【K哥爬虫普法】北京某公司惨遭黑客攻击13000000余次，连夜报警……

我国目前并未出台专门针对网络爬虫技术的法律规范，但在司法实践中，相关判决已屡见不鲜，K 哥特设了“K哥爬虫普法”专栏，本栏目通过对真实案例的分析，旨在提高广大爬虫工程师的法律意识，知晓如何合法合规利用爬虫技术，警钟长鸣，做一个守法、护法、有原则的技术人员。

案情介绍

“我啥也妹干呐，那家伙上来就给我哐哐哐撞了一千三百万下警察同志，您一定要给我主持公道，不法分子必须严惩！”

——帝都某公司在警局里如是哭诉到

大家好，我是K哥！

今天给大家讲一个关于数据泄露的故事，故事很新，就发生在不久前。

事情是这样的，前阵子北京的警察叔叔们接到了自己辖区里边一家公司的报案，互联网公司，做招聘平台的。

该公司称自家 App 的短信验证码接口遭受了1300 余万次恶意攻击，而且被成功匹配了30 余万个注册账号。

（这意味着30多万份的求职者信息遭到泄露）

接警之后，警察叔叔们迅速受理，并定性了这是一起黑客违法案件。

本案男一号喻某，2022 年 10 月 18 日的时候在该招聘平台注册账号，并多次尝试了验证接口，当时他就寻思，这个网站的签名算法比较单一，不复杂。

而喻某是懂这个的，刚好这兄弟手上又有点儿技术，就动了歪脑筋，针对这个网站的弱点写了套程序，专门用来撞人家库。

这里给小白同学解释一下”撞库“：

通俗一点讲，“撞库”就是黑客通过收集互联网上用户的账号和密码信息，生成对应的字典表，再尝试批量登录其他网站。以“撞运气”的形式“试”出可登录的用户名、密码。

-使用Python就可以轻松写出撞库攻击脚本，实现自动批量验证账户，技术门槛不高。

-撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击的成本很低。
-恰恰是这种比较笨的方式，让很多网站都防不胜防。

有兄弟就要问了：K哥K哥，黑客是怎么拿到这些账号密码的呀？？

要知道，现如今的信息泄露情况是很严重的，私人信息数据的贩卖，在*网论坛早就有了成熟的灰色产业链，既然都当黑客了，自然有渠道能搞到。

至于怎么泄露出去的，花样就太多了，随便给大家列举几个场景：

在公共网络环境下输入了自己的账号密码，例如去网吧上网，而计算机里本身就有病毒程序，那你的账号自然就泄露了。
以前注册的一些网站，一是数据库本身有泄露风险，二是很多网站倒闭跑路时直接把用户信息打包卖了。
网传某输入法，在用户输入账号密码时，会自动记录并上传，至于做什么用，大家可以想一想。

……

而妙就妙在，很多人的账号密码是N年不换的，且多个平台通用一套账号密码，顶多调整下大小写。

因此黑客可以通过获取用户在A网站的账户去而尝试登录B网址，这就可以理解为撞库攻击。

(图片来源：央视网视频截图）

而撞库成功之后，还有对应的“拖库”和“洗库”。

“拖库”是指黑客入撞库成功过后，把注册用户的资料数据库全部导（dao）出（qie）的行为，因为谐音，也称作“脱裤”。

（之前360为了奖励提交漏洞的白帽子兄弟，专门搞了个“裤带计划”，名字出处就在这儿）

但拿到数据不是目的，赚米才是目的，那么黑客在拿到大量的用户数据之后，通过一些非法渠道将数据售卖变现，就叫做“洗库”。

撞库→拖库→洗库

(图片来源：百度百科）

法网恢恢

说回案件本身，本案男一号喻某通过黑客手段以及自己制作的黑客程序，恶意攻击了该求职招聘平台的 App 短信验证码接口，在该公司报警后不久便在成都被抓获。

（据喻某招供，他还利用类似方式对其他各大网站进行渗透，并伺机查询网站漏洞，以此为诱饵向他人兜售自己编写的恶意程序、黑客工具，从中牟利。）

另有一枚倒霉蛋，男二号焦某也于成都被警方逮捕，现场起获各类公司、人员数据 330 余万条。

（据焦某招供，自己花3000块钱买了喻某的黑客程序，用于撞库攻击其他网，而且还通过非法渠道在境外网站出售牟利。）

抓捕过程K哥没有找到什么详细报道，但估计警方也没遇到什么阻力，敲门，外卖，按住！一气呵成！

毕竟只是黑客，不是凤凰战士，网络重拳出击，现实一推就倒。

（以上猜测基于K哥平时看警匪片的个人爱好，并非经验之谈，请广大读者朋友切勿妄自对K哥进行揣摩）

目前犯罪嫌疑人喻某、焦某因破坏计算机信息系统罪被依法刑事拘留，案件正进一步办理中！

这俩哥们儿的牢饭是免不了了，估计还不会轻判，毕竟情节比较恶劣，涉及到300万条国内公民和公司的信息，而且还向境外倒卖！K哥只能说是咎由自取，抓得好！

以案为鉴

北京市公安局网安总队侦查员对用户设置密码提出如下建议：

密码避免过于简单易猜；
公共设备登录个人账号不要勾选“记住密码”“默认登录”等选项，尽可能选择匿名登录；
使用需填写重要账号密码的第三方 App 或不知名应用时，要持谨慎态度，尽量减少透露个人的详实信息。

NordPass发布了2023年全球使用最多的密码榜单。像什么123456789；qwerty；asd123456都是国内很多人在用的。

如果你也是其中之一，K哥这边给出专家建议，能改就改哈。

(图片来源：NordPass）

K言K语

最后再说点儿题外话，很多人对爬虫有误解，特别是一些对行业一知半解的人，认为爬虫就是一种黑客技术，但K哥必须再次为咱们爬虫工程师正名，爬虫er≠黑客。

爬虫技术的诞生是为了高效的获取一些公开的信息，提高工作效率，而不是去入侵，攻击人家的服务器。

只不过掌握了爬虫技术的人，确实离黑灰产很近，但技术无罪，有罪的是人，一念天堂一念地狱。

最后K哥提醒大家要对数据，对法律有敬畏之心，不该碰的信息坚决不碰，不该接的业务千万别接！

更多爬虫相关文章，公众号搜索关注——K哥爬虫