拖库:数据库领域的术语-中文百科频道

基本语意

拖库（拼音：tuō kù；英文：Drag) ；拖库一词多用于数据库程序员专业人士使用，语意：从数据库导出数据。很多时候数据库的资料需要导出来在别的地方使用，并且数据库资料可以导出好几种格式，例如：TXT，XLS等格式。

相关事件

根据2011年12月21日媒体报道，多家互联网站被黑客公开用户数据库，超过5000万个用户帐号和密码在网上流传。2011年12月21日，某专业网站数据库开始在网上被疯狂转发，包括600余万个明文的注册邮箱和密码泄露，大批受影响用户为此连夜修改密码。此后，178游戏网等5家网站用户数据库又相继公开，更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”，从而将2011年末的密码危机推向高峰。

2011年12月21日有黑客在网上公开提供CSDN网站用户数据库下载后，包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载。预计泄露网站数据库的行为可能会引发连锁效应，更多网站的数据会被黑客放出。之前这类数据库通过网络地下交易，这些黑客可以取得收益。但由于很多用户的用户名及密码在各网站几乎一样，有黑客将某网站数据库放出后，其他黑客手里的数据库就没有价值。有些黑客出于各种目的，会放出其它网站的数据库，由此引发连锁效应。网站不可能100%安全，对于有技术能力的人，登陆相关网站时，密码并不是唯一的。

但是在有黑客放出网站的用户数据库信息后，没有技术能力的人，可能会对网站及其他用户产生很大的破坏性。同时，由于很多用户的用户名和密码大多一致，有可能会被这些人来刷其它网站的库，产生的影响会更大。如果要改变这个局势，网站需要强制所有用户更换他们的密码，并且采取独特的加密方式，以避免用户信息再次被泄露。

据称，很多网站并没有保护用户信息安全的意识，用户的数据信息在数据库里没有任何保护。相关网站能够加强安全意识，从软硬件多方面强化信息保护。Goodwell对搜狐IT称，最彻底的保护方面，是更改网站静态密码的机制并在MD5基础上使用自己独有的加密函数等方法，同时及时修补系统漏洞。

随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。在实名制前提下，主管部门及网站应该出台相应的标准及保护机制，以安全地保护用户的隐私。如果在推动实名制而安全保护机制无法跟上的情况下导致信息泄露，会使用户对网站及机构产生信任危机。

用户在上网的时候也要加强自我安全保护意识。在上网时，用户最好根据不同的网站设置不同的密码。为了方便记忆，密码最好根据网站的域名做相应变化。

网易邮箱数据泄露事件

2015年10月17日开始，有微博用户发文称，网易邮箱被暴力破解，网易随后在官方微博上做出回应，称此系“撞库”所致，即黑客通过收集互联网中已泄露的用户和密码信息，尝试批量登录其他网站。19日下午，网站安全漏洞发现者乌云平台用户“路人甲”发布了《网易163/126邮箱过亿数据泄密》，报告称，泄露信息包括用户名、密码、密码保护信息、登录IP以及用户生日等多个原始信息，影响数量总共近5亿条。

网易免费邮箱官方微博于19日发出再次回应，称网易邮箱不存在自身数据泄露问题。国家互联网应急中心近日通报证实，确有网易邮箱数据遭泄露，泄露的数据中包括一个邮箱账号、邮箱密码的MD5、密保问题以及密保答案的MD5。

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。