12月10日,根据央视新闻的官方推特,一个求职招聘类应用程序的短信验证码接口遭受了超过1300万次的攻击。警方调查显示,两名嫌疑人利用网站漏洞创建黑客软件并进行“撞库”攻击,从而获取大量个人信息和公司账号数据,并在境外出售。
此外,从央广网的相关报道中了解到,北京警方近期接到一家互联网公司的报案,称其求职招聘类应用的短信验证码接口遭受到1300余万次攻击,成功匹配注册账号达到30多万个。北京警方迅速判断这是一起黑客利用网站漏洞非法获取账号信息并用于违法活动的案件。
据犯罪嫌疑人喻某供述,他在2022年10月18日在该招聘平台注册账户,并多次尝试验证接口。他发现该网站的签名算法相对简单,于是利用这个弱点编写指令,制作黑客软件对该网站进行“撞库”攻击。
如果用户在不同的平台上使用相同的用户名和密码,就相当于给了黑客一把“万能钥匙”。只要登录成功,黑客就可以随意获取个人信息。
同时,他还利用类似的方式对其他各大网站进行渗透,并寻找网站漏洞作为诱饵向他人兜售自己编写的恶意程序、黑客工具,从中牟利。经过民警的不懈努力,专案组在四川成都成功抓获另一名嫌疑人焦某,现场查获各类公司和个人数据330余万条。
犯罪嫌疑人喻某、焦某因破坏计算机信息系统罪被依法刑事拘留,案件正在进一步审理中。
北京市公安局网安总队侦查员为用户设置密码提供了以下建议:
- 密码应避免过于简单易猜;
- 在公共设备上登录个人账号时,不要勾选“记住密码”、“默认登录”等选项,尽可能选择匿名登录;
- 使用需要填写重要账号密码的第三方应用程序或不知名应用时,要保持谨慎态度,尽量减少透露个人详细信息。