Joulun kauhu: 12306-käyttäjätietojen vuoto? Kello 10 aamulla vakava tietoturva-aukko ilmestyi haavoittuvuusalustalle – 12306-käyttäjän tietokanta oli vaarantunut. Varmistaaksemme tämän tiedon paikkansapitävyyden tiimimme suoritti tapauksen tutkinnan. Joidenkin sosiaalityön foorumeiden kautta internetissä on todellakin löydetty jälkiä 12306:n raahaamisesta, ja seuraava kuva on kuvakaappaus sosiaalityön foorumilta:
Ja se on kiertänyt internetissä tietyn ajan, ja varhaisin tunnettu aika on 16. joulukuuta. Alla oleva kuva näyttää kaikkien keskustelun tästä ajasta foorumilla.
Joidenkin kanavien kautta löysimme lopulta joitakin epäiltyjä vuotaneita tietoja, jotka pääasiassa sisältävät12306Rekisteröity sähköposti, salasana, nimi, henkilökortti, matkapuhelin. Alla oleva kuva näyttää osan vuotaneista tiedoista.
Vuotaneelle tilille tehtiin kirjautumisyrityksiä, ja se löytyi edellisestä tietokannasta10Kaikki tilit voi kirjautua sisään. On nähtävissä, että vuotanut salasanaholvi on tosi.
Tällä hetkellä internetissä kiertää kaksi versiota, nimittäin 14M ja 18G, joita on kiertänyt alamaailman mustien valmistajien keskuudessa, ja epäilemme, että salasanavuotoon on kaksi mahdollisuutta: toinen on, että 12306-verkkosivusto on vedetty tietokantaan, ja toinen on, että kolmannen osapuolen lippujen kaappausohjelmistoyritys on hakkeroitu ja tietokanta on vedetty pois. Koska 12306 on vahvistettu oikealla nimellä, se sisältää paljon tärkeää tietoa, kuten henkilökortteja ja matkapuhelinnumeroita. Vanha artikkeli uusi painostus: Kenellä salasanasi on? Muutama päivä sitten monilta ystäviltäni ympärilläni varastettiin, ja kun ne varastettiin, ne varastettiin erissä, ja monet eri verkkosivustojen salasanat, jotka itse rekisteröitiin, varastettiin samaan aikaan.
Miten hakkerit varastavat salasanat? Ensinnäkin tili varastetaan, ensimmäinen epäilys liittyy siihen, että tietokone joutuu Troijan hevosen osumaksi; hakkerit voivat käyttää näppäinlokkia, tietojenkalastelua ja muita keinoja salasanojen varastamiseen istuttamalla troijalaisia hevosia henkilökohtaisiin tietokoneisiin. Siksi kirjoittaja tarkisti useiden ystäviensä tietokoneet, joilla oli varastettuja salasanoja, eikä löytänyt Troijan hevosia, ja oli ilmeistä, että heidän tilinsä oli varastettu troijan hevosten kautta. Koska ongelma ei ole omassa tietokoneessasi, on todennäköistä, että rekisteröity verkkosivusto on "vedetty jonkun toimesta vedettäväksi tietokantaan". Tässä on selitys vedettävästä tietokannasta, niin sanottu "drag-kirjasto" tarkoittaa, että verkkosivuston käyttäjätiedot varastetaan SQL-injektiolla tai muilla keinoilla, ja tämän sivuston käyttäjätunnus- ja salasanatiedot saadaan, ja monet tunnetut verkkosivustot ovat julkaisseet "drag library" -tapahtumia, kuten CSDN, Tianya, Xiaomi jne., hakkerit vaihtavat ja keskittävät vedetyt tietokannat, muodostaen yhden niin kutsutun "sosiaalisen työn kirjaston" toisensa jälkeen, Sosiaalityön tietokanta tallentaa paljon tilitietoja "vedetystä" verkkosivustosta, joten kirjoittaja etsi ystävänsä tilitietoja sosiaalisen työn tietokannan sivustolta, jota hakkerit yleisesti käyttävät, ja löysi vuotaneen tilin salasanan:
Kun näen tämän kirjaston, uskon, että kaikkien pitäisi ymmärtää, kenen sosiaalityön tietokanta tämä on.
Hehe.
Kuvakaappauksesta näkyy, että ystävän salasana vuoti 51CTO:lta, ja salasana oli salattu MD5:llä, mutta tämän salasanan ratkaiseminen ei ole mahdotonta, ja Internetissä on monia verkkosivustoja, jotka voivat hakea MD5:n alkuperäistä tekstiä, esimerkiksi hakemalla salattua tekstiä CMD5:stä ja löytämällä salasanan alkuperäisen tekstin nopeasti:
Onnistuneen salauksen purkamisen jälkeen kirjaudu ystäväsi asiaankuuluvalle tilille salasanalla, ja totta kai kirjautuminen onnistui. Näyttää siltä, että salasanan vuototapa on paljastettu. Joten nyt kysymys kuuluu, miten hakkerit murtautuivat useisiin ystävien verkkosivuihin? Järkyttävä maanalainen tietokanta Nyt on aika uhrata toinen työkalumme (www.reg007.com), koska monilla ihmisillä on tapana käyttää samaa sähköpostiosoitetta rekisteröidessään paljon yrityksiä, ja tämän sivuston kautta voi kysyä, mikä verkkosivusto on rekisteröity tietyllä sähköpostilla. Kun näin tämän sivuston ensimmäistä kertaa, ystäväni ja minä olimme hämmästyneitä, seuraava tilanne on tietyn sähköpostin kyselyssä, yhteensä 21 rekisteröityä verkkosivustoa kysyttiin:
Itse asiassa monilla ystävilläkin on tällainen tapa, eli muistin helpottamiseksi he rekisteröivät kaikki verkkosivustotilit samalla tilillä ja salasanalla, olipa kyseessä pieni foorumi tai ostoskeskus, jossa on kiinteistöjä kuten JD.com ja Tmall. Tämä käytäntö on erittäin vaarallinen, ja jos jokin sivusto kaatuu, kaikki tilit ovat vaarassa.Erityisesti CSDN-tietokantavuodon jälkeen vuonna 2011 yhä useammat verkkosivustot ovat vuotaneet tietokantoja, ja nämä vuotaneet tietokannat löytyvät verkkosivuilta vapaasti. Voit miettiä, että kun tilisi salasana on sama, yllä mainittujen vaiheiden kautta voit helposti tietää, missä yliopistossa olet käynyt (Xuexin.com), mitä työtä olet tehnyt (Future Worry-free, Zhilian), mitä olet ostanut (JD.com, Taobao), ketä tunnet (pilviosoitekirja) ja mitä olet sanonut (QQ, WeChat)
Alla oleva kuva näyttää osan sosiaalityön tietokannan tiedoista, joita jotkut maanalaiset verkkosivustot ovat vaihtaneet
Yllä sanottu ei ole hälyttävää, sillä todellisuudessa on liikaa verkkosivustoja, jotka voivat "huijata tunnuksia", ja on myös monia esimerkkejä laajamittaisesta "pankkien pesusta", "tunnistetietojen täyttämisestä" ja mustien teollisuudenalojen "pankkien varastamisesta". Tässä on selitys näille termeille: saatuaan suuren määrän käyttäjätietoja "kirjaston vetämisen" kautta hakkerit ansaitsevat arvokasta käyttäjädataa teknisten keinojen ja mustan teollisuuden ketjun kautta, jota yleensä kutsutaan "tietokantapesuksi", ja lopuksi hakkeri yrittää kirjautua muille verkkosivustoille hakkerin saamilla tiedoilla, jota kutsutaan "tunnistetietojen täyttämiseksi", koska monet käyttäjät haluavat käyttää yhtenäistä käyttäjätunnussalasanaa, ja "tunnistetietojen täyttäminen" on usein erittäin palkitsevaa. Haavoittuvuuksien lähetysalustalta "Dark Cloud" löytyy haavoittuvuuksien lähettämisestä ja monilla verkkosivustoilla on tunnistetietojen täyttämiseen liittyviä haavoittuvuuksia, ja samalla hyökkäävät ja puolustavat osapuolet ovat toistuvasti puolustautuneet toisiaan vastaan, ja hyökkäysmenetelmä "tunnistetietojen täyttäminen" on aina ollut erityisen suosittu mustan teollisuuden piirissä sen ominaisuuksien kuten "yksinkertainen", "karkea" ja "tehokas" vuoksi. Kirjoittaja kohtasi kerran laajamittaisen tunnistetietojen täyttämistapauksen tunnetussa postilaatikossa Kiinassa projektin aikana, ja seuraavassa on otteita tuolloin vaihdetuista sähköposteista:
Poikkeamaanalyysi Noin kello 10 aamulla noin 21:10 asti illalla on ilmeinen poikkeava kirjautuminen, joka on käytännössä todettu hakkerointiksi. Hakkerit käyttävät automaattisia kirjautumisohjelmia käynnistääkseen suuren määrän kirjautumispyyntöjä samasta IP-osoitteesta lyhyessä ajassa, samanaikaisilla pyynnöillä ja korkealla tiheydellä, jopa yli 600 kirjautumispyyntöä minuutissa. Päivän aikana tapahtui yhteensä 225 000 onnistunutta kirjautumista ja 43 000 epäonnistunutta kirjautumista, mukaan lukien noin 130 000 tiliä (2 kirjautumista per tili); Hakkeri kirjautui sisään WAP:n perusversiosta, vaihtoi tavalliseen versioon onnistuneen kirjautumisen jälkeen ja poisti kirjautumisilmoituksen pois päältä vakioversiossa, mikä laukaisi tekstiviestimuistutuksen, jossa tiliin sidottua matkapuhelinnumeroa muutettiin. Lokianalyysin mukaan muuta toimintaa ei löytynyt sen jälkeen, kun hakkeri oli muuttanut kirjautumisilmoitusta, eikä hakkeri lähettänyt sähköposteja kirjautumisen jälkeen. Alustavat analyysitulokset ovat seuraavat:
1. Hakkeri käyttää tavallista käyttäjätunnus-salasana-todennusmenetelmää kirjautumiseen, ja todennusprosentti on erittäin korkea. Viime päivien lokkeja kysyessäni näiltä käyttäjiltä ei löytynyt kirjautumisyrityksiä. Eli käyttäjäsalasana saadaan muilla tavoilla, ei voimalla murtamalla sähköpostijärjestelmän salasanaa; 2. Hakkereiden varastamien käyttäjien rekisteröintipaikka on ympäri maata, eikä siinä ole ilmeisiä ominaisuuksia, eikä rekisteröintiajasta ole selviä piirteitä; 3. Jotkut käyttäjätunnukset ja salasanat, jotka on kaapattu pakettien kaappaamisella, osoittavat, että eri käyttäjien salasanat ovat erilaisia, niissä ei ole yhtäläisyyksiä, eivätkä ne ole yksinkertaisia salasanoja; Valitsin muutaman käyttäjäsalasanan ja yritin kirjautua sisään 163 mailboxiin, Dianpingiin ja muihin sivustoihin, ja huomasin, että kirjautuminen onnistui; 4. Hakkerien kirjautumisosoitteisiin on monia lähteitä, kuten Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huinanin ja muut kaupungit. Kun estämme epänormaalin kirjautumis-IP:n, hakkerit voivat nopeasti vaihtaa kirjautumis-IP:tä, jolloin estäminen menettää tehonsa nopeasti. Voimme seurata vain hakkereita, ja taajuusominaisuuksien mukaan otamme estoa käyttöön vasta tietyn määrän saavuttamisen jälkeen.5. Käyttäjän aiempi aktiivisuustila ei täsmätä ennen huomista. Mutta nykytilanteen perusteella henkilökohtainen alustava arvaukseni on, että käyttäjiä pitäisi olla aktiivisia ja passiivisia, ja suurin osa heistä on passiivisia.
Yllä olevan analyysin perusteella voidaan käytännössä nähdä, että hakkerit omistavat jo näiden käyttäjien käyttäjätunnukset ja salasanat, ja suurin osa niistä on oikeassa. Salasanat voivat johtua erilaisten verkkosalasanojen tietojen vuotamisesta aiemmin. Turvallisuusneuvoja Lopuksi kirjoittaja kysyy, haluatko, että salasanasi on jonkun toisen käsissä vai onko se jonkun toisen tietokannassa? Kaikkien salasanan suojaamiseksi kirjoittaja antaa sinulle muutamia salasanaehdotuksia, 1. Vaihda salasanasi säännöllisesti; 2. Tärkeiden verkkosivustojen tilisalasanat ja ei-tärkeiden sivustojen, kuten Tmallin, JD.com jne., tilisalasanat on oltava erillään, ja on parasta tehdä tilisalasanasta erilainen; 3. Salasanalla on tietty monimutkaisuus, kuten yli 8 numeroa, mukaan lukien isot ja pienet kirjaimet sekä erityiset symbolit; muistin helpottamiseksi voit käyttää erityistä kryptografista ohjelmistoa oman salasanan hallintaan, tunnetumpi on keepass;Toivon, että yllä olevan sisällön kautta jokainen saa paremman käsityksen salasanojen turvallisuudesta, jotta heidän yksityisyytensä ja omaisuutensa suojaus voidaan suojata paremmin.
|
Julkaistu 30.12.2014 14.05.37
|
|
|
|
