你的牙刷被別人偷偷用了，是不是不能忍?

那你花錢買的視頻網站VIP賬號呢?有些人可能能忍，然而有些人卻不能。

央視財經頻道曝光了一則消息——你買的視頻網站會員VIP 別人也在用，里面的當事人田女士不能忍，因為她的其他網銀密碼、關鍵網站密碼都和她在視頻網站上買的VIP賬號密碼一致。

這還能忍?田女士嚇得一一修改她的其他密碼。

最詭異的是，這個視頻網站并未提示她有異常登錄或賬號異常情況，還是靠她自己在“一不小心”查看觀影記錄時發現。此時，她的觀影券都神不知鬼不覺地被別人用了!

[[173479]]

這是怎么回事?

該媒體報道指出，可能是有兩種原因：一是供應商把買來的賬號分銷，所以有些人以超低價格、甚至是免費拿到了賬號;二是賬號被不知不覺盜取了，而且是以“撞庫”形式盜取。

撞庫是什么?來科普一下。

撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

最近新聞曝光了一次撞庫是，魅族部分用戶Flyme系統賬號被鎖。魅族官方后來解釋，監控數據顯示在這段期間內，在某固定IP地址下，有人使用已經匹配好的用戶名和密碼組合頻繁在Flyme系統中嘗試登錄。官方認定此為惡意撞庫行為，是不法分子通過收集互聯網中已泄露的用戶和密碼信息嘗試登錄系統。

提到“撞庫”，干脆再來說說“拖庫”和“洗庫”。

在黑客術語里，”拖庫“是指黑客入侵有價值的網絡站點，把注冊用戶的資料數據庫全部盜走的行為，因為諧音，也經常被稱作“脫褲”，“洗庫”即對數據庫中的資源進行層層利用，這個產業鏈價值比較大的是，第一波進行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶的賬號后就會進入賬戶嘗試，如果有虛擬金錢就會轉走，或將QQ號倒賣;第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人;第三次“洗”是關聯手機號的信息，賣給轉發垃圾短信的，這樣一層層“洗”下去直到沒有價值為止。

啟明星辰安星web安全運維團隊曾制作過“拖庫—洗庫—撞庫”的示意流程圖：

看上去是不是很復雜?所以，少年，趕緊去修改密碼吧，不要所有重要密碼都設置成一樣啦!

最后，你可能有個小小的疑問，回到視頻網站的VIP賬號事件，為什么視頻網站沒有任何異常提示?央視的報道里說了：一是賬號是按照正常流程登陸，系統發覺有難度;二是視頻網站本來就希望能夠提升點擊量，缺乏動力來追蹤監控“異常的賬號分享”。

所以，自己還要長點心啊!