所谓的“撞库攻击”，其实是骇客常用的一种攻击手法

所谓的“撞库攻击”，其实是骇客常用的一种攻击手法。不肖骇客利用某些网站的漏洞窃取使用者的账号、密码后，以自动化的方式不断在原站、跨站试图登录网络服务，直到某一组账号密码成功，再利用这组账号密码登入网站或 APP。

很多时候，该网站本身可能并没有被发现漏洞，但是骇客有可能从别家网站的漏洞取得用户的账号密码，然后交叉测试。

据报导，被骇客使用撞库攻击成功破解的账户总数，为 34942 个。虽然 PayPal 表示，没有证据表明有未经授权的交易发生，但 PayPal 也提醒，骇客确实有可能从这次行动中获得一些个资，包括 “姓名、地址、社会安全号码、个人纳税识别号码，以及出生日期”。

PayPal 表示，已经向那些受影响的账号持有者发出通知，并且自动对这些受影响的账号重设密码，账号持有人下次登入时，必须进行一些安全性验证以重新建立新密码。

这次事件也很好的说明了，为什么很多资安人员都建议用户不要在每个地方都使用同一组账号密码，防范的就是这类撞库攻击。若有两阶段验证可以使用，或是可信任的设备可以设定时，强烈建议一定要加上这些措施，避免后续无数麻烦。