“暗网中文，暗网中文，史上最多的用户信息正在暗网中文论坛售卖
原价8比特币、520门罗币的上亿条用户手机号、身份证号、开房信息
通通只要1比特币，通通只要1比特币！

是的，你没看错，又一起超大型用户数据泄露事件正在发生。

1.23亿条某酒店集团旗下所有酒店的用户信息，包括姓名、手机号、密码、身份证号、家庭住址、等敏感信息，还有近2.4亿条开房数据，打包售价仅为8比特币/520门罗币（约合人民币37万元），而经过大量媒体曝光之后，黑客发帖称要减价至1比特币出售（约合人民币4.6万元）。

同时，该黑客还称，本次数据包含完善的“售后服务”，如果后续数据库权限还能保留的话，将免费提供更新的用户数据。

经安全人员验证，该黑客所售卖的数据真实性很高，这很可能是国内近几年来最严重的用户数据泄露事件。

据媒体称，此次拖库是因为公司工作人员不慎将数据库配置信息传到了GitHub上，黑客很可能是利用此信息实施攻击并拖库。

利用拖库手段引起的用户数据泄露事件屡屡发生，前有2015年某大型电子邮件服务大规模数据泄露、后有某二次元视频网站近千万条数据泄露，再有如今这令人咋舌的1.23亿条用户信息泄露。每一次这样的数据泄露事件，都在挑动着公众敏感的神经，也会引发一次大规模的声讨及反思。
拖库到底是个啥
拖库，是指从数据库中导出数据，原本这是一个正常的专业术语，而在多次黑客攻击事件发生后，它被用来指网站遭到入侵后，黑客窃取数据库的行为。

拖库的通常步骤为：
1、对目标网站进行扫描，寻找它存在的漏洞
2、利用网站存在的漏洞入侵网站，在目标网站植入webshell
3、利用webshell进入网站的核心数据库服务器，批量导出数据库信息

数据泄露，祸患无穷
随着公民隐私越来越受到各方面的重视，国家更是出台了《网络安全法》来保护公民隐私安全，然而，此类数据泄露事件仍然层出不穷。

这也暴露了许多企业将大多数精力投入在业务运营，而忽略了安全体系构建的问题，企业后台系统或者敏感接口存在鉴权或其他漏洞，黑客才能够通过系统漏洞破解的方式，潜入后台数据库，拿到大量用户的敏感数据。

数据一旦被拖库，黑客很可能利用此对网站实施敲诈勒索，甚至公开挂在网络上售卖，通常到了这一步，网站只能拿钱消灾，道歉息事，而拖库事件给网站带来的虚拟财产损失、商业机密泄露、用户流失、品牌形象受损等等一系列的严重影响将被无限放大，并且不可逆。
网站如何避免被拖库？
网宿安全专家建议，企业应从网络安全、应用安全、数据安全、人力资源安全等方面建立纵深安全防御体系，对于敏感数据做好访问权限控制及数据脱敏、数据库安全审计工作。

同时，可以采购WAF、IPS等防护设备为企业增加一道屏障，防止被黑客入侵，此外，还应做好企业员工的安全意识培训防止人为因素导致的信息泄露。

最新数据显示，网宿云安全平台每天为客户抵御25亿+次攻击，通过自学习防护引擎不断进化，在提升平台安全防护能力的同时，通过网站云WAF产品对外输出。

网宿网站云WAF，基于网宿安全大数据分析，形成一套专业的攻防规则库，并通过机器学习持续的修正和扩充防御规则，有效防御SQL注入等各类WEB应用攻击，阻止网站被拖库。若网站已被入侵并植入webshell，网宿云WAF可精准检测，为网站扫除后门隐患。

此外，网宿网站云WAF还提供防撞库功能，当黑客使用已泄露的第三方网站数据进行撞库攻击时，能够智能识别撞库行为，有效阻止撞库攻击，防止用户敏感信息泄露。