ユーザーアカウントのパスワードを公然と販売するウェブサイト、100万個のパスワードで500元

専門家：同じパスワードを複数の場所で使うと盗難につながる可能性がある。ネットユーザーはパスワードを頻繁に変更すべき

毎日300メガバイト更新される国内で最も包括的なソーシャルエンジニアリングデータベースであると主張するウェブサイトが、所有するインターネットユーザーのアカウントとパスワードを公然と販売している。このような光景がインターネットの世界に突如現れた。このウェブサイトは、「300億のレインボーライブラリ」があり、「すべての暗号文は即座に解読できる」と主張している。記者はホームページで、ウェブサイトのスローガン「ここでは見つけられないので、脳細胞に侵入することしかできません」を見た。

その後、実際のテスト中に、記者はウェブサイトが登録サービスを停止していることを発見した。

文/記者 李剛、何涛

謎の「ソーシャルワーカーデータベース」ウェブサイト：個人アカウントのパスワードはいつでもチェック可能

ユーザーアカウントやパスワードの売買はこれまでも秘密裏に地下で行われてきましたが、ソーシャルエンジニアリングデータベースのウェブサイトはインターネット上で公然とビジネスを展開し始めました。このウェブサイトは、中国で最も多くの、そして最も完全なユーザーアカウントとパスワードを持つウェブサイトであることを証明し、ビジネスを誘致するために、特にアカウントとパスワードが盗まれたかどうかをテストするサービスを提供しています。

ウェブサイトのクエリバーにメールアドレスを入力し、「クエリ」を押して、パスワードが盗まれたかどうかをテストします。この新聞の記者もこの電子メールアカウントを使って問い合わせをしたところ、電子メールのパスワードが盗まれただけでなく、以前使っていたフォーラムのアカウントも盗まれていたことに衝撃を受けた。

一部のネットユーザーは、メールアカウント「126」を入力して検索した後、ウェブサイトが提供した検索コードを使用して検索したところ、そのメールアカウントがすでにページに表示されていたため、盗まれたものだと指摘した。複数のテストを通じて、このウェブサイトの広告は真実であることが証明された。

一部のネットワーク セキュリティ担当者は、この Web サイトは公開されており、誰でも照会できるため、この Web サイトを通じて個人情報が簡単に漏洩する可能性があると懸念しています。

ソーシャルエンジニアリング データベース Web サイトの主な業務は、アクセスできる他人のアカウントとパスワード情報を販売することであり、報酬を受け取る限り、その情報を公然と販売します。記者はQQを通じて社会事業データベースの担当者に連絡を取った。相手は500元で100万個のパスワードを購入することを提案した。月額プランは100元、年間プランは1,000元。月額プランと年間プランの両方で享受できるサービスは、アカウントとパスワードの1回限りの照会である。記者が口座番号やパスワードの信憑性を疑問視したところ、相手は「多くの人が購入しているので信じるか信じないかはあなた次第」と返答した。

インターネット業界関係者によると、これまでこうした取引は秘密裏に行われてきたが、直接公開販売されるのは今回が初めてだという。

パスワードが盗まれる理由: 1 つのパスワードがインターネット全体に広がる

他人のアカウントやパスワードを盗む人々は一体何をしたいのだろうか。業界関係者は、他人のWeiboアカウントを盗んでコメントを投稿しているのだと分析している。第一に、違法発言に対する法的責任を逃れることができる。第二に、Weiboの有名人の影響力を利用して広告を配信し、利益を得ることができる。

記者がネットワークセキュリティ会社から得た情報によると、現在、すべてのWeiboアカウントはメールアドレスで登録されており、記憶を容易にするために、大多数のネットユーザーはメール、Weibo、フォーラムなどのアカウントで同じパスワードを習慣的に使用している。ネットワークセキュリティエンジニアによると、Weiboアカウントが他人に盗まれる場合、必ずしもハッカーが直接Weiboアカウントをクラックするのではなく、第三者のチャネルを通じて取得されるという。

ネットワークエンジニアの万仁国氏は記者団に対し、ウェブサイトは数多くあり、その中にはいくつかのフォーラムも含まれ、ユーザーは基本的に1つのアカウントとパスワードを使ってすべてのウェブサイトを登録することに慣れていると語った。しかし、これらのフォーラムやウェブサイトのセキュリティは異なっており、一部の小規模ウェブサイトや小規模フォーラムのセキュリティは保証できない。ハッカーはさまざまな抜け穴を利用して簡単にウェブサイトにアクセスし、ユーザー名とパスワードを盗み取ることができる。盗み取った後、このアカウントとパスワードを使用してWeibo、Alipay、Taobaoなどのより重要なアカウントにログインし、違法な犯罪行為に従事しようとする可能性がある。

ネットユーザーがパスワード保護についてアドバイス：パスワードを頻繁に変更

一部のネットユーザーは、オンラインパスワードを保護する方法についてアドバイスし、次のような方法を挙げた。

対策1: 複雑なパスワードを使用する。パスワードは 8 文字以上で、文字、数字、記号を含める必要があります。

対策 2: パスワードを入力するときは、マウスを使用して対応する文字を選択して入力し、トロイの木馬がキーストロークを記録するのを防ぎます。

対策 3: パスワードをローカルに保存するのは悪い習慣です。適切なローカル暗号化戦略がなければ、ハッカーがパスワードを解読するのは簡単になります。

対策 4: 毎月または四半期ごとに定期的なパスワード変更を実施します。パスワードを紙に書き留めないでください。

対策5: ネットワークシステムごとに異なるパスワードを使用し、重要なシステムにはより安全なパスワードを使用します。すべてのシステムに同じパスワードを使用しないでください。

対策 6: フィッシング サイトを防ぐために、ユーザーは警戒し、見慣れない Web サイトにログインしたり、見知らぬ人からのメールを開かないようにする必要があります。

対策7: USBキーを使用する。ユーザーの秘密鍵はパスワードロックに保存されるため、いかなる方法でも読み取ることは理論的には不可能です。

ソーシャルエンジニアリングデータベースの入手方法：小規模なウェブサイトから入手したネットユーザーのパスワードを購入できる

ソーシャルエンジニアリングデータベースに大量のメールパスワードが保存されている状況について、Paojiao.comの創設者でネットワーク専門家の**Gang氏は、これは技術的に可能だと分析した。多くのネットユーザーは、多くの場所で同じパスワードを使用する習慣を持っています。登録時にユーザーにメールアドレスとパスワードの入力を要求する Web サイトは数多くあります。無責任な小規模ウェブサイトの中には、これらのパスワード情報を記録し、利益を得るために販売するところもあります。

ネットユーザーがウェブサイトでパスワードを入力すると、入力した文字や数字が小​​さな黒い点に変わるのが見える。**ガン氏は、これはパスワードの暗号化ではなく、他人が覗き見できないようにするためのページ上の処理方法だと述べた。パスワード情報を入力すると、バックエンド サーバーに送信されます。このとき、パスワード情報が暗号化されていない場合、バックエンド管理者はパスワードを見ることができます。

ユーザーがオンラインバンキングを使用する場合、入力したパスワード情報は暗号化され、バックエンドのスタッフには閲覧できないため、より安全です。ただし、銀行の Web サイトを模倣したフィッシング Web サイトの中には、この方法でユーザーのアカウントとパスワードの情報を取得しようとするものもあります。

ギャング氏は、一部の無法者が何らかの技術的手段を使ってネットユーザーのパスワードを解読する可能性があると述べた。パスワードがあまりにも単純に設定されていると、簡単に解読される可能性がある。

情報セキュリティの状況は深刻

過去2年間、中国ではハッカーが大規模なウェブサイトやデータベースに頻繁に侵入し、ユーザー情報を盗んでいた。ネットワークセキュリティエンジニアは記者に対し、パスワードを盗まれたユーザーがパスワードを変更せず、電子メールとWeiboに同じパスワードを使用した場合、そのユーザーのWeiboが他人に公開されることになるだろうと語った。

広州情報ネットワークセキュリティ協会が10月に発表した通知によると、最新の脆弱性はオラクルのJavaソフトウェアに見つかり、ハッカーがJavaがインストールされている10億台以上のコンピューターに侵入する可能性があるという。

10月には広州で重大な結果をもたらすサイバーセキュリティ事件は発生しなかったものの、潜在的な脅威と攻撃能力は増大し続けており、サイバーセキュリティの状況は依然として厳しい状況が続いている。

原題: ユーザーアカウントのパスワードを公然と販売するウェブサイト、100万個のパスワードで500元

キーワード: ウェブサイト、公然と、売り込み、ユーザー、アカウント、パスワード、500 元、100 万、パスワード、ウェブマスター、ウェブサイトの宣伝、金儲け