Коледен ужас: Изтичане на потребителски данни от 12306? В 10:00 ч. се появи сериозна уязвимост в сигурността на платформа за уязвимости – базата данни с 12306 потребители беше компрометирана. За да проверим точността на тази информация, нашият екип проведе разследване на инцидента. Чрез някои форуми за социална работа в интернет наистина са открити следи от влачене на 12306, а следната снимка е скрийншот от форум за социална работа:
И тя циркулира в интернет от определено време, а най-ранното известно време е 16 декември. Снимката по-долу показва дискусията на всички за това време във форум.
Чрез някои канали най-накрая открихме някои от предполагаемите изтекли данни, които основно включват12306Регистриран имейл, парола, име, лична карта, мобилен телефон. Фигурата по-долу показва част от изтеклите данни.
Направени бяха няколко опита за влизане в изтеклия акаунт, който беше открит в предишната база данни10Всички акаунти могат да бъдат логнати. Може да се види, че изтекълият сейф с пароли наистина е вярен.
В момента в интернет циркулират две версии – 14M и 18G, които се разпространяват сред подземни чернокожи производители, и подозираме, че има две възможности за изтичане на парола – едната е, че уебсайтът 12306 е бил влачен в базата данни, а другата е, че трета страна софтуерна компания за взимане на билети е била хакната и базата данни е била влачена. Тъй като 12306 се удостоверява с истинско име, той съдържа много важна информация, включително лични карти и мобилни телефонни номера. Стара статия за нова публикация: В кого е паролата ви? Преди няколко дни много приятели около мен бяха откраднати паролите, а когато бяха откраднати, бяха откраднати на партиди, а много различни пароли за уебсайтове, регистрирани от тях, бяха откраднати едновременно.
Как хакери крадат пароли? Първо, акаунтът е откраднат, първото подозрение е проблемът, че компютърът е ударен от троянски кон, хакерите могат да използват кейлогинг, фишинг и други методи, за да крадат пароли, като имплантират троянски коне в персоналните компютри. Затова авторът провери компютрите на няколко приятели с откраднати пароли около себе си и не откри троянски коне, като беше очевидно, че акаунтите им са откраднати чрез троянски коне. Тъй като проблемът не е с вашия собствен компютър, вероятно регистрираният уебсайт е бил "издърпан от някого за изтегляне в базата данни", ето обяснение на базата данни за drag – така наречената "drag библиотека" е, че потребителските данни на сайта са откраднати чрез SQL инжекция или друг начин, и се получава потребителското име и паролата на този сайт, а много известни уебсайтове са организирали събития за "drag library", като CSDN, Tianya, Xiaomi и др. Хакерите обменят и централизират преработените бази данни, формирайки една така наречена "библиотека за социална работа" след друга. Базата данни със социална работа съхранява много информация за пароли за акаунти от "изтегления" уебсайт, затова авторът потърси информация за акаунта на приятел в сайт за социална база данни, често използван от хакери, и, разбира се, намери изтеклата парола:
Като виждам тази библиотека, мисля, че всеки трябва да разбере чия е тази база данни за социална работа.
Хехе.
От скрийншота се вижда, че паролата на приятеля е изтекла от 51CTO и паролата е криптирана с MD5, но не е невъзможно да се реши тази парола, а има много уебсайтове в интернет, които могат да търсят оригиналния текст на MD5, като например търсене на шифротекст в CMD5 и бързо откриване на оригиналния текст на паролата:
След успешно декриптиране, влезте в съответния акаунт на приятеля си с паролата и, разбира се, входът е успешен. Изглежда, че начинът, по който паролата е изтекла, е открит. И така, въпросът е, как хакерите са хакнали няколко уебсайта на приятели? Шокираща подземна база данни В този момент е време да жертваме още един наш инструмент (www.reg007.com), защото много хора имат навика да използват един и същ имейл адрес, за да регистрират много клиенти, и чрез този уебсайт можете да попитате кой сайт е регистриран с даден имейл. Първия път, когато видях този сайт, приятелите ми и аз бяхме шокирани. Следва ситуацията при запитване към определен имейл, общо 21 регистрирани уебсайта са били заявени:
Всъщност много приятели също имат такъв навик, а именно, за да улеснят паметта, те регистрират всички акаунти в сайта с един и същ акаунт и парола, независимо дали става дума за малък форум или мол, включващ имоти като JD.com и Tmall. Тази практика е много опасна и ако някой от обектите падне, всички акаунти ще бъдат изложени на риск.Особено след изтичането на CSDN база данни през 2011 г., все повече уебсайтове са изтекли свои бази данни, и тези изтекли бази данни могат да бъдат намерени на уебсайтове по желание. Можеш да помислиш за това, когато паролата на акаунта ти е същата, чрез горните стъпки лесно можеш да разбереш в кой университет си учил (Xuexin.com), каква работа си свършил (Future Worry-free, Zhilian), какво си купил (JD.com, Taobao), кого познаваш (облачна адресна книга) и какво си казал (QQ, WeChat)
Фигурата по-долу показва част от информацията за базата данни за социална работа, която се обменя от някои подземни уебсайтове
Казаното по-горе не е алармистично, защото има твърде много уебсайтове, които в действителност могат да "напълнят лични данни", а има и много примери за мащабно "пране на банки", "пълнене на данни за данни" и "кражба на банки" на чернокожи индустрии. Ето обяснение на тези термини: след като получат голямо количество потребителски данни чрез "плъзгане на библиотеката", хакерите монетизират ценни потребителски данни чрез поредица от технически средства и черната индустриална верига, която обикновено се нарича "пране на база данни", а накрая хакерът ще се опита да влезе в други уебсайтове с данните, получени от него, което се нарича "зареждане на идентификационни данни", защото много потребители предпочитат да използват универсална парола за потребителско име, а "зареждането на идентификационни данни" често е много удовлетворяващо. При търсене в платформата за подаване на уязвимости "Dark Cloud" може да се установи, че много уебсайтове имат уязвимости при пълнене на идентификационни данни, а в същото време офанзивната и дефанзивната страна многократно са се защитавали една срещу друга, а методът на атака "пълно зареждане на идентификационни данни" винаги е бил особено популярен в черната индустрия заради характеристиките си като "прост", "груб" и "ефективен". Авторът веднъж се сблъска с мащабен инцидент с пълнене на данни в известна пощенска кутия в Китай по време на проекта, а по-долу са някои откъси от имейлите, разменени по това време:
Анализ на аномалии От около 10 часа тази сутрин до края на около 21:10 вечерта има очевидно необичайно влизане, което се определя като хакване. Хакерите използват автоматични програми за влизане, за да инициират голям брой заявки за вход от един и същ IP за кратък период от време, с едновременни заявки и висока честота на заявки, до над 600 заявки за вход в минута. През деня днес са извършени общо 225 000 успешни входа и 43 000 неуспешни входа, включващи около 130 000 акаунта (по 2 входа на акаунт); Хакерът влезе от основната версия на WAP, премина към стандартната версия след успешно влизане и изключи известието за вход в стандартната версия, като по този начин предизвика напомняне за текстово съобщение с промени на мобилния телефонен номер, свързан с акаунта. От анализа на логовете не е открито друго поведение след като хакерът е променил известието за вход, а хакерът не е изпращал никакви имейли след влизане. Предварителните резултати от анализа са следните:
1. Хакерът използва стандартния метод за удостоверяване с потребителско име и парола, за да влезе, като процентът на успех при автентикацията е много висок. При търсене на логовете от последните няколко дни, не бяха открити опити за вход от тези потребители. Тоест, паролата на потребителя се получава по друг начин, а не чрез грубо разбиване на паролата на имейл системата; 2. Мястото за регистрация на потребители, откраднати от хакери, е из цялата страна, без очевидни характеристики и няма очевидни характеристики на времето на регистрация; 3. Някои потребителски имена и пароли, прихванати чрез улавящи пакети, показват, че паролите на различните потребители са различни, няма сходство и не са обикновени пароли; Избрах няколко потребителски пароли и опитах да вляза в 163 mailbox, Dianping и други уебсайтове, и установих, че входът е успешен; 4. Има много източници на IP адреси за влизане на хакери, включително Сиан, Шанси, Анканг, Хъфей, Анхуей, Хуаншан, Аньхуей, Хуайнан и други градове. След като блокираме необичайния IP за вход, хакерите могат бързо да променят IP адреса за вход, което прави блокирането ни бързо неефективно. Можем да следим само хакерите и според честотните характеристики ще приложим блокиране само след достигане на определено число.5. Предишният статус на активност на потребителя няма да бъде съвпаднат до утре. Но съдейки по настоящата ситуация, моето лично предпоставяне е, че трябва да има активни и неактивни потребители, като повечето от тях трябва да са неактивни потребители.
От горния анализ може да се види, че хакерите вече разполагат с потребителското име и паролата на тези потребители, и повечето от тях са верни. Паролите могат да бъдат причинени от изтичане на различни мрежови пароли преди това. Съвети за безопасност Накрая авторът пита: искате ли паролата ви да е в ръцете на друг или съществува в чужда база данни? За да защитим паролата на всички, авторът тук ви дава някои предложения за пароли, 1. Редовно сменяйте паролата си; 2. Паролата на акаунта на важни уебсайтове и паролата на неважни сайтове трябва да бъдат разделени, като Tmall, JD.com и др., най-добре е паролата за акаунта да бъде различна; 3. Паролата има определена сложност, като повече от 8 цифри, включително главни и малки букви и специални символи; за да улесните паметта, можете да използвате специален криптографски софтуер за управление на вашата парола; по-известната е keepass;Надявам се, че чрез горното съдържание всеки ще има по-добро разбиране за сигурността на паролите, за да защити по-добре личната си поверителност и сигурността на имуществото.
|
Публикувано в 30.12.2014 г. 14:05:37 ч.
|
|
|
|
