探访中国黑客圈：攻击网游牟利 捞金后洗白(3)

　　公共WiFi个人信息泄露

　　网络安全意识薄弱

　　今年4月9日，一个名为Heart bleed(意为“心脏出血”)的重大安全漏洞被曝光，一位安全行业人士在知乎网站上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　陈三堰直言，这些数据的曝光不过是黑客们掌握的“社工库”(每次入侵得手的数据集聚起来形成的大数据库)的冰山一角。更大的危机在于，六成以上网站可能都存在漏洞，你根本无法知道黑客们到底掌握了多少大数据库。

　　在PW看来，黑客遵循的原则就是“悄悄地进村，打枪的不要”。在抓住漏洞，进入后门，获得敏感信息后，一定会注意隐藏行踪不被发现。

　　“敏感信息一般掌握在顶尖的人手里，20%的黑客掌握了绝大多数社工库信息，有些黑客进入了一些经济利用价值高的网站，可能还会把补丁补上，避免其他黑客获得敏感信息。他们有时也会互相交换，但很少会公布出来，所以很多敏感漏洞被发现时，可能已存在一两年，很多黑客早已利用这些信息获利，因此网络警察追凶也并不容易。”

　　1999年就进入黑客领域的陈三堰是知名黑客网站“第八军团”的领军人，2004年，他转型进入网络安全领域，开创了网络安全维护的易城信息技术，继续以白帽黑客的身份与黑客们斗智斗勇。“2011年，我当时在一个黑客圈子里就看到一个社工库，当时这个压缩文件已经有40G大小，积累到近几天估计已成倍增长。随着云技术的普及，这种大数据库泄露的安全形势将会越来越严峻。”

　　“有了这些社工库，要破解人们的密码易如反掌。”PW以QQ密码为例，只要你在社工库内输入QQ号，就可以直接查到这个号码是否曾经泄露过，如果有，获取密码就非常简单。

　　电子支付平台实际漏洞也非常多，PW最近曾帮一家电子支付平台查找漏洞，随便查一下就有4个漏洞，“国内很多公司在开发软件平台的时候还没有什么安全意识，大部分网络平台都有漏洞，而这些漏洞造成的信息泄露都会被社工库收录，掌握社工库的人如果愿意，可以直接获取所有用户的信息，可以改变支付账号，让用户把买彩票的钱直接打到他们的账户上，甚至可以不花钱下订单。这对顶尖黑客来说，完全不是难事，做与不做全凭良心。”

　　来源：大洋网-广州日报