迅雷被曝“拖库”全过程曝光：用户密码、下载记录外泄

3月14日晚间，有微博用户称“迅雷的库被拖了”。对此迅雷高度重视，第一时间在后台进行了多轮验证和排查。调查显示，没有任何证据显示迅雷存在帐号敏感数据被盗。

迅雷声称，该微博用户系对迅雷的恶意造谣，已损害迅雷的名誉权。我们将收集相关证据，并保留进一步采取法律措施的权利。迅雷一直尊重用户隐私，重视用户数据安全。我们将继续致力于保证用户体验和数据安全的统一，感谢各位朋友的关注和支持。

根据公开资料，截至2016年年底，迅雷会员数量在500万人左右，而根据最新财报，迅雷会员平均每人每季度贡献已达30.1元。

所谓拖库，本来是数据库领域的术语，指从数据库中导出数据，而在黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。

与拖库类似的还有撞库，指黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

近几年，国内已经发生多次拖库、撞库事件，尤其是2015年，网易邮箱被传遭遇破解，大量用户密码流失。

从2015年10月17日开始，便有不少微博用户发文爆料网易邮箱被暴力破解，绑定网易邮箱的Apple ID被锁，微博、支付宝、百度云盘、游戏等账号受到影响。

10月19日，某漏洞报告平台有白帽子“路人甲”发布了《网易163/126邮箱过亿数据泄密》，报告称网易163/126邮箱的用户数据库疑似泄露，影响数量总共近5亿条，泄露信息包括用户名、MD5密码、密码提示问题/答案（hash）、注册IP、生日等。

然而，网易官方的说法却和网友大相径庭。网易邮箱团队却在微博发布官方声明，表示邮箱被暴力破解属于网络谣传，“网易邮箱数据库不存在被攻击和泄露的情况，黑客获得部分用户在其他网站与网易邮箱同名的账号和密码，并以此账号密码尝试在其他网站登录，并非网易邮箱数据库泄露。”称网易邮箱不存在自身数据泄露问题，此系“撞库”所致。

国家互联网应急中心后来通报证实，确有网易邮箱数据遭泄露，泄露的数据中包括一个邮箱账号、邮箱密码的MD5、密保问题以及密保答案的MD5。

根据2011年12月21日媒体报道，多家互联网站被黑客公开用户数据库，超过5000万个用户帐号和密码在网上流传。某专业网站数据库开始在网上被疯狂转发，包括600余万个明文的注册邮箱和密码泄露，大批受影响用户为此连夜修改密码。此后，178游戏网等5家网站用户数据库又相继公开，更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”，从而将2011年末的密码危机推向高峰。

2011年12月21日，有黑客在网上公开提供CSDN网站用户数据库下载后，包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载。之前这类数据库通过网络地下交易，这些黑客可以取得收益。但由于很多用户的用户名及密码在各网站几乎一样，有黑客将某网站数据库放出后，其他黑客手里的数据库就没有价值。有些黑客出于各种目的，会放出其它网站的数据库，由此引发连锁效应。

网站不可能100%安全，对于有技术能力的人，登陆相关网站时，密码并不是唯一的。但是在有黑客放出网站的用户数据库信息后，没有技术能力的人，可能会对网站及其他用户产生很大的破坏性。同时，由于很多用户的用户名和密码大多一致，有可能会被这些人来刷其它网站的库，产生的影响会更大。如果要改变这个局势，网站需要强制所有用户更换他们的密码，并且采取独特的加密方式，以避免用户信息再次被泄露。

根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码，一旦数据库被泄漏，所有的用户资料被公布于众，任何人都可以拿着密码去各个网站去尝试登录，对一些敏感的金融行业是致命的危害，对普通用户可能造成财产，个人隐私的损失或泄漏。我们就通过了解“拖库”的步骤来讲解如何防止拖库。

1.“拖库”的通常步骤

第一：黑客对目标网站进行扫描，查找其存在的漏洞，常见漏洞包括SQL注入、文件上传漏洞等。

第二：通过该漏洞在网站服务器上建立“后门(webshell)”，通过该后门获取服务器操作系统的权限。

第三：利用系统权限直接下载备份数据库，或查找数据库链接，将其导出到本地。

2.如何防止拖库

第一：分级管理密码，重要帐号（如常用邮箱、网上支付、聊天帐号等）单独设置密码。

第二：定期修改密码，可有效避免网站数据库泄露影响到自身帐号。

第三：工作邮箱不用于注册网络帐号，以免密码泄露后危及企业信息安全。

第四：网站数据库加密保护

第五：网站漏洞检测、网站挂马实时监控、网站篡改实时监控

第六：不让电脑自动“保存密码”，不随意在第三方网站输入帐号和密码;即便是个人电脑，也要定期在所有已登录站点手动强制注销进行安全退出。