谁动了我的网盘？

近日，北京市海淀区公安局网络安全保卫大队对外透露，已侦破了百度网盘账户撞库刑事案件。在百度安全事业部的溯源反制技术协助下，警方在不到一个月时间内就抓捕两名嫌疑人。目前嫌疑人已经交代通过QQ群、淘宝等产业链实现百度网盘账号盗取、售卖的犯罪事实。

不过，撞库安全事故并非百度网盘独一家。经过搜索可以看到，进入2016年下半年，撞库安全事故已经呈现高发状态，腾讯、CSDN、网易邮箱、世纪佳缘等大型社交网站／厂商纷纷中枪。记者了解到，撞库等用户大数据盗取黑产目前月已经形成了相当成熟的产业链，从上游数据信息盗取“拖库”“扫号”，到下游撞库，犯罪手法愈发高明。

首先，在盗取产业链的中上游环节，一群黑客专门入侵网站取得大量用户数据，也叫做“拖库”；而另一部分黑客则负责“洗库”，就是通过技术手段将有价值的用户数据归纳分析，售卖变现，其中一方买家就是下游“撞库”黑客。

撞库就是，黑客将买来的信息利用“撞库”技术，攻击受害者其他目标数据库，并尝试获取更有价值的数据库密码，从中牟利。也就是说，在黑客攻不破B网站的情况下，只需要攻破安全性差的A网站，然后用账号来推测获取B网站账户密码，因为很多用户在不同网站使用的是相同的账号密码。

以百度网盘为例，嫌疑人胡某先后以网络购买、朋友赠送的方式获得2500万条“个性数据”，也就是A网站的账户和密码，将这些数据通过马某嫌疑人出售的撞库软件进行批量撞库，核对出50余万条正确的百度网盘账号和密码。最终，通过淘宝网售卖和从另一网友处售卖获得分成总共获利5万余元。

而这种犯罪成本往往门槛很低，犯罪团伙能够屡次得手的最主要原因还是用户在设置个人账户信息时并没有提高密码复杂性而导致容易撞库成功。

不过，在撞库等黑产面前，百度等为代表的安全厂商也在不断提升技术来与公安部门协同作战，打击罪犯，并针对黑产大数据监测，与passport推出针对黑产的威胁情报大数据平台，采用复合机器学习技术，可以实时检测风险，溯源黑产，保护业务安全。令人印象深刻的是，在此次网盘账户信息泄漏案件侦破中，百度安全就输出溯源反制解决方案协助警方破案。

1.黑产风险实时检测：就在7月初黑客实施撞库行为时，百度安全实验室监测到针对百度账号体系发起的大量撞库攻击，第一时间配合产品线上线了拦截策略，阻止了威胁进一步扩大，针对前期被攻击账号，及时增加多因素认证，拦截单一密码登陆，并通知用户修改密码。

2.溯源反制：通过对攻击流量分析，确定了武汉、安徽、北京等多地区的恶意IP，法务部刑事打击组将分析结果及时上报北京市海淀区公安局网络安全保卫大队。