Vánoční horor: Únik uživatelských dat 12306? V 10 hodin dopoledne se na platformě pro zranitelnosti objevila vážná bezpečnostní zranitelnost – databáze 12306 uživatelů byla kompromitována. Abychom ověřili přesnost těchto informací, náš tým provedl vyšetřování incidentu. Prostřednictvím některých fór sociální práce na internetu byly skutečně nalezeny stopy po přetahování 12306 a následující fotografie je screenshot z fóra sociální práce:
A už nějakou dobu koluje na internetu, přičemž nejstarší známý čas je 16. prosince. Obrázek níže ukazuje diskuse všech o této době na fóru.
Prostřednictvím některých kanálů jsme nakonec našli některá z podezřelých uniklých dat, která zahrnují především12306Registrovaný e-mail, heslo, jméno, občanský průkaz, mobilní telefon. Níže uvedený obrázek ukazuje některá uniklá data.
Byly učiněny některé pokusy o přihlášení k uniklému účtu a ten byl nalezen v předchozí databázi10Všechny účty lze přihlásit. Je zřejmé, že uniklý trezor hesel je skutečně pravdivý.
V současnosti kolují na internetu dvě verze, konkrétně 14M a 18G, které kolují mezi podzemními černošskými výrobci, a domníváme se, že existují dvě možnosti úniku hesel: jedna je, že web 12306 byl vtažen do databáze, a druhá je, že třetí strana zabývající se softwarem pro sběr tiketů byla napadena a databáze byla přetažena. Protože je 12306 ověřen skutečným jménem, obsahuje mnoho důležitých informací, včetně průkazů totožnosti a mobilních telefonních čísel. Starý článek nový push: Na koho máte heslo? Před pár dny bylo mnoha přátelům kolem mě ukradeno heslo, a když mu ho někdo ukradl, bylo to ve velkém množství, a zároveň bylo ukradeno mnoho různých hesel na weby, která si sami zaregistrovali.
Jak hackeři kradou hesla? Za prvé, účet je ukraden, první podezření je problém, že počítač zasáhl trojský kůň, hackeři mohou používat keylogování, phishing a další metody ke krádeži hesel implantováním trojských koní do osobních počítačů. Proto autor prohlédl počítače několika přátel s ukradenými hesly kolem sebe a nenašel žádné trojské koně, a bylo zřejmé, že jejich účty byly ukradeny pomocí trojských koní. Protože to není problém s vaším vlastním počítačem, je pravděpodobné, že webová stránka, která byla zaregistrována, byla "přetažena někým a přetažena do databáze". Zde je vysvětlení drag databáze, tzv. "drag library" znamená, že uživatelská data webu jsou ukradena SQL injekcí nebo jinými prostředky, a jsou získána uživatelská jména a hesla tohoto webu, a mnoho známých webů vydalo události typu "drag library", jako CSDN, Tianya, Xiaomi atd., hackeři vyměňují a centralizují drahované databáze, vytvářejí jednu takzvanou "knihovnu sociální práce" za druhou. Databáze sociálních pracovníků uchovává spoustu informací o heslech k účtům z "přetažené" webové stránky, takže autor hledal informace o účtu přítele na webu sociálního pracovníka, který běžně používají hackeři, a skutečně našel uniklé heslo k účtu:
Když vidím tuto knihovnu, myslím, že by každý měl pochopit, čí databáze sociálních pracovníků to je.
Hehe.
Ze screenshotu je vidět, že heslo přítele uniklo z 51CTO a heslo bylo zašifrovano pomocí MD5, ale není nemožné toto heslo rozluštit a na internetu existuje mnoho webových stránek, které mohou vyhledávat původní text MD5, například vyhledáváním šifrovaného textu v CMD5 a rychlým objevením původního textu hesla:
Po úspěšném dešifrování se přihlaste do příslušného účtu svého přítele pomocí hesla a skutečně, přihlášení bylo úspěšné. Zdá se, že způsob, jakým bylo heslo uniklé, byl nalezen. Takže teď je otázka, jak hackeři hackovali více webů přátel? Šokující podzemní databáze V tuto chvíli je čas obětovat další náš nástroj (www.reg007.com), protože mnoho lidí má zvyk používat stejnou e-mailovou adresu k registraci mnoha podniků, a přes tuto stránku můžete vyhledat, která stránka byla registrována s určitým e-mailem. Když jsem tuto stránku viděl poprvé, byli jsme s přáteli ohromeni, následuje situace, kdy jsem dotazoval na určitý e-mail, bylo celkem 21 registrovaných webů dotazováno:
Ve skutečnosti má mnoho přátel také takový zvyk, že aby si usnadnili paměť, registrují všechny webové účty se stejným účtem a heslem, ať už jde o malé fórum, nebo nákupní centrum zahrnující nemovitosti jako JD.com a Tmall. Tato praxe je velmi nebezpečná a pokud některý z webů spadne, všechny účty budou ohroženy.Zvláště po úniku databáze CSDN v roce 2011 uniklo stále více webových stránek, které lze na stránkách kdykoli najít. Můžete si to představit, když máte stejné heslo k účtu, díky výše uvedeným krokům snadno zjistíte, na jaké univerzitě jste byli (Xuexin.com), jakou práci jste dělali (Future Worry-free, Zhilian), co jste koupili (JD.com, Taobao), koho znáte (cloudový adresář) a co jste řekli (QQ, WeChat)
Níže uvedený obrázek ukazuje některé informace z databáze sociální práce, které si vyměňují některé podzemní weby
Výše uvedené není alarmismus, protože existuje příliš mnoho webových stránek, které mohou "přetlačit přihlašovací údaje" ve skutečnosti, a také existuje mnoho příkladů rozsáhlého "praní bank", "falšování přihlašovacích údajů" a "krádeží bank" černošských průmyslů. Zde je vysvětlení těchto pojmů: po získání velkého množství uživatelských dat pomocí "tažení knihovny" hackeři zpeněží cenná uživatelská data pomocí řady technických prostředků a řetězce černého průmyslu, což se obvykle nazývá "database washing", a nakonec se hacker pokusí přihlásit na jiné weby s daty získanými hackerem, což se nazývá "credentialsial stuffing", protože mnoho uživatelů rádo používá jednotné uživatelské jméno a "powering přihlašovacích údajů" je často velmi uspokojující. Při hledání na platformě pro zasílání zranitelností "Dark Cloud" lze zjistit, že mnoho webů má zranitelnosti proti naplnění přihlašovacích údajů, a zároveň se útočná i obranná strana opakovaně bránila proti sobě a metoda útoku "naplňování přihlašovacích údajů" byla vždy obzvláště populární v černošském průmyslu díky svým vlastnostem jako "jednoduché", "drsné" a "efektivní". Autor se během projektu setkal s rozsáhlým incidentem s přeplněním přihlašovacích údajů ve známé poštovní schránce v Číně, a následují některé úryvky z e-mailů, které si tehdy vyměňovali:
Analýza anomálií Od asi 10 hodin ráno do konce kolem 21:10 večer je zřejmé abnormální přihlášení, které je v podstatě identifikováno jako hackování. Hackeři používají automatické přihlašovací programy k zahájení velkého počtu přihlašovacích požadavků ze stejné IP adresy v krátkém čase, s paralelními požadavky a vysokou frekvencí požadavků, až více než 600 přihlašovacích požadavků za minutu. Během dnešního dne došlo celkem k 225 000 úspěšným přihlášením a 43 000 neúspěšným přihlášením, což zahrnuje přibližně 130 000 účtů (2 přihlášení na účet); Hacker se přihlásil ze základní verze WAP, po úspěšném přihlášení přepnul na standardní verzi a vypnul oznámení o přihlášení ve standardní verzi, čímž spustil textovou připomínku s úpravami mobilního čísla navázaného na účet. Z analýzy logů nebylo zjištěno žádné další chování po úpravě oznámení o přihlášení hackerem a po přihlášení neodeslal žádné e-maily. Předběžné výsledky analýzy jsou následující:
1. Hacker používá standardní metodu ověřování uživatelského jména a hesla k přihlášení a úspěšnost autentizace je velmi vysoká. Při dotazování do logů posledních několika dní nebyli nalezeni žádní pokusy o přihlášení od těchto uživatelů. To znamená, že uživatelské heslo se získává jinými způsoby, nikoli hrubou silou prolomením hesla e-mailového systému; 2. Místo registrace uživatelů ukradených hackery je po celé zemi, bez zjevných charakteristik a bez zjevných charakteristik doby registrace; 3. Některá uživatelská jména a hesla zachycená zachycením paketů ukazují, že hesla různých uživatelů jsou odlišná, nejsou podobná a nejsou to jednoduchá hesla; Vybral jsem několik uživatelských hesel a pokusil se přihlásit do 163 mailboxů, Dianpingu a dalších webů, a zjistil jsem, že přihlášení bylo úspěšné; 4. Existuje mnoho zdrojů IP adres hackerů, včetně Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan a dalších měst. Poté, co zablokujeme abnormální přihlašovací IP, mohou hackeři rychle změnit přihlašovací IP, což způsobí, že naše blokování rychle přestane fungovat. Můžeme sledovat pouze hackery a podle frekvenčních charakteristik budeme blokování implementovat až po dosažení určitého čísla.5. Stav předchozí aktivity uživatele nebude srovnán až zítra. Ale podle současné situace je můj osobní předběžný odhad, že by měli být aktivní a neaktivní uživatelé, a většina z nich by měla být neaktivní.
Z výše uvedené analýzy lze v podstatě vidět, že hackeři již mají uživatelská jména a hesla těchto uživatelů k dispozici, a většina z nich je správná. Hesla mohou být způsobena únikem různých informací o síťových heslech dříve. Bezpečnostní doporučení Nakonec se autor ptá, chcete, aby vaše heslo bylo v rukou někoho jiného, nebo že existuje v cizí databázi? Aby ochránili hesla všech, autor zde nabízí několik návrhů na hesla, 1. Pravidelně měňte heslo; 2. Heslo k důležitým webům a heslo k méně důležitým webům, jako jsou Tmall, JD.com atd., musí být oddělena, je nejlepší heslo k účtu odlišit; 3. Heslo má určitou složitost, například více než 8 číslic, včetně velkých a malých písmen a speciálních symbolů, pro usnadnění paměti můžete použít speciální kryptografický software pro správu vlastního hesla, známější je keepass;Doufám, že díky výše uvedenému obsahu každý lépe pochopí bezpečnost hesel, aby lépe chránil své soukromí a bezpečnost majetku.
|
Zveřejněno 30.12.2014 14:05:37
|
|
|
|
