拖庫

拖庫（拼音：tuō kù；英文：Drag) ；拖庫一詞多用於資料庫程式設計師專業人士使用，語意：從資料庫導出數據。很多時候資料庫的資料需要導出來在別的地方使用，並且資料庫資料可以導出好幾種格式，例如：TXT，XLS等格式。

根據2011年12月21日媒體報導，多家網際網路站被黑客公開用戶資料庫，超過5000萬個用戶帳號和密碼在網上流傳。2011年12月21日，某專業網站資料庫開始在網上被瘋狂轉發，包括600餘萬個明文的註冊信箱和密碼泄露，大批受影響用戶為此連夜修改密碼。此後，178遊戲網等5家網站用戶資料庫又相繼公開，更有媒體曝光金山毒霸等數十家大型網站已遭黑客“拖庫”，從而將2011年末的密碼危機推向高峰。

2011年12月21日有黑客在網上公開提供CSDN網站用戶資料庫下載後，包括人人網、貓撲、多玩等在內的網站部分用戶資料庫也被傳到網上供用戶下載。預計泄露網站資料庫的行為可能會引發連鎖效應，更多網站的數據會被黑客放出。之前這類資料庫通過網路地下交易，這些黑客可以取得收益。但由於很多用戶的用戶名及密碼在各網站幾乎一樣，有黑客將某網站資料庫放出後，其他黑客手裡的資料庫就沒有價值。有些黑客出於各種目的，會放出其它網站的資料庫，由此引發連鎖效應。網站不可能100%安全，對於有技術能力的人，登入相關網站時，密碼並不是唯一的。但是在有黑客放出網站的用戶資料庫信息後，沒有技術能力的人，可能會對網站及其他用戶產生很大的破壞性。同時，由於很多用戶的用戶名和密碼大多一致，有可能會被這些人來刷其它網站的庫，產生的影響會更大。如果要改變這個局勢，網站需要強制所有用戶更換他們的密碼，並且採取獨特的加密方式，以避免用戶信息再次被泄露。據稱，很多網站並沒有保護用戶信息安全的意識，用戶的數據信息在資料庫里沒有任何保護。相關網站能夠加強安全意識，從軟硬體多方面強化信息保護。Goodwell對搜狐IT稱，最徹底的保護方面，是更改網站靜態密碼的機制並在MD5基礎上使用自己獨有的加密函式等方法，同時及時修補系統漏洞。

資料庫導出數據

隨著網站及微博實名制規定的陸續出台，如果在實名制的網站出現用戶數據泄露事件，將會產生更惡劣的影響。在實名制前提下，主管部門及網站應該出台相應的標準及保護機制，以安全地保護用戶的隱私。如果在推動實名制而安全保護機制無法跟上的情況下導致信息泄露，會使用戶對網站及機構產生信任危機。

用戶在上網的時候也要加強自我安全保護意識。在上網時，用戶最好根據不同的網站設定不同的密碼。為了方便記憶，密碼最好根據網站的域名做相應變化。

2015年10月17日開始，有微博用戶發文稱，網易信箱被暴力破解，網易隨後在官方微博上做出回應，稱此系“撞庫”所致，即黑客通過收集網際網路中已泄露的用戶和密碼信息，嘗試批量登錄其他網站。19日下午，網站安全漏洞發現者烏雲平台用戶“路人甲”發布了《網易163/126信箱過億數據泄密》，報告稱，泄露信息包括用戶名、密碼、密碼保護信息、登錄IP以及用戶生日等多個原始信息，影響數量總共近5億條。網易免費信箱官方微博於19日發出再次回應，稱網易信箱不存在自身數據泄露問題。國家網際網路應急中心近日通報證實，確有網易信箱數據遭泄露，泄露的數據中包括一個信箱賬號、信箱密碼的MD5、密保問題以及密保答案的MD5。

“拖庫”的通常步驟為：

第一，黑客對目標網站進行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、檔案上傳漏洞等。

第二，通過該漏洞在網站伺服器上建立“後門(webshell)”，通過該後門獲取伺服器作業系統的許可權。

第三，利用系統許可權直接下載備份資料庫，或查找資料庫連結，將其導出到本地。

根據資料顯示部分網民習慣為信箱、微博、遊戲、網上支付、購物等帳號設定相同密碼，一旦資料庫被泄漏，所有的用戶資料被公布於眾，任何人都可以拿著密碼去各個網站去嘗試登錄，對一些敏感的金融行業是致命的危害，對普通用戶可能造成財產，個人隱私的損失或泄漏。

第一，分級管理密碼，重要帳號（如常用信箱、網上支付、聊天帳號等）單獨設定密碼。

第二，定期修改密碼，可有效避免網站資料庫泄露影響到自身帳號；

第三，工作信箱不用於註冊網路帳號，以免密碼泄露後危及企業信息安全。

第四，網站資料庫加密保護

第五，網站漏洞檢測、網站掛馬實時監控、網站篡改實時監控

第六，不讓電腦自動“保存密碼”，不隨意在第三方網站輸入帳號和密碼;即便是個人電腦，也要定期在所有已登錄站點手動強制註銷進行安全退出