2600万条陌陌数据库出售，售价仅200元人民币？昨天有爆料显示，在网上有约2600万陌陌数据出售，包括用户的手机号和密码，来源是3年前撞库。不过经验证，这组数据中的密码并不正确，一些手机号不存在。

事件

3年前撞库数据再度被出售

据微博博主lxghost透露，陌陌的约3000万条数据在暗网出售，有多个卖家都有相关资源，价格仅为200元，但不保证数据的有效性。

一个约2600万条的在售数据包括手机号和密码。据卖家介绍，这批数据的来源是3年前撞库而来。数据规模总共3161万行，包括手机号加密码或者仅手机号，其中含密码的数据是2592万行。

卖家还特别警告称，“本人未有大批测试能力，故无法确保数据能登录陌陌或者可搜索到陌陌账号的概率，这一点敬请谅解。”

截图显示，这些陌陌账号和密码被整理成一个GVIM文档，在截图的20个手机号码中，仅有3条无对应密码，其余在手机号后都标有密码。

另一个3000万条数据库的介绍显示，这批数据是2015年7月17日被写入的，总条数3161万条，包含的字段有手机号和密码。卖家介绍称，“数据中密码有空白项，但这部分所占比例不到1%，就算去掉100万条，还有3000万条。”并申明：“本数据不保障现时有效性，只适合撞库等用”。

验证

密码不正确或陌陌号不存在

不过据验证，这些数据的有效性存在很大问题，北青报记者随机验证了几个账号发现，多个账号显示“该陌陌号不存在”，还有的显示“账号或密码错误”。

例如数据中的136xxxx9535，在登录时显示“用户名或密码错误，是否找回密码？”在找回密码时则需要通过手机号码进行验证，他人无法直接进行登录；而152xxxx0634则显示“该陌陌号不存在”，说明数据库数据存伪。

为何会有密码错误或账号不存在的问题？据猜测，一种可能是因为数据库本身有问题，由于暗网是一个匿名网站，上面的数据可能存在捏造等情况，而这些数据是用于出售的，因此很可能是有人捏造数据库而骗取钱财；另一种可能是，三年前存在类似数据库，但陌陌方面已经进行一些措施，提示用户修改密码或在此期间部分用户注销等，目前来看这批数据的利用价值已经不大。

追访

数据库泄露事件缘何时有发生

在信息化、数据化的今天，数据泄露事件并非个案。11月30日，万豪酒店集团披露，旗下喜达屋酒店的一个顾客预订数据库遭到入侵，有约5亿顾客的信息可能遭到泄露。被泄露的信息包括姓名、生日、电话号码、护照号码甚至包括支付卡号码及有效日期。

据业内人士介绍，万豪事件是被“拖库”了，在黑客术语里面，“拖库”是指黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为。而陌陌事件中提到的“撞库”，是黑客将一个网站的数据库尝试在其他网站进行登录，由于很多用户喜欢使用相同的用户名和密码，黑客就可以用之前的数据库登录新的网站，盗取用户在新网站的财产和资料。

“用户要避免在不同的网站使用相同的用户名和密码，以避免被撞库”，一位安全专家表示，“当然，贩卖和购买公民信息是违法的，这些售卖和购买数据库的网友也将承担相应的法律责任。”大安全时代，数据泄露事件并不是单一厂商的密码泄露，而是一直以来或明或暗的安全事件——个人、信息安全行业、公司实体都无法置身事外，需要建立一个协同联动的机制和体系。

一份汇总分析了84个国家的《2017年的数据泄露调查报告》显示，数据泄露原因方面，62%的数据泄露与黑客攻击有关；81%的数据泄露涉及到撞库或弱口令。导致数据泄露的主要手段分为技术手段（黑客入侵、软件漏洞、恶意木马）、非技术手段（内部人员泄密、非有意识泄密）。

文/本报记者 温婧

最新消息

陌陌回应：他人无法仅凭手机号和密码登录用户账号

昨日晚间，陌陌公开回应了关于用户数据安全一事。

陌陌称本着对用户数据和隐私安全负责的态度，现就此事说明如下：第一，这个所谓的三年多前通过撞库得来的数据，跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示，返回的也都是错误信息。第二，陌陌采用高强度单向散列算法（用户密码被单向加密成密文，但不能通过密文还原为明文）加密存储用户密码，因此任何人无法直接从陌陌数据库中直接获取用户明文密码。

陌陌最后表示，“请陌陌用户放心，陌陌采用包括密码验证、设备验证等多重校验机制，以保护用户信息安全，任何人在其他设备上仅用手机号和密码试图登录陌陌账号，都会触发短信验证码等多种信息验证措施，他人根本无法仅凭手机号和密码就登录用户陌陌账号。”

文/本报记者 温婧