Horror navideño: ¿Fuga de datos de usuario en el 12306? A las 10 de la mañana, apareció una vulnerabilidad de seguridad grave en una plataforma de vulnerabilidades: la base de datos de 12306 usuarios fue comprometida. Para verificar la exactitud de esta información, nuestro equipo llevó a cabo una investigación sobre el incidente. A través de algunos foros de trabajo social en Internet, se han encontrado rastros de la 12306 siendo arrastrada, y la siguiente imagen es una captura de pantalla en un foro de trabajo social:
Y ha estado circulando por Internet durante un tiempo, y la fecha más temprana conocida es el 16 de diciembre. La imagen de abajo muestra la discusión de todos sobre esta época en un foro.
A través de algunos canales, finalmente encontramos algunos de los datos sospechosos de filtración, que incluyen principalmente12306Correo electrónico registrado, contraseña, nombre, DNI, teléfono móvil. La figura siguiente muestra algunos de los datos filtrados.
Se hicieron algunos intentos de inicio de sesión en la cuenta filtrada, y se encontró en la base de datos anterior10Todas las cuentas pueden iniciar sesión. Se puede ver que la bóveda filtrada de contraseñas es cierta.
Actualmente, circulan dos versiones en Internet, concretamente 14M y 18G, que se han difundido entre fabricantes negros clandestinos, y sospechamos que hay dos posibilidades de filtración de contraseñas: una: que la web 12306 haya sido arrastrada a la base de datos, y la otra que la empresa de software de terceros para captar tickets haya sido hackeada y la base de datos haya sido arrastrada. Como el 12306 está autenticado con su nombre real, contiene mucha información importante, incluyendo tarjetas de identificación y números de teléfono móvil. Artículo antiguo nuevo push: ¿En quién es tu contraseña? Hace unos días, a muchos amigos de mi alrededor les robaron las contraseñas, y cuando las robaron, se las robaron en lotes, y muchas contraseñas de sitios web diferentes registradas por ellos mismos fueron robadas al mismo tiempo.
¿Cómo se roban las contraseñas por hackers? En primer lugar, la cuenta es robada, la primera sospecha es el problema de que el ordenador haya sido golpeado por un caballo de Troya, los hackers pueden usar keylogging, phishing y otros métodos para robar contraseñas implantando caballos de Troya en ordenadores personales. Por ello, el autor revisó los ordenadores de varios amigos con contraseñas robadas a su alrededor y no encontró caballos de Troya, y era evidente que sus cuentas habían sido robadas a través de caballos de Troya. Dado que no es un problema de tu propio ordenador, es probable que la web registrada haya sido "arrastrada por alguien para ser arrastrada a la base de datos". Aquí tienes una explicación de la base de datos de arrastre; la llamada "biblioteca de arrastre" es que los datos de usuario del sitio web son robados mediante inyección SQL u otros medios, y se obtienen los nombres de usuario y la contraseña de este sitio web, y muchos sitios web conocidos han emitido eventos de "biblioteca de arrastre", como CSDN, Tianya, Xiaomi, etc.; los hackers intercambian y centralizan las bases de datos arrastradas, formando una llamada "biblioteca de trabajo social" tras otra. La base de datos de trabajo social almacena mucha información de contraseñas de la cuenta del sitio web "arrastrado", así que el autor buscó la información de la cuenta de un amigo en una web de base de datos de trabajo social que suelen ser usadas por hackers, y efectivamente, encontró la contraseña filtrada de la cuenta:
Al ver esta biblioteca, creo que todo el mundo debería entender de quién es esta base de datos de trabajo social.
Jeje.
Se puede ver en la captura de pantalla que la contraseña del amigo fue filtrada desde 51CTO, y la contraseña estaba cifrada con MD5, pero no es imposible resolver esta contraseña, y hay muchas páginas web en Internet que pueden consultar el texto original de MD5, como buscar texto cifrado en CMD5 y descubrir rápidamente el texto original de la contraseña:
Tras un descifrado exitoso, inicia sesión en la cuenta relevante de tu amigo con la contraseña y, efectivamente, el inicio de sesión fue exitoso. Parece que se ha encontrado la forma en que se filtró la contraseña. Así que ahora la pregunta es, ¿cómo hackearon los hackers múltiples páginas web de amigos? Sorprendente base de datos subterránea En este momento, es hora de sacrificar otra herramienta nuestra (www.reg007.com), porque muchas personas tienen la costumbre de usar la misma dirección de correo electrónico para registrar muchos negocios, y a través de esta web puedes consultar qué página web ha sido registrada con un correo determinado; la primera vez que vi esta web, mis amigos y yo nos quedamos atónitos, la siguiente es la situación al consultar un correo determinado, un total de 21 sitios web registrados fueron consultados:
De hecho, muchos amigos también tienen este hábito, es decir, para facilitar la memoria, registran todas las cuentas de sitios web con la misma cuenta y contraseña, ya sea un foro pequeño o un centro comercial con propiedades como JD.com y Tmall. Esta práctica es muy insegura, y si uno de los sitios cae, todas las cuentas estarán en riesgo.Especialmente tras la filtración de la base de datos CSDN en 2011, cada vez más sitios web han filtrado bases de datos, y estas bases de datos filtradas pueden encontrarse en sitios web a voluntad. Puedes pensarlo, cuando la contraseña de tu cuenta sea la misma, a través de los pasos anteriores puedes saber fácilmente a qué universidad has ido (Xuexin.com), qué trabajo has hecho (Future Worry-free, Zhilian), qué has comprado (JD.com, Taobao), a quién conoces (agenda en la nube) y qué has dicho (QQ, WeChat)
La figura siguiente muestra parte de la información de la base de datos de trabajo social intercambiada por algunos sitios web clandestinos
Lo que se ha dicho arriba no es alarmista, porque hay demasiados sitios web que en realidad pueden "ocultar credenciales", y también hay muchos ejemplos de "blanqueo de bancos", "envase de credenciales" y "robo bancario" de industrias negras. Aquí tienes una explicación de estos términos: tras obtener una gran cantidad de datos de usuarios mediante "arrastrar la biblioteca", los hackers monetizarán datos valiosos de usuarios mediante una serie de medios técnicos y la cadena negra de la industria, que normalmente se llama "lavado de bases de datos", y finalmente el hacker intentará iniciar sesión en otros sitios web con los datos obtenidos por el hacker, lo que se denomina "relleno de credenciales", porque a muchos usuarios les gusta usar una contraseña unificada de usuario, y el "relleno de credenciales" suele ser muy satisfactorio. Buscando en la plataforma de envío de vulnerabilidades "Dark Cloud", se puede encontrar que muchos sitios web tienen vulnerabilidades en relleno de credenciales y, al mismo tiempo, los bandos ofensivo y defensivo se han defendido repetidamente entre sí, y el método de ataque llamado "relleno de credenciales" siempre ha sido especialmente popular en el círculo de la industria negra por sus características como "simple", "áspero" y "efectivo". El autor se encontró en una ocasión con un incidente a gran escala de relleno de credenciales en un conocido buzón en China durante el proyecto, y a continuación se presentan algunos extractos de los correos electrónicos intercambiados en ese momento:
Análisis de anomalías Desde aproximadamente las 10 de la mañana hasta el final de las 21:10 de la tarde, hay un inicio de sesión anormal evidente, que básicamente se determina que es hackeo. Los hackers utilizan programas automáticos de inicio de sesión para iniciar un gran número de solicitudes de inicio de sesión desde la misma IP en un corto periodo de tiempo, con solicitudes simultáneas y alta frecuencia, hasta más de 600 solicitudes de inicio de sesión por minuto. A lo largo del día de hoy, se produjeron un total de 225.000 inicios de sesión exitosos y 43.000 fallidos, involucrando unas 130.000 cuentas (2 accesos por cuenta); El hacker inició sesión desde la versión básica de WAP, cambió a la versión estándar tras iniciar sesión con éxito y desactivó la notificación de inicio de sesión en la versión estándar, activando así un recordatorio por mensaje de texto con modificaciones en el número de teléfono móvil vinculado a la cuenta. En el análisis de los registros, no se encontró ningún otro comportamiento después de que el hacker modificara la notificación de inicio de sesión, y no envió ningún correo electrónico tras iniciar sesión. Los resultados preliminares del análisis son los siguientes:
1. El hacker utiliza el método estándar de autenticación nombre de usuario y contraseña para iniciar sesión, y la tasa de éxito de autenticación es muy alta. Al consultar los registros de los últimos días, estos usuarios no encontraron intentos de inicio de sesión. Es decir, la contraseña de usuario se obtiene por otros medios, no por la fuerza bruta descifrando la contraseña del sistema de correo; 2. El lugar de registro de los usuarios robados por hackers está en todo el país, sin características evidentes ni características evidentes del momento de registro; 3. Algunos nombres de usuario y contraseñas interceptados al capturar paquetes muestran que las contraseñas de diferentes usuarios son diferentes, no hay similitud y no son simples contraseñas; Seleccioné algunas contraseñas de usuario e intenté iniciar sesión en el buzón 163, en el Marco y en otras páginas web, y vi que el inicio de sesión había sido exitoso; 4. Existen muchas fuentes de direcciones IP de acceso a hackers, incluyendo Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan y otras ciudades. Después de bloquear la IP de inicio de sesión anormal, los hackers pueden cambiar rápidamente la IP de inicio de sesión, haciendo que nuestro bloqueo se vuelva ineficaz rápidamente. Solo podemos seguir a los hackers y, según las características de frecuencia, solo implementaremos el bloqueo después de alcanzar cierto número.5. El estado de actividad anterior del usuario no se comparará hasta mañana. Pero a juzgar por la situación actual, mi suposición inicial personal es que debería haber usuarios activos e inactivos, y la mayoría deberían ser usuarios inactivos.
A partir del análisis anterior, se puede ver básicamente que los hackers ya tienen a mano la información de usuario y contraseña de estos usuarios, y la mayoría de ellos son correctos. Las contraseñas pueden ser causadas por la filtración de varias contraseñas de red anteriormente. Consejos de seguridad Finalmente, el autor pregunta, ¿quieres que tu contraseña esté en manos de otra persona, o existe en la base de datos de otra persona? Para proteger la contraseña de todos, el autor aquí te da algunas sugerencias de contraseñas, 1. Cambiar tu contraseña regularmente; 2. La contraseña de la cuenta de sitios web importantes y la contraseña de los sitios no importantes deben estar separadas, como Tmall, JD.com, etc.; es mejor hacer que la contraseña de la cuenta sea diferente; 3. La contraseña tiene cierta complejidad, como más de 8 dígitos, incluyendo mayúsculas y minúsculas y símbolos especiales; para facilitar la memoria, puedes usar software criptográfico especial para gestionar tu propia contraseña, siendo el más famoso el keepass;Espero que, gracias a este contenido, todos puedan comprender mejor la seguridad de las contraseñas, para proteger mejor su privacidad personal y la seguridad de sus propiedades.
|
Publicado en 30/12/2014 14:05:37
|
|
|
|
