Karácsonyi horror: 12306 felhasználói adat szivárgása? Reggel 10-kor komoly biztonsági sebezhetőség jelent meg egy sebezhetőségi platformon – a 12306 felhasználó adatbázisa kompromittálódott. Az információ pontosságának ellenőrzése érdekében csapatunk vizsgálatot végzett az eset ügyében. Néhány internetes szociális munka fórumon keresztül valóban találtak nyomokat a 12306 elhúzásáról, és a következő kép egy képernyőkép egy szociális munka fórumon:
És már egy bizonyos ideje terjed az interneten, és a legkorábbi ismert időpont december 16. Az alábbi kép mindenki beszélgetését mutatja egy fórumon.
Néhány csatornán keresztül végül megtaláltuk a feltételezett kiszivárgott adatokat, amelyek főként a következőket tartalmazzák12306Regisztrált e-mail cím, jelszó, név, személyi igazolvány, mobiltelefon. Az alábbi ábra néhány kiszivárgott adatot mutat.
Néhány bejelentkezési kísérlet történt a kiszivárgott fiókhoz, és az előző adatbázisban is megtalálta10Minden fiók be lehet jelentkezni. Látható, hogy a kiszivárgott jelszó tároló valóban igaz.
Jelenleg két verzió keringik az interneten, nevezetesen a 14M és a 18G, amelyeket a fekete alvilág gyártói között terjesztettek, és gyanítjuk, hogy két lehetőség van a jelszókiszivárogásra: az egyik az, hogy a 12306-os weboldalt bevonták az adatbázisba, a másik pedig az, hogy a harmadik féltől származó jegyszerző szoftvercéget feltörték, és az adatbázist elhúzták. Mivel a 12306-os azonosítás valódi néven van, sok fontos információt tartalmaz, beleértve az igazolványokat és mobiltelefonszámokat. Régi cikk új próba: Kiben van a jelszavad? Néhány nappal ezelőtt sok barátom jelszavát ellopták, és amikor ellopták, akkor sorozatokban lopták el, és sokféle, saját maguktól regisztrált weboldal jelszavát egyszerre lopták el.
Hogyan lopják el a hackerek a jelszavakat? Először is, a fiókot ellopták, az első gyanú az, hogy a számítógépet egy trójai falva üti el, a hackerek kulcsnaplózást, adathalászatot és más módszereket alkalmazhatnak jelszavak ellopására, trójai falvak beültetésével a személyes számítógépekbe. Ezért a szerző átvizsgálta több barátja számítógépét, akinek körülötte lopott jelszavak voltak, és nem talált trójai falokat, és nyilvánvaló volt, hogy fiókjaikat trójai lovakon keresztül lopták el. Mivel ez nem a saját számítógépeddel van probléma, valószínű, hogy a regisztrált weboldalt "valaki húzta be az adatbázisba", íme egy magyarázat a drag adatbázisra, az úgynevezett "drag könyvtár" az, hogy a weboldal felhasználói adatait SQL injekcióval vagy más módon lopják el, és a weboldal felhasználónév- és jelszóadatai megszerződnek, és sok ismert weboldal "drag könyvtár" eseményeket indított ki, mint például a CSDN, Tianya, Xiaomi stb., a hackerek cserélik és központosítják a lehúzott adatbázisokat, egymás után úgynevezett "szociális munkakönyvtárat" alkotva, A szociális munka adatbázisa sok fiókjelszót tárol a "húzott" weboldalról, így a szerző egy barátja fiókadatait kereste egy szociális munka adatbázis-oldalon, amelyet a hackerek gyakran használnak, és valóban, megtalálta a kiszivárgott fiókjelszót:
Látva ezt a könyvtárat, szerintem mindenkinek meg kellene értenie, kinek a szociális munka adatbázisa ez.
Hehe.
A képernyőképen látható, hogy a barát jelszavát kiszivárogtatták a 51CTO-tól, és a jelszót MD5-tel titkosították, de nem lehetetlen megoldani ezt a jelszót, és számos weboldal van az interneten, amelyek az MD5 eredeti szövegét lekérdezik, például titkosított szöveget keresnek a CMD5-en, és gyorsan megtalálják a jelszó eredeti szövegét:
A sikeres visszafejtés után jelentkezz be a barátod megfelelő fiókjába a jelszóval, és valóban, a bejelentkezés sikeres volt. Úgy tűnik, hogy a jelszó kiszivárgásának módja már megtalálták. Szóval most az a kérdés, hogyan törhettek fel a hackerek több baráti weboldalra? Sokkoló földalatti adatbázis Most itt az ideje, hogy feláldozzuk egy másik eszközünket (www.reg007.com), mert sokan ugyanazt az e-mail címet használják sok vállalkozás regisztrálásához, és ezen a weboldalon keresztül megkérdezheted, melyik weboldal volt regisztrálva egy adott e-mail címmel; amikor először láttam ezt a weboldalt, barátaimmal meg voltunk döbbenve, a következő helyzet egy adott e-mail lekérdezésekor összesen 21 regisztrált weboldalt kérdeztek:
Valójában sok barátnak is van ilyen szokása, vagyis a memória megkönnyítése érdekében minden weboldali fiókot ugyanazzal a fiókkal és jelszóval regisztrálnak, legyen szó egy kis fórumról vagy egy olyan bevásárlóközpontról, ahol olyan ingatlanok vannak, mint a JD.com és a Tmall. Ez a gyakorlat nagyon veszélyes, és ha valamelyik helyszín elesik, minden fiók veszélybe kerül.Különösen a 2011-es CSDN adatbázis-szivárgás után egyre több weboldal szivárogtatta meg az adatbázisokat, és ezek a kiszivárogtatott adatbázisok bármikor megtalálhatók a weboldalakon. Gondolkodj rajta, ha a fiókod jelszó ugyanaz, a fenti lépéseken keresztül könnyen megtudhatod, melyik egyetemre jártál (Xuexin.com), milyen munkát végeztél (Future Worry-free, Zhilian), mit vettél (JD.com, Taobao), kit ismersz (felhő címjegyzék), és mit mondtál (QQ, WeChat).
Az alábbi ábra néhány szociális munka adatbázis-információt mutat be, amelyeket néhány földalatti weboldal cserél
Amit fent mondottak, az nem riasztó, mert túl sok weboldal létezik, amely a valóságban "betitkolhat" a hitelesítéseket, és sok példa van a fekete iparágak nagyszabású "bankmosására", "hitelesítő kitöltésére" és "banki ellopásra" is. Íme a magyarázat ezekre a kifejezésekre: miután nagy mennyiségű felhasználói adatot szereztek meg a könyvtár húzásával, a hackerek értékes felhasználói adatokat szereznek egy sor technikai módszerrel és a fekete iparági láncon, amit általában "adatbázis mosásnak" neveznek, végül megpróbál más weboldalakra bejelentkezni a hacker által szerzett adatokkal, amit "credential stuffing"-nek hívnak, mert sok felhasználó szeret egységes felhasználónévjelszót használni, és a "credential stuffing" gyakran nagyon jutalmazó. A "Dark Cloud" sebezhetőségi beküldési platformon keresve található, hogy sok weboldalon vannak hitelesítési adatok elleni sebezhetőség, miközben a támadó és védekező oldalak ismételten védekeztek egymás ellen, és a "credential stuffing" támadási módszere mindig is különösen népszerű volt a fekete ipar körében olyan jellemzői miatt, mint az "egyszerű", "durva" és "hatékony". A szerző egyszer egy nagyszabású hitelesítő kártya tömés incidenssel találkozott egy ismert kínai postaládában a projekt során, és az alábbiakban néhány részlet az akkori e-mailekből található:
Anomália elemzés Ma reggel 10 órától este 21:10 körül nyilvánvaló rendellenes bejelentkezés történt, amit gyakorlatilag hackelésnek minősítettek. A hackerek automatikus bejelentkezési programokat használnak, hogy rövid idő alatt ugyanarról az IP-ről nagy számú bejelentkezési kérést indítanak, párhuzamos kérésekkel és magas gyakorisággal, akár több mint 600 bejelentkezési kérést is percenként. A nap folyamán összesen 225 000 sikeres bejelentkezés és 43 000 sikertelen bejelentkezés történt, mintegy 130 000 fiókot érintettek (2 bejelentkezés egy fiókonként); A hacker a WAP alap verziójáról jelentkezett be, a sikeres bejelentkezés után átváltott a szabványos verzióra, és a bejelentkezési értesítést a standard verzióban kikapcsolta, így egy SMS-emlékeztető váltott ki a fiókhoz kötött mobiltelefonszám módosításával. A naplóelemzés alapján nem találtak más viselkedést, miután a hacker módosította a bejelentkezési értesítést, és a hacker nem küldött e-mailt a bejelentkezés után. Az előzetes elemzési eredmények a következők:
1. A hacker a szokásos felhasználónév-jelszó hitelesítési módszert használja a bejelentkezéshez, és a hitelesítési sikerességi arány nagyon magas. Az elmúlt napok naplóit megkérdezve ezek a felhasználók nem találtak bejelentkezési kísérleteket. Vagyis a felhasználói jelszót más módokon szerezzük, nem pedig erőszakkal törik fel az e-mail rendszer jelszavát; 2. A hackerek által ellopott felhasználók regisztrációs helye az egész országban található, nincs nyilvánvaló jellemző, és nincs egyértelmű jellemzője a regisztrációs időnek; 3. Néhány felhasználónév és jelszó, amelyet csomagok elfogásával elfognak, azt mutatja, hogy a különböző felhasználók jelszavai eltérnek, nincs hasonlóság, és nem egyszerű jelszavak; Kiválasztottam néhány felhasználói jelszavat, és megpróbáltam bejelentkezni 163 postalába, Dianpingre és más weboldalakon, de azt találtam, hogy a bejelentkezés sikeres volt; 4. Számos hacker bejelentkezési IP-cím forrása létezik, többek között Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huinan, és más városok. Miután letiltjuk a rendellenes bejelentkezési IP-t, a hackerek gyorsan megváltoztathatják a bejelentkezési IP-t, így a blokkolás gyorsan hatástalanná válik. Csak a hackereket tudjuk követni, és a frekvenciajellemzők szerint csak egy bizonyos szám elérése után hajtjuk végre a blokkolást.5. A felhasználó korábbi aktivitási státuszát csak holnap egyeztetik meg. De a jelenlegi helyzetből ítélve személyes előzetes tippem az, hogy legyenek aktív és inaktív felhasználók, és a legtöbbjük inaktív felhasználó.
A fenti elemzésből alapvetően látható, hogy a hackereknek már kéznél van ezeknek a felhasználóknak a felhasználónevük és jelszava, és a legtöbbjük helyes. A jelszavakat okozhatják, hogy korábban különböző hálózati jelszóinformációk szivárogtak ki. Biztonsági tanácsok Végül a szerző megkérdezi: szeretnéd-e, hogy a jelszavad valaki más kezében legyen, vagy létezik valaki más adatbázisában? Hogy mindenki jelszavait megvédje, a szerző néhány jelszójavaslatot ad, 1. Rendszeresen változtasd meg a jelszavadat; 2. Fontos weboldalak fiókjelszavát és nem fontos weboldalak, például Tmall, JD.com stb. fiókjelszavát el kell választani; a legjobb a fiókjelszót külön megcsinálni; 3. A jelszónak van egy bizonyos összetettsége, például több mint 8 számjegy, beleértve a nagy- és kisbetűket, valamint a speciális szimbólumokat, a memória megkönnyítése érdekében speciális kriptográfiai szoftverekkel kezelheted a saját jelszavadat, a legismertebb a keepass;Remélem, hogy a fenti tartalom révén mindenki jobban megértheti a jelszóbiztonságot, hogy jobban megvédje személyes magánéletét és tulajdonbiztonságát.
|
Közzétéve 2014. 12. 30. 14:05:37
|
|
|
|
