크리스마스 공포: 12306 사용자 데이터 유출? 오전 10시, 심각한 보안 취약점이 한 취약점 플랫폼에 나타났습니다 - 12,306명의 사용자 데이터베이스가 침해되었습니다. 이 정보의 정확성을 확인하기 위해 우리 팀은 사건에 대한 조사를 실시했습니다. 인터넷의 일부 사회복지 포럼을 통해 12306이 끌려가는 흔적을 실제로 발견했으며, 다음 사진은 사회복지 포럼에 올라온 스크린샷입니다:
그리고 이 글은 일정 기간 동안 인터넷에 돌고 있었고, 가장 이른 시기는 12월 16일입니다. 아래 사진은 이 시기에 대해 모두가 포럼에서 나누는 토론을 보여줍니다.
몇몇 경로를 통해 우리는 주로 다음과 같은 유출 추정 데이터를 마침내 발견했습니다12306등록된 이메일, 비밀번호, 이름, 신분증, 휴대폰. 아래 그림은 유출된 일부 데이터를 보여줍니다.
유출된 계정에 대한 몇 차례 로그인 시도가 있었고, 이전 데이터베이스에서 발견되었습니다10모든 계정이 로그인 가능합니다. 유출된 비밀번호 금고가 사실임을 알 수 있습니다.
현재 인터넷에는 14M과 18G라는 두 가지 버전이 유통되어 있으며, 이는 지하 흑인 제조업체들 사이에서 유통되고 있으며, 비밀번호 유출 가능성은 두 가지로 추정됩니다. 하나는 12306 웹사이트가 데이터베이스에 끌려 들어갔고, 다른 하나는 제3자 티켓 수집 소프트웨어 회사가 해킹당해 데이터베이스가 이동한 경우입니다. 12306은 실명으로 인증되기 때문에 신분증과 휴대전화 번호 등 중요한 정보가 많이 포함되어 있습니다. 옛날 기사 새 게시물: 비밀번호는 어디에 있나요? 며칠 전, 제 주변 많은 친구들이 비밀번호를 도난당했는데, 도난당할 때는 여러 번에 걸쳐 도난당했고, 서로 등록된 여러 웹사이트 비밀번호도 동시에 도난당했습니다.
해커들이 비밀번호를 어떻게 도난하나요? 우선, 계정이 도난당했고, 첫 번째 의심은 컴퓨터가 트로이 목마에 의해 공격당한 문제입니다. 해커들은 키로깅, 피싱 등 다양한 방법으로 트로이 목마를 개인용 컴퓨터에 심어 비밀번호를 훔칠 수 있습니다. 그래서 저자는 주변 여러 친구들의 컴퓨터를 도난당한 비밀번호로 확인했지만 트로이 목마는 발견하지 못했고, 그들의 계정이 트로이 목마를 통해 도난당한 것이 명백했습니다. 본인 컴퓨터의 문제가 아니므로, 등록된 웹사이트가 누군가가 "데이터베이스에 끌어들여 넣은 것"일 가능성이 큽니다. 여기 드래그 데이터베이스에 대한 설명이 있습니다. 이른바 "드래그 라이브러리"는 웹사이트의 사용자 데이터가 SQL 인젝션이나 다른 방법으로 탈취되고, 사용자 이름과 비밀번호 정보를 얻는 것이며, CSDN, 티안야, 샤오미 등 많은 유명 웹사이트들이 "드래그 라이브러리" 이벤트를 발행했습니다. 해커들은 끌어내리는 데이터베이스를 교환하고 중앙집중화하여 이른바 "사회복지 도서관"을 차례로 만들어냅니다. 사회복지 데이터베이스는 '드래그된' 웹사이트에서 많은 계정 비밀번호 정보를 저장하고 있어, 작성자는 해커들이 자주 사용하는 사회복지 데이터베이스 웹사이트에서 친구의 계정 정보를 검색했고, 실제로 유출된 계정 비밀번호를 발견했습니다:
이 도서관을 보면, 모두가 이 사회복지 데이터베이스가 누구의 것인지 이해해야 한다고 생각합니다.
헤헤.
스크린샷에서 친구의 비밀번호가 51CTO에서 유출되었고, 비밀번호는 MD5로 암호화되어 있었지만, 이 비밀번호를 풀는 것이 불가능한 것은 아니며, 인터넷에는 MD5의 원본을 조회할 수 있는 웹사이트가 많습니다. 예를 들어, CMD5에서 암호문을 검색해 비밀번호의 원본을 빠르게 발견할 수 있습니다:
복호화가 성공한 후, 친구의 관련 계정에 비밀번호를 입력해 로그인했고, 역시 로그인이 성공했습니다. 비밀번호가 유출된 경로가 밝혀진 것 같습니다. 그렇다면 이제 질문은, 해커들이 어떻게 여러 친구들의 웹사이트를 해킹했느냐는 것입니다. 충격적인 지하 데이터베이스 이제는 또 다른 도구(www.reg007.com)를 포기할 때입니다. 많은 사람들이 같은 이메일 주소를 사용해 많은 비즈니스를 등록하는 습관이 있기 때문입니다. 이 웹사이트를 통해 특정 이메일로 등록된 웹사이트를 조회할 수 있습니다. 제가 이 웹사이트를 처음 봤을 때, 친구들과 저는 깜짝 놀랐습니다. 특정 이메일을 조회할 때 총 21개의 등록된 웹사이트가 조회되었습니다:
사실 많은 친구들도 이런 습관이 있는데, 기억을 돕기 위해 작은 포럼이든 JD.com, Tmall 같은 부동산이 있는 쇼핑몰이든 모든 웹사이트 계정을 동일한 계정과 비밀번호로 등록합니다. 이 관행은 매우 위험하며, 사이트 중 하나가 무너지면 모든 계정이 위험에 처하게 됩니다.특히 2011년 CSDN 데이터베이스 유출 이후, 점점 더 많은 웹사이트들이 유출된 데이터베이스를 가지고 있으며, 이 유출된 데이터베이스들은 언제든지 웹사이트에서 찾아낼 수 있습니다. 생각해 보세요. 계정 비밀번호가 같을 때, 위 단계를 통해 어느 대학(Xuexin.com), 어떤 일을 했는지(Future Worry-free, Zhilian), 무엇을 샀는지(JD.com, 타오바오), 아는 사람(클라우드 주소록), 그리고 무슨 말을 했는지(QQ, 위챗)를 쉽게 알 수 있습니다
아래 그림은 일부 지하 웹사이트에서 교환되는 사회복지 데이터베이스 정보를 보여줍니다
위에서 말한 것은 경고가 아닙니다. 현실에는 '자격 증명을 채우는' 웹사이트가 너무 많고, 흑인 산업에 대한 대규모 '은행 세탁', '자격 증명 채우기', '은행 스와이핑' 사례도 많습니다. 이 용어들에 대한 설명은 다음과 같습니다. 해커들은 '라이브러리 드래그'를 통해 대량의 사용자 데이터를 얻은 후, 일련의 기술적 수단과 일반적으로 '데이터베이스 세척'이라 불리는 블랙 인더스트리 체인을 통해 귀중한 사용자 데이터를 수익화하고, 마지막으로 해커가 얻은 데이터를 이용해 다른 웹사이트에 로그인하려 시도하는데, 이를 '자격 증명 스터핑'이라고 합니다. 많은 사용자가 통합 사용자 이름 비밀번호를 선호하기 때문이며, '자격 증명 스터핑'은 매우 보상적인 경우가 많습니다. 취약점 제출 플랫폼 "Dark Cloud"에서 검색해보면, 많은 웹사이트가 자격 증명 스터핑 취약점을 가지고 있음을 알 수 있으며, 동시에 공격과 방어 측은 반복적으로 방어해왔고, "자격 증명 스터핑" 공격 방식은 "간단하다", "거칠다", "효과적"이라는 특성 때문에 흑인 업계에서 특히 인기가 많았습니다. 저자는 프로젝트 중 중국의 한 유명한 우편함에서 대규모 자격 증명 채우기 사건을 목격한 적이 있으며, 당시 주고받은 이메일 중 일부를 발췌한 내용입니다:
이상 분석 오늘 오전 10시경부터 저녁 21시 10분경까지 명백한 비정상적인 로그인 현상이 있었는데, 기본적으로 해킹으로 판단되었습니다. 해커들은 자동 로그인 프로그램을 사용해 같은 IP에서 짧은 시간 내에 많은 수의 로그인 요청을 동시에 시작하며, 분당 최대 600건 이상의 로그인 요청을 할 수 있습니다. 오늘 하루 종일 총 225,000건의 성공적인 로그인과 43,000건의 실패 로그인이 발생했으며, 약 130,000개의 계정(계정당 2명)이 관련되었습니다; 해커는 기본 WAP 버전에서 로그인한 후 성공적으로 로그인한 후 표준 버전으로 전환한 뒤, 표준 버전의 로그인 알림을 꺼 계정에 연결된 휴대폰 번호에 수정된 문자 메시지 알림을 촉발했습니다. 로그 분석 결과, 해커가 로그인 알림을 수정한 후 다른 행동은 발견되지 않았고, 로그인 후 이메일을 보내지 않았습니다. 예비 분석 결과는 다음과 같습니다:
1. 해커는 표준 사용자 이름-비밀번호 인증 방식을 사용해 로그인하며, 인증 성공률이 매우 높습니다. 최근 며칠간의 로그를 조회했지만, 이 사용자들이 로그인 시도를 찾지 못했습니다. 즉, 사용자 비밀번호는 이메일 시스템의 비밀번호를 무차별 대입으로 해킹하는 것이 아니라 다른 방법으로 얻어집니다; 2. 해커가 도난당한 사용자의 등록 장소는 전국에 걸쳐 뚜렷한 특징이 없고, 등록 시간에도 뚜렷한 특징이 없습니다; 3. 패킷 캡처로 가로채는 일부 사용자 이름과 비밀번호는 서로 다른 사용자의 비밀번호가 다르며, 유사성이 없고 단순한 비밀번호가 아님을 보여줍니다; 몇 개의 사용자 비밀번호를 선택하고 163 메일박스, 전핑 및 기타 웹사이트에 로그인해 보았는데, 로그인이 성공했습니다; 4. 해커 로그인 IP 주소는 시안, 산시, 안창, 허페이, 안후이, 황산, 안후이, 화이난 등 여러 도시에서 확인할 수 있습니다. 비정상적인 로그인 IP를 차단한 후, 해커들은 빠르게 로그인 IP를 변경할 수 있어 차단 기능이 빠르게 무력해집니다. 우리는 해커만 추적할 수 있고, 주파수 특성에 따라 일정 수에 도달한 후에만 차단을 시행할 것입니다.5. 사용자의 이전 활동 상태는 내일까지 매치되지 않습니다. 하지만 현재 상황을 보면, 제 개인적인 예비 추측으로는 활성 사용자와 비활성 사용자가 있어야 하며, 대부분은 비활성 사용자여야 합니다.
위 분석에서 해커들은 이미 이 사용자들의 사용자 이름과 비밀번호 정보를 손에 넣고 있으며, 대부분이 맞다는 것을 알 수 있습니다. 비밀번호는 이전에 다양한 네트워크 비밀번호 정보가 유출되어 발생할 수 있습니다. 안전 조언 마지막으로 저자는 묻습니다. 비밀번호가 다른 사람의 손에 있길 원하나요, 아니면 다른 사람의 데이터베이스에 존재하길 원하나요? 모두의 비밀번호를 보호하기 위해 저자가 몇 가지 비밀번호 제안을 드립니다, 1. 정기적으로 비밀번호를 변경하세요; 2. 중요한 웹사이트의 계정 비밀번호와 비중요 웹사이트의 계정 비밀번호는 분리해야 하며, 예를 들어 Tmall, JD.com 등은 계정 비밀번호를 다르게 만드는 것이 가장 좋습니다; 3. 비밀번호는 8자리 이상, 대문자와 소문자, 특수 기호 등 일정한 복잡성을 가지고 있습니다. 메모리를 위해 특수 암호 소프트웨어를 사용해 직접 비밀번호를 관리할 수 있는데, 가장 유명한 것은 keepass입니다;위 내용을 통해 모두가 비밀번호 보안에 대해 더 잘 이해할 수 있어, 개인 프라이버시와 재산 보안을 더 잘 보호할 수 있기를 바랍니다.
|
게시됨 2014. 12. 30. 오후 2:05:37
|
|
|
|
