黑客非法獲取大量的用戶名及對應(yīng)密碼后，利用程序逐一嘗試登錄其他網(wǎng)站。由于很多網(wǎng)民在不同的網(wǎng)站、論壇、電子信箱注冊時使用的用戶名和密碼完全相同，黑客成功登錄有一定的概率。

　　這種利用網(wǎng)民上網(wǎng)習(xí)慣竊取信息的方式，叫“撞庫”。法晚記者(微信公號：fzwb_52165216)日前從上海市浦東新區(qū)法院獲悉，該院日前審結(jié)的一起案件，被告人馬某某正是通過“撞庫”的方式非法獲取了1號店的用戶名和密碼信息638組，后被法院以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪判刑半年。

　　黑客竊取1號店客戶信息被判

　　2015年6月15日，上海市浦東新區(qū)檢察院以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪對馬某某提起公訴。

　　檢察院指控，2014年，馬某某購進大量郵箱用戶名和密碼信息后，又購買了“1號店.exe”程序。

　　該程序可以批量導(dǎo)入用戶名及密碼，并使用導(dǎo)入的用戶名密碼對1號店網(wǎng)站進行批量查詢、檢測。

　　2014年11月，馬某某對上海益實多電子商務(wù)有限公司下屬1號店網(wǎng)站實施“撞庫”行為，共非法獲取1號店網(wǎng)站客戶用戶名密碼信息638組。

　　2015年1月29日，馬某某被公安機關(guān)抓獲，到案后如實供述了犯罪事實。

　　浦東新區(qū)法院審理后認(rèn)為，馬某某違反國家規(guī)定，采用技術(shù)手段獲取計算機信息系統(tǒng)中存儲的數(shù)據(jù)，情節(jié)嚴(yán)重，其行為已構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。鑒于馬某某到案后能如實供述自己的罪行，依法從輕處罰。

　　2015年6月24日，浦東新區(qū)法院以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪判處馬某某有期徒刑6個月，罰金人民幣2000元，涉案電腦硬盤予以沒收。

　　通過“撞庫”作案 有一定成功概率

　　在北京經(jīng)營計算機安全公司的白先生告訴《法制晚報》記者(微信公號：fzwb_52165216)，撞庫是指黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量用收集來的這些用戶名和密碼，去登錄其他網(wǎng)站，得到一系列可以登錄的用戶名。

　　“打個比方，黑客通過非法手段獲取或購買了某個消費者在當(dāng)當(dāng)網(wǎng)的用戶名和密碼后，他用這個用戶名和密碼，嘗試著登錄亞馬遜、京東商城、淘寶……因為很多網(wǎng)購消費者在不同的電商網(wǎng)站上設(shè)定的用戶名和密碼都是相同的，因此有一定的成功登錄的概率。撞庫，顧名思義，有撞大運的成分。”他介紹說。

　　他表示，撞庫的前提，是黑客提前獲得大量的用戶名和密碼，有的是自己買來的，有的是自己“黑”到別的網(wǎng)站上獲取的，這個過程叫“拖庫”。一般來說，黑客會“黑”進某個含有巨大價值的網(wǎng)站，把網(wǎng)站的數(shù)據(jù)全部盜走，然后分檢出有用信息。

　　 網(wǎng)購達人易遭到四渠道攻擊

　　2014年12月底，鐵路購票網(wǎng)站12306的大量用戶賬號、明文密碼、身份證等敏感信息泄露，有人在網(wǎng)上公開售賣，涉及用戶約14萬個。

　　有網(wǎng)絡(luò)安全人員搜索以往互聯(lián)網(wǎng)上的數(shù)據(jù)進行了匹配，基本可以確認(rèn)該批數(shù)據(jù)是通過“撞庫”獲得。

　　今年年初，消費者組建“京東盜刷維權(quán)”QQ群，稱下單后接到騙子電話，每人的被騙金額從數(shù)千元到數(shù)萬元不等。

　　2015年3月14日，京東商城表示，發(fā)生用戶信息泄露的原因，是部分保護用戶信息安全意識較為薄弱的網(wǎng)站可能存在批量泄露用戶信息的情況，被不法分子獲取后，使用撞庫的方式獲取京東商城的用戶信息，進而冒充客服人員詐騙。

　　據(jù)澎湃新聞報道，2015年8月25日，多人稱電商網(wǎng)站唯品會泄露了他們的賬戶信息，有人自稱“唯品會客服人員”實施電話詐騙。

　　目前反映接到此類詐騙電話的唯品會消費者已有20余人，遍布全國10多個省市，其中個人被騙金額最高4萬多元。

　　2015年8月21日，唯品會官方稱，其一直嚴(yán)格對客戶信息進行加密保護，“可能是黑客利用‘撞庫’技術(shù)盜取了消費者的賬戶信息?！?/p>

　　百度安全中心曾表示，黑客千方百計獲取用戶信息的唯一目的無非是為獲利。目前，黑客在獲得用戶信息后，一般會通過以下幾種途徑來迅速獲利。

　　一是售賣用戶賬號中的虛擬貨幣、游戲賬號、裝備等變現(xiàn)，也就是俗稱的“盜號”。

　　二是獲取金融類賬號，比如：支付寶、網(wǎng)銀、信用卡、股票的賬號和密碼等，用來進行金融犯罪和詐騙。

　　三是對于一些比較特殊的用戶信息，如：學(xué)生、打工者、老板等，則會通過發(fā)送廣告、垃圾短信、電商營銷等方式變相獲利。

　　四是將有價值的用戶信息直接出售給第三方，如網(wǎng)店經(jīng)營者和廣告投放公司等。

　　解密“撞庫”

　　1 “黑”來基礎(chǔ)數(shù)據(jù) 拖庫

　　黑客到一些網(wǎng)站、論壇上搜尋目標(biāo)，竊取客戶的用戶名、密碼、身份證號等信息。

　　2 對數(shù)據(jù)進行分類 洗庫

　　黑客將上述數(shù)據(jù)庫信息進行分類，大致分為：金融賬戶、游戲賬戶、個人真實信息三類，有的黑客將這三類信息進行售賣獲取現(xiàn)金收益，有的則繼續(xù)進行下一步“撞庫”。

　　3 試探性登錄其他網(wǎng)站 撞庫

　　黑客通過技術(shù)手段將已經(jīng)獲取的個人信息拿到其他網(wǎng)站進行試探性登錄——得到更多個人信息，再次進行售賣，為他人進行金融詐騙提供條件。

　　網(wǎng)購提醒 不同網(wǎng)站上 多換用戶名和密碼

　　在北京經(jīng)營計算機安全公司的白先生表示，黑客會“撞庫”成功，是因為很多網(wǎng)民使用的用戶名和密碼過于單一。

　　“如果某個網(wǎng)民平時在大量的網(wǎng)站、論壇、電子郵箱都注冊了信息，但注冊的用戶名密碼都是同一個，那么，他被‘撞庫’成功的概率就非常大。”白先生說。

　　白先生提醒電商購物者，在不同的電商網(wǎng)站注冊，最好設(shè)定不同的用戶名或密碼，且密碼不能過短。在保存密碼時，也不要將所有網(wǎng)站的用戶名密碼都存在電腦里，防止電腦被遠程控制后，泄露全部的信息。另外，白先生建議，最好養(yǎng)成定期修改密碼的習(xí)慣。

　　“在黑客面前，大部分網(wǎng)民的IT知識顯得太貧乏，這就需要網(wǎng)站承擔(dān)起減少網(wǎng)絡(luò)安全風(fēng)險的責(zé)任。”白先生說，網(wǎng)站從建設(shè)上應(yīng)采用更先進的安全技術(shù)，增加保護手段，比如使用動態(tài)密碼、圖片驗證等，來確保用戶信息安全。

　　發(fā)生“撞庫”侵權(quán)責(zé)任如何確定

　　北京京師律師事務(wù)所合伙人王曉營告訴《法制晚報》記者(微信公號：fzwb_52165216)，全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》后，網(wǎng)絡(luò)個人信息保護有了法律依據(jù)。新《消費者權(quán)益保護法》也增加了保護消費者個人信息的規(guī)定。

　　王曉營說，泄露個人信息也是侵權(quán)，關(guān)鍵是要確定責(zé)任誰來擔(dān)。她說，如果是從網(wǎng)站泄露了個人信息，要區(qū)分故意泄露還是過失泄露。

　　若是過失泄露，則采用過錯推定原則。“也就是說，首先推定網(wǎng)站存在過錯，由網(wǎng)站來舉證，證明自己已經(jīng)盡到安全保護責(zé)任?！彼f。

　　還有最后一種情況是網(wǎng)站對泄露事件不知情，屬于不可抗力的事件，但網(wǎng)站要證明自己盡到了安全義務(wù)。