撞库究竟如何成功窃取账户信息

前言：近期户外服装品牌TheNorthFace遭遇撞库攻击，thenorthface.com网站上有200,000个账户被黑。撞库攻击到底是如何成功窃取账户数据的？

近期户外服装品牌TheNorthFace遭遇撞库攻击，thenorthface.com网站上有200,000个账户被黑。

TheNorthFace是VFCorporation产品组合中唯一的品牌，该品牌还拥有Vans、Timberland、Eastpak、Kipling、Dickies，和Napapijri。

撞库攻击始于2022年7月26日，但是在2022年8月11日才被发现，网站管理员在2022年8月19日进行了住址。但是黑客已经设法窃取了thenorthface.com网站上194,905个账户的数据。

一旦相关的敏感金融信息被黑客撞库后盗取，在网络上盗刷银行卡消费都将易如反掌。

撞库攻击的危害

撞库的攻击还有着一整套的流程从拖库－洗库－撞库，同时撞库攻击产生的危害范围非常大。

拖库是指黑客利用网站或互联网产品漏洞，入侵有价值的网站后台数据库系统，把注册用户的资料数据库全部盗走的行为，包括用户注册ID（该网站的注册用户名）、登录密码、手机号、邮箱、通讯地址、好友名单以及其他隐私信息等。

震惊业界的CSDN“拖库”事件中，有600万个注册用户的电子信箱账户和密码等信息被泄露，之后多家著名网站的用户信息被上传到网络供用户下载。

洗库是指黑客在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。

撞库是指黑客通过收集网络上已泄露的用户名及密码信息，使用自动化批处理工具到其他网站尝试批量登录，进而得到一批可以登录的用户账号及密码，并由此盗取更多的用户个人信息。TheNorthFace遭遇的就是典型的撞库攻击。

揭秘撞库黑色产业链条

现在的拖库、洗库、撞库已经形成成熟的黑色产业链条：首先，由具备一定技术能力的黑客团伙寻找各个网站和互联网产品的漏洞，进而开发入侵工具或编写入侵脚本、入侵教程。

其次，技术黑客将开发的入侵工具卖给链条的下一个节点一入侵团伙，该团伙负责具体的入侵行为，将入侵获取的数据库打包上传至收信信封(实施入侵的团伙事前准备的服务器，用于接收入侵网站服务器或已经控制的“肉机”的数据库数据信息)。

入侵团伙再将“信封”卖给专门的洗库团伙，洗库团伙利用批处理工具对“信封”内用户信息根据账号类别(比如游戏账号、IM账号、银行账号等)、有无财产等等维度进行分门别类的处理。

而且洗库团伙可以再将已经分类的账号进行细致化的变现，对于有财产的账号直接出售变现，如直接盗取网银账户内的现金、转让游戏账号内的虚拟装备等；对于没有财产价值的用户信息出售给网络广告联盟或诈骗团伙，被广泛应用于发送垃圾广告，或对被盗账号用户的好友实施诈骗。

最后，被多次转让的用户数据最终出售给撞库团伙，撞库团伙利用这些账号及对应密码使用自动化工具尝试登录其他网站或互联网产品，获取到新的网站的用户数据继续重复以上的链条过程。可见，撞库的黑色链条的各个节点清晰，分工明确。

没有财务信息被盗

幸运的是，随着网络安全就是的提升，此次TheNorthFace撞库事件中，黑客无法获得敏感的财务信息，因为支付细节没有保存在网站上。

因为“我们不会在thenorthface.com上保留支付卡详细信息的副本。我们只保留与您的支付卡相关联的“令牌”，并且只有我们的第三方支付卡处理器保留支付卡详细信息。该令牌不能用于在thenorthface.com以外的任何地方发起购买。”TheNorthFace公司在发送给客户的通知中解释道。

NorthFace对此次攻击的调查显示，最有可能被盗的数据是：

①　全名

②　购买历史

③　账单地址

④　收件地址

⑤　电话号码

⑥　账户创建日期

⑦　性别

⑧　XPLRPass奖励记录

⑨　采取措施

拥有TheNorthFace品牌的VFCorporation（前身VanityFairMills）向所有受影响的客户发送了有关违规的通知，并解释了攻击后采取的安全措施。

“一旦我们意识到这次袭击，我们迅速采取措施解决这种情况。这些步骤包括禁用密码和从在攻击时间范围内访问的账户中删除支付卡令牌。因此，下次您在thenorthface.com购物时，您需要创建一个新的（唯一的）密码并再次输入您的支付卡信息。我们将继续监控我们的系统是否存在可疑活动。”

这是已经是TheNorthFace第二次被撞库攻击了，第一次撞库发生在2020年11月。