Horreur de Noël : fuite de données utilisateur 12306 ? À 10 heures, une grave faille de sécurité est apparue sur une plateforme de vulnérabilités : la base de données de 12306 utilisateurs a été compromise. Pour vérifier l’exactitude de ces informations, notre équipe a mené une enquête sur l’incident. Sur certains forums de travail social sur Internet, des traces de 12306 traîné ont effectivement été trouvées, et la photo suivante est une capture d’écran sur un forum de travail social :
Et cela circule sur Internet depuis un certain temps, et la plus ancienne heure connue est le 16 décembre. L’image ci-dessous montre la discussion de tout le monde sur cette période sur un forum.
Par certains canaux, nous avons finalement trouvé certaines des données présumées fuitées, qui incluent principalement12306Adresse e-mail, mot de passe, nom, carte d’identité, téléphone portable. La figure ci-dessous montre certaines des données fuitées.
Quelques tentatives de connexion ont été faites sur le compte fuité, et il a été retrouvé dans la base de données précédente10Tous les comptes peuvent être connectés. On peut voir que le coffre-fort des mots de passe fuités est effectivement vrai.
Actuellement, deux versions circulent sur Internet, à savoir 14M et 18G, qui ont été diffusées parmi des fabricants noirs clandestins, et nous soupçonnons deux possibilités de fuite de mot de passe : d’une part que le site 12306 a été traîné dans la base de données, et l’autre est que la société tierce de logiciels de saisie de tickets a été piratée et que la base de données a été traînée. Puisque le 12306 est authentifié avec son vrai nom, il contient de nombreuses informations importantes, notamment des cartes d’identité et des numéros de téléphone portable. Ancien article, nouvelle campagne : Dans qui est votre mot de passe ? Il y a quelques jours, beaucoup d’amis autour de moi se sont fait voler leurs mots de passe, et lorsqu’ils ont été volés, ils l’ont été par lots, et de nombreux mots de passe de sites web enregistrés par eux-mêmes ont été volés en même temps.
Comment les mots de passe sont-ils volés par des hackers ? Tout d’abord, le compte est volé, le premier soupçon est le problème de l’ordinateur touché par un cheval de Troie ; les hackers peuvent utiliser le keylogging, le phishing et d’autres méthodes pour voler des mots de passe en implantant des chevaux de Troie dans des ordinateurs personnels. Ainsi, l’auteur a vérifié les ordinateurs de plusieurs amis avec des mots de passe volés autour de lui et n’a trouvé aucun cheval de Troie, et il était évident que leurs comptes avaient été volés via des chevaux de Troie. Puisque ce n’est pas un problème avec votre propre ordinateur, il est probable que le site web enregistré ait été « traîné par quelqu’un pour être intégré dans la base de données ». Voici une explication de la base de données drag, la fameuse « bibliothèque de drag » est que les données utilisateur du site sont volées par injection SQL ou autre, et les informations de nom d’utilisateur et mot de passe de ce site sont obtenues, et de nombreux sites bien connus ont émis des événements de « drag library », tels que CSDN, Tianya, Xiaomi, etc. ; des hackers échangent et centralisent les bases de données réduites, formant une « bibliothèque de travail social » après l’autre. La base de données du travail social stocke beaucoup d’informations de mot de passe de compte provenant du site « draggeed », donc l’auteur a cherché les informations du compte d’un ami sur un site de base de données de travail social couramment utilisé par les hackers, et effectivement, il a trouvé le mot de passe du compte fuité :
En voyant cette bibliothèque, je pense que tout le monde devrait comprendre à qui appartient cette base de données de travail social.
Hehe.
On peut voir sur la capture d’écran que le mot de passe de l’ami a été divulgué depuis 51CTO, et que le mot de passe était chiffré avec MD5, mais il n’est pas impossible de résoudre ce mot de passe, et il existe de nombreux sites web sur Internet qui peuvent interroger le texte original de MD5, comme chercher du texte chiffré sur CMD5, et découvrir rapidement le texte original du mot de passe :
Après un déchiffrement réussi, connectez-vous au compte correspondant de votre ami avec le mot de passe, et effectivement, la connexion a été réussie. Il semble que la façon dont le mot de passe a été divulgué ait été trouvée. Alors, la question est maintenant : comment les hackers ont-ils pu pirater plusieurs sites web d’amis ? Base de données souterraine choquante À ce stade, il est temps de sacrifier un autre de nos outils (www.reg007.com), car beaucoup de gens ont l’habitude d’utiliser la même adresse e-mail pour enregistrer beaucoup d’activités, et via ce site web vous pouvez interroger quel site a été enregistré avec un certain email ; la première fois que j’ai vu ce site, mes amis et moi avons été stupéfaits, voici la situation lors de la requête d’un certain e-mail, un total de 21 sites web enregistrés ont été interrogés :
En fait, de nombreux amis ont aussi cette habitude, c’est-à-dire que, pour faciliter la mémoire, ils enregistrent tous les comptes de site web avec le même compte et mot de passe, que ce soit un petit forum ou un centre commercial impliquant des propriétés comme JD.com et Tmall. Cette pratique est très dangereuse, et si l’un des sites tombe, tous les comptes seront en danger.Surtout après la fuite de la base de données CSDN en 2011, de plus en plus de sites web ont divulgué leurs bases de données, et ces bases de données fuitées peuvent être trouvées sur des sites web à volonté. Vous pouvez y réfléchir : lorsque votre mot de passe de compte est le même, grâce aux étapes ci-dessus, vous pouvez facilement savoir dans quelle université vous êtes allée (Xuexin.com), quel travail vous avez accompli (Future Worry-free, Zhilian), ce que vous avez acheté (JD.com, Taobao), qui vous connaissez (carnet d’adresses cloud), et ce que vous avez dit (QQ, WeChat)
La figure ci-dessous montre certaines informations sur la base de données du travail social échangées par certains sites web clandestins
Ce qui est dit ci-dessus n’est pas alarmiste, car il existe trop de sites web qui peuvent réellement « masquer les identifiants », et il existe aussi de nombreux exemples de « blanchiment bancaire », « fraude de crédentiels » et « volage de banques » d’industries noires. Voici une explication de ces termes : après avoir obtenu une grande quantité de données utilisateur en « traînant la bibliothèque », les pirates monétisent des données utilisateur précieuses par une série de moyens techniques et la chaîne industrielle noire, généralement appelée « lavage de base de données », et enfin le pirate tentera de se connecter à d’autres sites web avec les données obtenues par le pirate, ce qu’on appelle le « stuffing de crédents », car de nombreux utilisateurs aiment utiliser un mot de passe unifié pour un nom d’utilisateur, et le « stuffing de crédentiel » est souvent très gratifiant. En cherchant sur la plateforme de soumission de vulnérabilités « Dark Cloud », on constate que de nombreux sites présentent des vulnérabilités liées au remplissage de crédences, et en même temps, les camps offensif et défensif se sont défendus à plusieurs reprises, et la méthode d’attaque appelée « bourrage de crédibilité » a toujours été particulièrement populaire dans le milieu de l’industrie noire en raison de ses caractéristiques telles que « simple », « brut » et « efficace ». L’auteur a déjà été confronté à un incident de bourrage d’identifiants à grande échelle dans une boîte aux lettres bien connue en Chine pendant le projet, et voici quelques extraits des emails échangés à cette époque :
Analyse des anomalies De 10 heures ce matin jusqu’à la fin de 21h10, il y a une connexion anormale évidente, qui est en gros jugée être un piratage. Les hackers utilisent des programmes de connexion automatique pour initier un grand nombre de requêtes de connexion depuis la même IP en peu de temps, avec des requêtes simultanées et une fréquence de requête élevée, jusqu’à plus de 600 requêtes de connexion par minute. Tout au long de la journée aujourd’hui, un total de 225 000 connexions réussies et 43 000 échecs ont eu lieu ensemble, impliquant environ 130 000 comptes (2 connexions par compte) ; Le pirate s’est connecté depuis la version de base de WAP, est passé à la version standard après une connexion réussie, et a désactivé la notification de connexion dans la version standard, déclenchant ainsi un rappel par SMS avec des modifications du numéro de téléphone mobile lié au compte. D’après l’analyse des journaux, aucun autre comportement n’a été détecté après que le pirate ait modifié la notification de connexion, et il n’a envoyé aucun e-mail après s’être connecté. Les résultats préliminaires de l’analyse sont les suivants :
1. Le pirate utilise la méthode standard d’authentification nom d’utilisateur et mot de passe pour se connecter, et le taux de réussite de l’authentification est très élevé. En interrogeant les journaux des derniers jours, aucune tentative de connexion n’a été trouvée par ces utilisateurs. C’est-à-dire que le mot de passe utilisateur est obtenu par d’autres moyens, et non par la force brute de craquer le mot de passe du système de messagerie ; 2. Le lieu d’enregistrement des utilisateurs volés par des hackers est répandu dans tout le pays, sans caractéristiques évidentes, et il n’y a pas de caractéristiques évidentes concernant l’heure d’enregistrement ; 3. Certains noms d’utilisateur et mots de passe interceptés par la capture des paquets montrent que les mots de passe des utilisateurs différents sont différents, qu’il n’y a pas de similarité, et qu’il ne s’agit pas de mots de passe simples ; J’ai sélectionné quelques mots de passe utilisateur et essayé de me connecter à la boîte aux lettres 163, à Dianping et à d’autres sites web, et j’ai constaté que la connexion avait réussi ; 4. Il existe de nombreuses sources d’adresses IP de connexion pour hackers, notamment Xi’an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan et d’autres villes. Après avoir bloqué l’IP de connexion anormale, les pirates peuvent rapidement modifier l’IP de connexion, ce qui rend notre blocage rapidement inefficace. Nous ne pouvons suivre que les hackers, et selon les caractéristiques de fréquence, nous n’appliquerons le blocage qu’après avoir atteint un certain nombre.5. Le statut d’activité précédent de l’utilisateur ne sera pas correspondu avant demain. Mais à en juger par la situation actuelle, mon hypothèse personnelle est qu’il devrait y avoir des utilisateurs actifs et inactifs, et la plupart d’entre eux devraient être des utilisateurs inactifs.
D’après l’analyse ci-dessus, on peut en gros voir que les hackers ont déjà les informations de nom d’utilisateur et de mot de passe de ces utilisateurs, et la plupart d’entre eux ont raison. Les mots de passe peuvent être causés par la fuite de diverses informations de mots de passe réseau auparavant. Conseils de sécurité Enfin, l’auteur demande : voulez-vous que votre mot de passe soit entre les mains de quelqu’un d’autre, ou existe-t-il dans la base de données de quelqu’un d’autre ? Pour protéger le mot de passe de chacun, l’auteur ici vous propose quelques suggestions de mots de passe, 1. Changer régulièrement votre mot de passe ; 2. Le mot de passe des sites importants et celui des sites non importants doivent être séparés, tels que Tmall, JD.com, etc., il est préférable de modifier le mot de passe du compte ; 3. Le mot de passe présente une certaine complexité, comme plus de 8 chiffres, incluant des lettres majuscules et minuscules ainsi que des symboles spéciaux, afin de faciliter la mémoire, vous pouvez utiliser un logiciel cryptographique spécial pour gérer votre propre mot de passe, le plus célèbre étant le keepass ;J’espère qu’à travers ce contenu, chacun pourra mieux comprendre la sécurité des mots de passe, afin de mieux protéger sa vie privée et la sécurité de ses biens.
|
Publié sur 30/12/2014 14:05:37
|
|
|
|
