クリスマスホラー:12306ユーザーデータリーク? 午前10時、深刻なセキュリティ脆弱性が脆弱性プラットフォームに現れ、12,306人のユーザーのデータベースが侵害されました。 この情報の正確性を検証するため、当チームは事件の調査を行いました。 インターネット上のいくつかのソーシャルワークフォーラムを通じて、12306が引きずられた痕跡が実際に見つかっており、以下の写真はソーシャルワークフォーラムのスクリーンショットです。
そして、それは一定期間インターネット上で拡散しており、最も早い時期は12月16日です。 下の写真は、この時期について皆がフォーラムで議論している様子を示しています。
いくつかのルートを通じて、私たちは最終的に疑われる流出データのいくつかを発見しました。主な内容は以下の通りです12306登録済みのメールアドレス、パスワード、氏名、IDカード、携帯電話。 下の図は、流出したデータの一部を示しています。
リークされたアカウントへのログイン試行がいくつかあり、前のデータベースで見つかりました10すべてのアカウントはログイン可能です。 漏洩したパスワード保管庫が確かに事実であることがわかります。
現在、インターネット上には14Mと18Gの2つのバージョンが流通しており、これらは地下のブラックメーカーの間で流通しています。パスワード漏洩の可能性は2つあると考えています。1つは12306のウェブサイトがデータベースに引きずり込まれたもの、もう1つは第三者のチケット収集ソフトウェア会社がハッキングされ、データベースが引き出されたことです。 12306は実名で認証されているため、IDカードや携帯電話番号など多くの重要な情報が含まれています。 古い記事 新しいプッシュ:パスワードはどこで? 数日前、私の周りの多くの友人がパスワードを盗まれました。盗まれたときは一括で盗まれ、同時に登録された複数のウェブサイトのパスワードも盗まれました。
パスワードはどのようにしてハッカーに盗まれるのでしょうか? まず第一に、アカウントが盗まれており、最初の疑いはトロイの木馬に襲われた問題です。ハッカーはキーロギングやフィッシングなどの方法で、トロイの木馬をパソコンに埋め込みパスワードを盗むことができます。 そのため、著者は盗まれたパスワードを持つ複数の友人のコンピューターを調べましたが、トロイの木馬は見つからず、彼らのアカウントがトロイの木馬を通じて盗まれたことは明らかでした。 自分のコンピュータの問題ではないので、登録されたウェブサイトは「誰かがデータベースにドラッグして取り込んだ」可能性が高いです。ここにドラグデータベースの説明があります。いわゆる「ドラッグライブラリ」とは、ユーザーのデータをSQLインジェクションやその他の方法で盗まれ、ユーザー名やパスワード情報が取得されることです。CSDN、天涯、小米など多くの有名なウェブサイトが「ドラッグライブラリ」イベントを発行しています。ハッカーは削除されたデータベースを交換・集中管理し、次々と「ソーシャルワークライブラリ」を形成しています。 ソーシャルワークのデータベースには「ドラッグされた」ウェブサイトから多くのアカウントパスワード情報が保存されているため、著者はハッカーがよく使うソーシャルワークのデータベースサイトで友人のアカウント情報を検索し、案の定、リークされたアカウントパスワードを見つけました。
この図書館を見て、皆さんはこのソーシャルワークのデータベースが誰のものか理解すべきだと思います。
へへ。
スクリーンショットからも、友人のパスワードが51CTOから漏れ出し、パスワードはMD5で暗号化されていることがわかりますが、このパスワードを解読することは不可能ではなく、インターネット上にはMD5の原文を問い合わせることができるウェブサイトが多く存在します。例えば、CMD5で暗号文を検索して、パスワードの原文を素早く発見することができます。
復号が成功した後、友人の該当アカウントにパスワードでログインすると、やはりログインは成功しました。 パスワードの漏洩経路が判明したようです。 では、今の疑問は、ハッカーが友人の複数のウェブサイトにどのように侵入したのかということです。 衝撃的な地下データベース 今こそ、私たちのもう一つのツール(www.reg007.com)を犠牲にする時です。多くの人が同じメールアドレスを使って多くのビジネスを登録する習慣があるため、このウェブサイトを通じて特定のメールアドレスで登録されたウェブサイトを問い合わせることができます。私がこのウェブサイトを初めて見たとき、友人たちと私は驚きました。以下は特定のメールアドレスを問い合わせた際の状況で、合計21の登録ウェブサイトが問い合わせられたことです:
実際、多くの友人も同じ習慣を持っています。つまり、記憶を助けるために、小さなフォーラムでも、JD.com やTmallのような物件が関わるモールでも、すべてのウェブサイトアカウントを同じアカウントとパスワードで登録します。 このやり方は非常に危険で、もしサイトの一つが倒壊すると、すべてのアカウントが危険にさらされます。特に2011年のCSDNデータベース漏洩以降、ますます多くのウェブサイトがデータベースを漏洩しており、これらの流出したデータベースはウェブサイト上で自由に見つかることがあります。 例えば、アカウントのパスワードが同じなら、上記の手順で、どの大学(Xuexin.com)、どんな仕事をしたか(Future Worry-free、直連)、何を買ったか(JD.com、淘宝)、知っている人(クラウドアドレス帳)、そして何を言ったか(QQ、WeChat)を簡単に把握できます
下の図は、いくつかの地下ウェブサイトで交換されるソーシャルワークデータベースの情報の一部を示しています
上記のことは警戒心を煽るものではありません。なぜなら、実際には「資格情報を不正に処理する」ウェブサイトが多すぎますし、黒人産業に対する大規模な「銀行洗浄」「認証情報不正処理」「銀行スワイプ」の例も多数存在するからです。 これらの用語の説明は以下の通りです。「ライブラリのドラッグ」で大量のユーザーデータを入手した後、ハッカーは一連の技術的手段やブラック業界チェーン(通常「データベース洗浄」と呼ばれる)を通じて貴重なユーザーデータを収益化し、最後にハッカーが取得したデータを使って他のウェブサイトにログインしようとします。これを「認証情報詰め込み」と呼びます。多くのユーザーが統一ユーザー名パスワードを好むため、「認証情報詰め込み」は非常に報酬が高いことが多いのです。 脆弱性投稿プラットフォーム「Dark Cloud」で検索すると、多くのウェブサイトに認証情報詰め込みの脆弱性があることがわかり、一方で攻撃側と防御側は繰り返し互いに防御し合ってきました。また、「認証情報詰め込み」という攻撃手法は「シンプル」「荒削り」「効果的」といった特徴から黒人業界の間で特に人気がありました。 著者はこのプロジェクトの最中に中国の有名な郵便受けで大規模な認証情報の詰め込み事件に遭遇したことがあり、その当時交換されたメールの一部を以下にします。
異常解析 今朝10時頃から夜21時10分頃まで、明らかに異常なログインがあり、基本的にハッキングと判断されています。 ハッカーは自動ログインプログラムを使い、同じIPから短時間で大量のログインリクエストを同時に発生させ、1分間に600件以上のリクエストを発生させます。 本日一日を通して、合計22万5千件の成功ログインと4万3千件の失敗ログインが発生し、約13万件のアカウント(1アカウントあたり2件のログイン)が関与しました。 ハッカーはWAPの基本版からログインし、ログイン成功後に標準版に切り替え、標準版のログイン通知をオフにしたことで、アカウントに紐づく携帯電話番号に修正されたテキストメッセージのリマインダーを発動させました。 ログ分析の結果、ハッカーがログイン通知を改変した後も他の行動は見つからず、ログイン後にメールも送信していませんでした。 予備分析結果は以下の通りです。
1. ハッカーは標準的なユーザー名・パスワード認証方式でログインし、認証成功率が非常に高い。 ここ数日のログを照会しても、これらのユーザーによるログイン試行は見つかりませんでした。 つまり、ユーザーのパスワードはメールシステムのパスワードを総当たりで解読するのではなく、他の方法で取得されます。 2. ハッカーに盗まれたユーザーの登録場所は全国に広がっており、明確な特徴がなく、登録時間の明確な特徴もありません。 3. キャプチャパケットによって傍受された一部のユーザー名やパスワードは、異なるユーザーのパスワードが異なり、類似性がなく、単純なパスワードではないことを示しています。 いくつかのユーザーパスワードを選び、163のメールボックス、電平などのウェブサイトにログインを試みましたが、ログインは成功しました。 4. ハッカーログインのIPアドレスには、西安、陝西、安康、合肥、安徽、黄山、安徽、淮南など多くの都市があります。 異常なログインIPをブロックした後、ハッカーはすぐにログインIPを変更でき、ブロックがすぐに効果を失ってしまいます。 ハッカーを追跡するしかできず、周波数特性に応じて一定数に達してからブロックを実施します。5. ユーザーの過去の活動状況は明日まで照合されません。 しかし現状から判断すると、私の個人的な予備的推測では、アクティブユーザーと非アクティブユーザーがいるはずで、そのほとんどが非アクティブユーザーであるべきだと思います。
上記の分析から、ハッカーはすでにこれらのユーザーのユーザー名とパスワード情報を手元に持っており、その多くは正しいことが明らかです。 パスワードは、過去にさまざまなネットワークパスワード情報の漏洩によって引き起こされることがあります。 安全アドバイス 最後に著者は、「パスワードを他人の手に渡したいのか、それとも他人のデータベースに存在するのか?」と問いかけます。 皆のパスワードを守るために、著者はいくつかのパスワード提案をします。 1. パスワードを定期的に変更すること; 2. 重要なウェブサイトのアカウントパスワードと、Tmallや JD.com などの重要でないウェブサイトのパスワードは分けて設定し、アカウントパスワードを異なるものにするのが最善です。 3. パスワードには8桁以上の複雑さがあり、大文字・小文字の文字や特殊記号も含まれます。メモリを容易にするために、専用の暗号ソフトウェアを使って自分のパスワードを管理することができます。より有名なのはキーパスです。上記の内容を通じて、誰もがパスワードのセキュリティをよりよく理解し、個人のプライバシーや財産の安全をよりよく守れることを願っています。
| 
掲載地 2014/12/30 14:05:37
|
|
|
|
