Horor Natal: 12306 Kebocoran Data Pengguna? Pada pukul 10 pagi, kerentanan keamanan serius muncul di platform kerentanan - database 12306 pengguna disusupi. Untuk memverifikasi keakuratan informasi ini, tim kami melakukan penyelidikan atas insiden tersebut. Melalui beberapa forum pekerjaan sosial di Internet, beberapa jejak 12306 yang diseret memang telah ditemukan, dan gambar berikut adalah tangkapan layar di forum pekerjaan sosial:
Dan itu telah beredar di Internet untuk waktu tertentu, dan waktu paling awal yang diketahui adalah 16 Desember. Gambar di bawah ini menunjukkan diskusi semua orang tentang kali ini di sebuah forum.
Melalui beberapa saluran, kami akhirnya menemukan beberapa data yang dicurigai bocor, yang terutama mencakup12306Email terdaftar, kata sandi, nama, KTP, ponsel. Gambar di bawah ini menunjukkan beberapa data yang bocor.
Beberapa upaya login dilakukan ke akun yang bocor, dan ditemukan di database sebelumnya10Semua akun dapat masuk. Dapat dilihat bahwa brankas kata sandi yang bocor memang benar.
Saat ini, ada dua versi yang beredar di Internet, yaitu 14M dan 18G, yang telah beredar di antara produsen hitam bawah tanah, dan kami menduga ada dua kemungkinan kebocoran kata sandi, satu adalah situs web 12306 telah diseret ke dalam database, dan yang lainnya adalah perusahaan perangkat lunak perebutan tiket pihak ketiga telah diretas dan database telah diseret. Karena 12306 diautentikasi dengan nama asli, itu berisi banyak informasi penting, termasuk kartu identitas dan nomor ponsel. Artikel lama push baru: Kata sandi Anda di mana siapa? Beberapa hari yang lalu, banyak teman di sekitar saya yang sandi mereka dicuri, dan ketika dicuri, kata sandi mereka dicuri secara berkelompok, dan banyak kata sandi situs web yang berbeda yang didaftarkan sendiri dicuri pada saat yang bersamaan.
Bagaimana kata sandi dicuri oleh peretas? Pertama-tama, akun dicuri, kecurigaan pertama adalah masalah komputer yang terkena kuda Troya, peretas dapat menggunakan keylogging, phishing, dan metode lain untuk mencuri kata sandi dengan menanamkan Trojan horse di komputer pribadi. Oleh karena itu, penulis memeriksa komputer beberapa teman dengan kata sandi curian di sekitarnya dan tidak menemukan kuda Troya, dan jelas bahwa akun mereka dicuri melalui kuda Troya. Karena tidak masalah dengan komputer Anda sendiri, maka kemungkinan situs web yang telah didaftarkan telah "diseret oleh seseorang untuk diseret ke dalam database", berikut adalah penjelasan tentang database drag, yang disebut "perpustakaan seret" adalah bahwa data pengguna situs web dicuri dengan injeksi SQL atau cara lain, dan informasi nama pengguna dan kata sandi situs web ini diperoleh, dan banyak situs web terkenal telah mengeluarkan acara "perpustakaan seret", seperti CSDN, Tianya, Xiaomi, dll., Peretas akan bertukar dan memusatkan database yang diseret, membentuk satu demi satu yang disebut "perpustakaan pekerjaan sosial", Basis data pekerjaan sosial menyimpan banyak informasi kata sandi akun dari situs web yang "diseret", sehingga penulis mencari informasi akun teman di situs web database pekerjaan sosial yang biasa digunakan oleh peretas, dan benar saja, menemukan kata sandi akun yang bocor:
Melihat perpustakaan ini, saya pikir semua orang harus mengerti database pekerjaan sosial siapa ini.
Hehe.
Dapat dilihat dari tangkapan layar bahwa kata sandi teman bocor dari 51CTO, dan kata sandi dienkripsi dengan MD5, tetapi bukan tidak mungkin untuk menyelesaikan kata sandi ini, dan ada banyak situs web di Internet yang dapat menanyakan teks asli MD5, seperti mencari teks sandi di CMD5, dan dengan cepat menemukan teks asli kata sandi:
Setelah dekripsi berhasil, masuk ke akun teman Anda yang relevan dengan kata sandi, dan benar saja, login berhasil. Tampaknya cara kata sandi bocor telah ditemukan. Jadi, sekarang pertanyaannya adalah, bagaimana peretas meretas beberapa situs web teman? Basis data bawah tanah yang mengejutkan Saat ini, saatnya mengorbankan alat lain kami (www.reg007.com), karena banyak orang memiliki kebiasaan menggunakan alamat email yang sama untuk mendaftarkan banyak bisnis, dan melalui situs web ini Anda dapat menanyakan situs web apa yang telah terdaftar dengan email tertentu, pertama kali saya melihat situs web ini, saya dan teman-teman tercengang, berikut ini adalah situasi ketika menanyakan email tertentu, total 21 situs web terdaftar ditanyai:
Bahkan, banyak teman juga memiliki kebiasaan seperti itu, yaitu untuk memudahkan memori, mereka akan mendaftarkan semua akun situs web dengan akun dan kata sandi yang sama, baik itu forum kecil, atau mal yang melibatkan properti seperti JD.com dan Tmall. Praktik ini sangat tidak aman, dan jika salah satu situs jatuh, semua akun akan berisiko.Apalagi setelah kebocoran database CSDN pada tahun 2011, semakin banyak situs web yang membocorkan database, dan database yang bocor ini dapat ditemukan di situs web sesuka hati. Anda dapat memikirkannya, ketika kata sandi akun Anda sama, melalui langkah-langkah di atas, Anda dapat dengan mudah mengetahui universitas mana yang pernah Anda kunjungi (Xuexin.com), pekerjaan apa yang telah Anda lakukan (Future Worry-free, Zhilian), apa yang telah Anda beli (JD.com, Taobao), siapa yang Anda kenal (buku alamat cloud), dan apa yang telah Anda katakan (QQ, WeChat)
Gambar di bawah ini menunjukkan beberapa informasi database pekerjaan sosial yang dipertukarkan oleh beberapa situs web bawah tanah
Apa yang dikatakan di atas tidak mengkhawatirkan, karena ada terlalu banyak situs web yang dapat "memasukkan kredensial" dalam kenyataan, dan ada juga banyak contoh "pencucian bank" skala besar, "isian kredensial" dan "gesekan bank" industri kulit hitam. Berikut adalah penjelasan dari istilah-istilah ini, setelah mendapatkan data pengguna dalam jumlah besar melalui "menyeret perpustakaan", peretas akan memonetisasi data pengguna yang berharga melalui serangkaian sarana teknis dan rantai industri hitam, yang biasanya disebut "pencucian database", dan akhirnya peretas akan mencoba masuk ke situs web lain dengan data yang diperoleh peretas, yang disebut "credential stuffing", karena banyak pengguna suka menggunakan kata sandi nama pengguna terpadu, dan "isian kredensial" seringkali sangat bermanfaat. Mencari di platform pengiriman kerentanan "Dark Cloud", dapat ditemukan bahwa banyak situs web memiliki kerentanan isian kredensial, dan pada saat yang sama, pihak ofensif dan defensif telah berulang kali bertahan satu sama lain, dan metode serangan "isian kredensial" selalu sangat populer di lingkaran industri kulit hitam karena karakteristiknya seperti "sederhana", "kasar" dan "efektif". Penulis pernah mengalami insiden isian kredensial skala besar di kotak surat terkenal di China selama proyek, dan berikut ini adalah beberapa kutipan dari email yang dipertukarkan pada saat itu:
Analisis anomali Dari sekitar jam 10 pagi ini hingga akhir sekitar pukul 21:10 malam, ada login abnormal yang jelas, yang pada dasarnya ditentukan sebagai peretasan. Peretas menggunakan program login otomatis untuk memulai sejumlah besar permintaan login dari IP yang sama dalam waktu singkat, dengan permintaan bersamaan dan frekuensi permintaan yang tinggi, hingga lebih dari 600 permintaan login per menit. Sepanjang hari hari ini, total 225.000 login yang berhasil dan 43.000 login gagal terjadi, melibatkan sekitar 130.000 akun (2 login per akun); Peretas masuk dari versi dasar WAP, beralih ke versi standar setelah berhasil masuk, dan mematikan pemberitahuan login dalam versi standar, sehingga memicu pengingat pesan teks dengan modifikasi nomor ponsel yang terikat ke akun. Dari analisis log, tidak ada perilaku lain yang ditemukan setelah peretas memodifikasi pemberitahuan login, dan peretas tidak mengirim email apa pun setelah masuk. Hasil analisis awal adalah sebagai berikut:
1. Peretas menggunakan metode otentikasi nama pengguna-kata sandi standar untuk masuk, dan tingkat keberhasilan otentikasi sangat tinggi. Mengkueri log beberapa hari terakhir, tidak ada upaya login yang ditemukan oleh pengguna ini. Artinya, kata sandi pengguna diperoleh melalui cara lain, bukan dengan kekerasan memecahkan kata sandi sistem email; 2. Tempat pendaftaran pengguna yang dicuri oleh peretas ada di seluruh negeri, tanpa karakteristik yang jelas, dan tidak ada karakteristik yang jelas dari waktu pendaftaran; 3. Beberapa nama pengguna dan kata sandi yang dicegat dengan menangkap paket menunjukkan bahwa kata sandi pengguna yang berbeda berbeda, tidak ada kesamaan, dan itu bukan kata sandi sederhana; Saya memilih beberapa kata sandi pengguna dan mencoba masuk ke 163 kotak surat, Dianping, dan situs web lainnya, dan menemukan bahwa login berhasil; 4. Ada banyak sumber alamat IP login peretas, termasuk Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan, dan kota-kota lainnya. Setelah kami memblokir IP login yang tidak normal, peretas dapat dengan cepat mengubah IP login, menyebabkan pemblokiran kami dengan cepat menjadi tidak efektif. Kami hanya dapat mengikuti peretas, dan sesuai dengan karakteristik frekuensi, kami hanya akan menerapkan pemblokiran setelah mencapai angka tertentu.5. Status aktivitas pengguna sebelumnya tidak akan dicocokkan hingga besok. Tetapi dilihat dari situasi saat ini, tebakan awal pribadi saya adalah bahwa harus ada pengguna aktif dan tidak aktif, dan kebanyakan dari mereka harus menjadi pengguna yang tidak aktif.
Dari analisis di atas, pada dasarnya dapat dilihat bahwa peretas sudah memiliki informasi nama pengguna dan kata sandi pengguna ini, dan kebanyakan dari mereka benar. Kata sandi dapat disebabkan oleh kebocoran berbagai informasi kata sandi jaringan sebelumnya. Saran keselamatan Akhirnya, penulis bertanya, apakah Anda ingin kata sandi Anda berada di tangan orang lain, atau apakah ada di database orang lain? Untuk melindungi kata sandi semua orang, penulis di sini memberi Anda beberapa saran kata sandi, 1. Ubah kata sandi Anda secara teratur; 2. Kata sandi akun situs web penting dan kata sandi akun situs web yang tidak penting harus dipisahkan, seperti Tmall, JD.com, dll., yang terbaik adalah membuat kata sandi akun berbeda; 3. Kata sandi memiliki kompleksitas tertentu, seperti lebih dari 8 digit, termasuk huruf besar dan huruf kecil dan simbol khusus, untuk memfasilitasi memori, Anda dapat menggunakan perangkat lunak kriptografi khusus untuk mengelola kata sandi Anda sendiri, yang lebih terkenal adalah keepass;Saya berharap melalui konten di atas, setiap orang dapat memiliki pemahaman yang lebih baik tentang keamanan kata sandi, sehingga dapat melindungi privasi pribadi dan keamanan properti mereka dengan lebih baik.
|
Diposting pada 30/12/2014 14.05.37
|
|
|
|
