IT之家 12 月 10 日消息,据央视新闻官微,一求职招聘类 App 短信验证码接口遭遇了 1300 多万次的攻击,警方调查发现 2 名嫌犯利用网站漏洞制作黑客软件并实施“撞库”攻击,获取大量个人信息和公司账号数据在境外出售。
IT之家还从央广网相关报道获知,前段时间北京警方接到辖区内一家互联网公司报案,称该公司求职招聘类 App 的短信验证码接口遭受 1300 余万次攻击,且成功匹配注册账号 30 余万个。北京警方迅速研判,确定这是一起黑客利用网站漏洞非法获取账号信息并用于违法活动的案件。
据报道,犯罪嫌疑人喻某交代称,自己于 2022 年 10 月 18 日在该招聘平台注册账号,并数次尝试验证接口。他发现该网站的签名算法相对单一,便利用该弱点编写指令,制作黑客软件对网站进行“撞库”攻击。
用户若在不同平台使用相同用户名和密码,就相当于黑客拥有一把“万能钥匙”:只要登录成功,黑客就能随意获取个人信息了。
同时,他还利用类似方式对其他各大网站进行渗透,并伺机查询网站漏洞,以此为诱饵向他人兜售自己编写的恶意程序、黑客工具,从中牟利。经过民警不懈努力,专案组成功在四川成都将另一名嫌疑人焦某抓获,现场起获各类公司、人员数据 330 余万条。
犯罪嫌疑人喻某、焦某因破坏计算机信息系统罪被依法刑事拘留,案件正进一步办理中。
北京市公安局网安总队侦查员对用户设置密码提出如下建议:
密码避免过于简单易猜;
公共设备登录个人账号不要勾选“记住密码”“默认登录”等选项,尽可能选择匿名登录;
使用需填写重要账号密码的第三方 App 或不知名应用时,要持谨慎态度,尽量减少透露个人的详实信息。