聞官微,一求職招聘類 App 短信驗證碼接口遭遇了 1300 多萬次的攻擊,警方調查發現 2 名嫌犯利用網站漏洞制作黑客軟體并實施 " 撞庫 " 攻擊,獲取大量個人信息和公司賬号數據在境外出售。
IT 之家還從官方相關報道獲知,前段時間北京警方接到轄區内一家互聯網公司報案,稱該公司求職招聘類 App 的短信驗證碼接口遭受 1300 餘萬次攻擊,且成功匹配注冊賬号 30 餘萬個。北京警方迅速研判,确定這是一起黑客利用網站漏洞非法獲取賬号信息并用于違法活動的案件。
據報道,犯罪嫌疑人喻某交代稱,自己于 2022 年 10 月 18 日在該招聘平台注冊賬号,并數次嘗試驗證接口。他發現該網站的籤名算法相對單一,便利用該弱點編寫指令,制作黑客軟體對網站進行 " 撞庫 " 攻擊。
用戶若在不同平台使用相同用戶名和密碼,就相當于黑客擁有一把 " 萬能鑰匙 ":只要登錄成功,黑客就能随意獲取個人信息了。
同時,他還利用類似方式對其他各大網站進行滲透,并伺機查詢網站漏洞,以此為誘餌向他人兜售自己編寫的惡意程式、黑客工具,從中牟利。經過民警不懈努力,專案組成功在四川成都将另一名嫌疑人焦某抓獲,現場起獲各類公司、人員數據 330 餘萬條。
犯罪嫌疑人喻某、焦某因破壞計算機信息系統罪被依法刑事拘留,案件正進一步辦理中。
北京市公安局網安總隊偵查員對用戶設定密碼提出如下建議:
密碼避免過于簡單易猜;
公共設備登錄個人賬号不要勾選 " 記住密碼 "" 默認登錄 " 等選項,盡可能選擇匿名登錄;
使用需填寫重要賬号密碼的第三方 App 或不知名應用時,要持謹慎态度,盡量減少透露個人的詳實信息。
