有“漏洞”平台更易被“撞库”

“说白了，撞库攻击就是不断地尝试错误的密码。”张百川表示，“对于大型平台来说，往往可以利用技术手段限制这一‘撞库攻击’。比如登录错误几次后直接封掉登录者的IP地址，一个账户一天之内只允许输入三次，一个IP地址如果输入了两个账户或者输错了5次以上，24小时内就不允许再登录等。”

5月10日，新京报记者在某互联网平台多次以错误密码登录同一账号后，登录界面出现了“您今日只能再输入三次”的提示。

新京报记者同日在1号店网站上多次试验登录同一账号，多次输错账号密码后，1号店要求输入验证码，但除此之外并无其他防范手段。

5月16日，新京报记者尝试以错误密码登录苏宁易购，发现输错3次密码后，苏宁易购开启了移动滑块的防护措施，并在输错10次后锁死了账户信息，显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时，小红书方面表示需要以接收手机验证码的方式登录。

“1号店的验证码模式并不算是防御撞库攻击的有效方式，现在在网上搜索验证码识别、验证码绕过，可以得到相应的破解软件。移动滑块相应高端一些，但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码，万涛表示，现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称，当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后，被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。

5月10日，新京报记者致电一位信息已遭泄露的电商用户时，该用户告诉新京报记者，她接到了冒充1号店客服打来的诈骗电话。这名用户在两家电商平台上的登录名为同一个手机号。

“事实上，对撞库攻击进行防御的成本并不高，但除支付宝等大型平台外，小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。

对于因信息泄露遭受诈骗而形成的损失，电商平台应承担怎样的责任至今仍不明确。大部分电商平台对于此类事件的回应一般为“配合警方调查”。1号店昨日向新京报记者回复称，需要对信息泄露一事再核实。1号店的后台安全系统会24小时不间断监测顾客登录和购物行为，一旦发现频繁异常登录等高风险情况，将采取锁定账户等紧急手段，顾客需要修改密码或通过身份验证再次使用。如果顾客遭遇信息泄露后的财产损失情况，将全力配合警方提供所需要的信息。

苏宁方面表示，苏宁基于用户信息安全防范成立的安全团队，以网络安全攻击、Web安全攻击的安全风险发现识别为基础，可以通过可视化网络与Web攻击事件，发现内部网络高级持续性威胁，挖掘与检测针对苏宁消费者与商家的钓鱼网站，并予以及时处理。对于涉及消费者信息安全问题，将第一时间核实处理，确保用户购物支付环境的安全与稳定。

根据今年3月补天平台发布的《2016年网站泄露个人信息形势分析报告》，2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息，分别占58.5%和62.4%（某些漏洞可能同时泄露2类信息），可能泄露的数量多达42.3亿条和40.1亿条。