2020年2月28日,极验联合无糖信息以线上直播的形式,分享了一些疫情期间遭遇恶意爬虫的网站的故事。
极验反爬虫平台负责人陈博表示,据监测,一些开放免费阅读的平台和售卖口罩的网站遭遇恶意爬虫,严重的,多家阅读平台陷入瘫痪。此外,他还分享了一些防御恶意爬虫的方法。
疫情期间,政府鼓励民众少出门。为了缓解民众在家无所事事的状态,某出版社响应号召,开放数字图书馆6000余册电子图书,免费供大众阅读。并且,用户无需注册,输入默认账号“武汉加油”即可登录阅读。
没想到,黑灰产对这些免费分享电子图书的网站打起“主意”。
陈博表示,开放不久之后,上述出版社的官方接口因不堪黑灰产爬虫的压力,陷入崩溃状态。目前,该网站仍处于维护状态。
与该出版社有同样遭遇的是,清华大学出版社文泉学堂免费为用户提供近三万种正版电子书。隐私护卫队注意到,文泉学堂网站也不需要用户登录即可阅读。
由于遭遇恶意爬虫的攻击,导致文泉学堂网站服务器处于崩溃的边缘,不得不进行升级维护。如今,隐私护卫队打开文泉学堂网站,网站弹窗提醒说:本网站之前无需注册登录即可免费阅读,因受到大量恶意爬虫攻击,导致网站状态极不稳定。为更好服务读者,保障服务器正常运行,自2月4日起,用户需先注册登录,方可进行免费阅读。
之所以这些阅读网站遭遇恶意爬虫后容易瘫痪,陈博解释说,它们存在的共性问题包括用户无需登录即可阅读,重要的网络访问请求比如获取书籍目录的接口、读取图书的pdf链接处未做加密等。
不止这些免费供大众阅读书籍网站遭遇恶意爬虫,陈博表示,一些售卖口罩的网站也遭遇攻击。
据了解,民众预约购买口罩需实名制。但陈博表示,实名制有利于减轻恶意爬虫给网站带来的压力,但仍不能避免。他解释说,个人信息泄露严重,比如一些P2P平台(互联网借贷平台)倒闭之后,大量个人信息被售卖,黑灰产利用这些真实的个人身份信息,就可以绕过口罩售卖平台的实名认证机制。
他还强调,爬虫的速度在人的速度的100倍以上,这将导致需要口罩的人员买不到口罩。
针对恶意爬虫,陈博建议,网站可建立完善的登录机制,有条件的可以使用手机动态认证、智能验证码验证机制;同时,网站还以可限制访问频率,控制账号可访问内容的边界等。
文/南都个人信息保护研究中心研究员 尤一炜
编辑:蒋琳