21亿条用户密码信息泄露 你有在其中吗？
稿源：站长之家
站长之家（<）8月28日报道，近日有媒体报道称线上票务营销平台大麦网被发现存在安全漏洞，600余万用户账户密码泄露，数据被售卖。
乌云白帽黑客起初发现有大麦网用户数据库在黑产论坛被公开售卖，于是对泄露的用户数据进行验证，发现相邻账号的用户ID也是连续的，并均可登录。因此，丛技术的角度可以初步证明本次大麦网的数据泄露有很大脱裤嫌疑（网站用户注册信息数据库被黑客窃取）。
乌云漏洞平台提交的大麦网用户数据库泄露信息
对此大麦网表示，经过技术排查和数据分析，本次乌云报告的数据库，是2014年的事件。2014年上半年，中国部分大型网站陆续出现数据库被黑客攻击的情况，大麦网在该事件中也受到牵连。目前已经通过技术手段，增加密码验证功能，用户的财务不会受到任何损失，请媒体和用户放心。此外，大麦网已陆续通知相关用户，修改密码，保证用户权益。
海量密码被盗，被拖库网站众多，用户信息随手可得
除大麦网本次的密码泄露外，其实近年来网站用户数据库被盗屡见不鲜，其中不乏天涯社区、当当网、腾讯QQ等知名网站。通过搜索引擎搜索发现有各类黑产论坛明码标价公开售卖，数量庞大，种类繁多，亦有网友收集制作的网站泄露数据库密码查询网站，通过简单的搜索，密码、邮箱、手机号等个人信息直接暴露在外，网络安全现状堪忧。
近日，站长之家编辑也从某社工库网站上看到了一份&泄露网站列表&数据清单，涉及网站数量众多，令人咋舌。编辑同时测试了自己常用的用户名，竟然发现有14个网站存在泄漏账号密码的情况，而且部分密码还是目前仍在使用的密码。
目前该社工库网站已有20.97亿条共133G密码数据，并且还在持续不断添加中。据了解，相关内容数据均已在互联网公开，可在多个社工库、论坛网盘自由下载。虽然属于N年前的旧信息，但对网络用户来说，仍有很大的&杀伤力&。
编辑不禁感慨，已经曝光的就有如此众多，没有曝光的又会有多少呢？
泄露网站列表清单 站长之家配图
2000万开房记录数据查询结果测试，查询后可以得到姓名，身份证号码，手机号等信息。
利益最大化，黑客产业链的&拖库&、&撞库&与&洗库&
根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码，一旦数据库被泄漏，所有的用户资料被公布于众，任何人都可以拿着密码去各个网站去尝试登录，对一些敏感的金融行业是致命的危害，对普通用户可能造成财产，个人隐私的损失或泄漏。
日，12306网站用户信息在互联网上疯传。对此，12306官方网站称，网上泄露的用户信息系经其他网站或渠道流出。据悉，此次泄露的用户数据不少于131,653条。该批数据基本确认为黑客通过&撞库攻击&所获得。
在黑客术语里面，&拖库&是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为，因为谐音，也经常被称作&脱裤&。在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作&洗库&。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做&撞库&，因为很多用户喜欢使用统一的用户名密码，&撞库&也可以使黑客收获颇丰。
如何保护自己的互联网帐户安全？
第一，分级管理密码，重要帐号（如常用邮箱、网上支付、聊天帐号等）单独设置密码；
第二，将常用的网站分类，大网站、小网站、重要网站、普通网站，为不同级别网站分别设置密码；
第三，将自己的常用密码分类为弱密码、中密码、强密码，不同类别网站采用不同密码；
第四，定期修改密码，可有效避免网站数据库泄露影响到自身帐号。
延伸阅读：
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页您有好的观点和精彩的文章，欢迎投稿。投稿邮箱：.cn 。
微信扫一扫，在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP（半刻金融）。
中国电子银行网官方微信
中国电子银行网手机网站
中国电子银行网官方APP
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停
13:33 09/18
17:13 09/15
16:13 07/13
10:27 07/10
周围人都在搜
科技+金融 启创银行未来
Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证号&2.&#12288;京公网安备号密码泄露致小额损失 几项措施确保支付安全
　　网上支付已经深入到用户的日常生活，但密码被盗等风险依然偶有发生。如何保障用户的账户安全，避免可能的损失。业内人士介绍，其实只要用户真正提高关注，做到以下几点，网络支付的安全是可以得到完全保障的。
　　近期，部分用户的在线支付账户由于木马钓鱼等原因，出现密码泄露的情形。盗用者采取了使用被盗账户向公益慈善机构进行小额打款的方式，以此来测试账户是否能够支付。支付宝联络公益机构表示，对此类非本人意愿的打款，将给予全额退还。网上支付已经深入到用户的日常生活，但密码被盗等风险依然偶有发生。如何保障用户的账户安全，避免可能的损失。业内人士介绍，其实只要用户真正提高关注，做到以下几点，网络支付的安全是可以得到完全保障的。
　　措施一：设置单独的、高安全级别的密码
　　跟一般的网络服务不同，网络支付账户、网银账户保管的是大家的钱袋子。因此，如果邮箱、SNS网站（如微博、人人网、开心网等）等登录名和支付宝账户名一致，务必保证密码不同。
　　支付宝的密码最好同时包含数字、字母、符号，尽量避免用生日、身份证号、手机号等易于破解的数字作为密码。另外，支付宝的登录密码和支付密码务必设置成不同的密码，形成“双保险”。总之，不要把鸡蛋放在同一个篮子里，更不要用一个简单的密码保护你所有的账户。
　　措施二：不要点击不明链接安装不明文件
　　这次用户遭遇密码泄露，木马钓鱼是重要的原因。目前木马钓鱼是网民面临的最大安全风险。上网过程中不要下载安装不明文件，特别是不要在不知名的小网站随意下载。网络购物过程中，要按照所在购物网站的正规购物流程进行购买，不要轻易点击卖家发送到不明链接进行购买和支付。这样钓鱼和木马就没有可趁之机。
　　措施三：使用数字证书、宝令、支付盾等安全产品
　　安装了能够提升账户安全等级的数字证书、支付盾、宝令等安全产品之后，即使密码被盗，盗用者在没有证书、支付盾或宝令的情况下也无法操作资金，用户从而避免了资金损失。
　　支付宝的数字证书是免费的，在不同电脑上，通过手机校验码的方式重新安装或删除也很方便，建议用户务必安装。
　　卖家或者日常消费频率很高的用户可以考虑选择支付盾、宝令等安全产品，安全性和便捷性都更高。
　　措施四：绑定手机，使用手机动态口令
　　支付宝等网络支付账户都支持绑定手机并支持设定手机动态口令。用户可以设定当单笔支付额度或者每日支付累计额度超过一定金额时就需要进行手机动态口令校验，从而增强资金的安全性。
　　措施五：使用支付宝快捷支付，享受全额赔付保障
　　今年以来，支付宝推出快捷支付，除了使用便捷外，还提供安全保障。目前，通过第三方支付平台跳转到网银页面的中间步骤进行木马钓鱼作案，是盗用者惯用的手段。快捷支付省去跳转环节，有效封杀钓鱼者欺诈的空间。
　　支付宝承诺用户因使用快捷支付发生资金损失的，支付宝将在接到问题反映后的72小时内给予全额赔付。账户内少留或者不留余额，尽量通过支付宝快捷支付付款，这是保障网上支付安全的最简单窍门。
(责任编辑：姜涛)
11-10-31·
11-10-28·
11-10-23·
11-10-22·
11-10-21·
11-10-21·
11-10-14·
11-10-12·
09-10-29·
09-12-12·
网友点击排行
网友评论排行
高清影视剧
4寸iPhone SE发布 售价3288元起中国首发
移动新发现
近期热点关注新闻热线5广告热线5
您当前的位置 ：&&&&正文
动态密码泄露 骗子盗刷2万
法院：银行未将信用卡开通电子支付功能的流程告知原告，应为“盗刷”担责20%
【字体：&nbsp &nbsp 】&& &&来源：中国江西网-新法制报&&编辑：兆明&&作者：
　　□案 例　　蒋女士是某银行的银行卡用户。3月23日10时17分，她接到自称为银行客服的电话，称可以帮她提高信用额度。但“银行客服”称调高额度需要刷积分，查询之下，发现蒋女士积分不够，于是要求蒋女士提供动态密码。蒋女士不疑有他，按照客服提示将手机上收到的动态密码告知客服。一连三天，“银行客服”都致电蒋女士调整信用额度，但都需出示动态密码。　　3天后，蒋女士感觉事情有点不对劲，于是查询了银行卡，发现卡中2万多元不翼而飞。惊慌之下，蒋女士来到派出所报案。警方发现该银行卡已通过网银转账被第三人盗刷，总金额为22896元。蒋女士认为自己没有进行过网银交易，是银行擅自开通了网上支付功能，她将银行告上法庭，要求银行赔偿损失。　　银行方面却认为已尽到告知义务。因为银行在《信用卡申请表》中“重要提示”已经载明：“信用卡具有电子支付功能。电子支付包含网银支付、协议支付、手机支付、快捷支付、银联在线支付等支付类型。持卡人通过物理网点、电子渠道或在首笔交易发生前开通电子支付功能的，银行将依照监管要求验证持卡人身份、卡片信息等，持卡人同意并授权银行为交易安全之目的采取以上行为。”而开通网上支付需要输入身份证信息、卡号后三位及动态码。“从安全性来说，手机动态码安全性高于交易密码，是惟一性。”银行方面认为，在蒋女士交易时，银行发送的是动态码，其上面提示不要泄露动态码，蒋女士没有自我保护意识，应当由其自身承担。而开通网银支付需要输入客户信息及验证码等，这些功能是蒋女士将信息提供给骗子造成的。　　□说 法　　法院审理认为，信用卡虽然具有网络支付功能，但仍需持卡人通过特定的渠道和方式进行开通，且银行也应依约需要，验证审核持卡人的相关信息。本案中，蒋女士虽然主张其未申请开通电子支付功能，但是结合系争快捷交易方式和银行针对系争快捷支付的交易方式提供的“网上支付免签约”服务，银行通过同一个动态密码对首次交易和开通电子支付功能进行了同时验证，蒋女士将动态密码泄露给第三人，明显自身存在过错，而银行的违约也是存在的。　　法院注意到，双方争议的服务项目为“手机及网上渠道便民快捷服务”，从名称来看，服务项目并未明确与网上交易有关，且系争交易分别发生在日、日、日，而被告短信通知蒋女士开通该项服务的时间是在日。　　据了解，银行在发送每一条动态密码短信的过程中，也同时告知持卡人“任何人索取动态密码均为诈骗，切勿泄露”，蒋女士对于银行连续3天所发送的24条短信中的风险提示不予关注，并将相关动态验证码悉数告知第三人，未谨慎保管个人信息，存在重大疏忽与过错。银行在每一笔交易完成后，均及时向蒋女士手机发送了相应的消费信息，将交易结果以短信方式通知原告，蒋女士未尽到普通民众应有的谨慎注意义务。　　鉴于蒋女士在快捷交易发生过程中未能审慎保管个人信息的义务，过于轻信第三人，并将扣款所必须的动态密码泄露给第三人，导致交易最终完成，应当承担主要责任；银行违约行为则体现在未将涉案信用卡开通电子支付功能的流程告知蒋女士，且签约验证过程过于简单，过分追求交易的效率而忽视了交易的安全特性，应当承担次要责任。最终法院按照双方过错程度，酌情认定银行承担20%的责任，即4579.2元。（陈颖婷）
*** 中国江西网推荐内容 ***
中国江西网版权与免责声明
<font color="#、凡本网注明“中国江西网讯”或“中国江西网”、“大江网”的所有作品，版权均属于中国江西网，未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的，应在授权范围内使用，并注明“来源：中国江西网”。违反上述声明者，本网将追究其相关法律责任。
<font color="#、凡本网注明“中国江西网讯[XXX报]”或“中国江西网-XXX报”的所有作品，版权均属于江西日报社，未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的，应在授权范围内使用，并注明“来源：中国江西网?XXX报”。违反上述声明者，本网将追究其相关法律责任。
<font color="#、凡本网注明“来源：XXX（非中国江西网）”的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务，不授权任何机构、媒体、网站或个人从本网转载、截取、复制和使用。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。
<font color="#、如因作品内容、版权和其它问题需要同本网联系的，请在30日内进行。
※联系方式：中国江西网　电话：2
增值电信业务经营许可证编号：赣B2--&&备案号： 药品信息服务证
文网文[2　新出网证（赣）字05号　络视听许可证1406143号 新网
江西日报社版权所有，未经允许不得复制或镜像}