Kalėdų siaubas: 12306 vartotojo duomenų nutekėjimas? 10 val. pažeidžiamumo platformoje atsirado rimta saugumo spraga - buvo pažeista 12306 vartotojų duomenų bazė. Siekdama patikrinti šios informacijos tikslumą, mūsų komanda atliko incidento tyrimą. Per kai kuriuos socialinio darbo forumus internete, kai kurie pėdsakai 12306 yra tempiami iš tiesų buvo rasti, ir ši nuotrauka yra ekrano nuotrauka socialinio darbo forume:
Ir jis cirkuliuoja internete tam tikrą laiką, o anksčiausiai žinomas laikas yra gruodžio 16 d. Žemiau esančiame paveikslėlyje parodyta kiekvieno šio laiko diskusija forume.
Kai kuriais kanalais pagaliau radome kai kuriuos įtariamus nutekėjusius duomenis, kurie daugiausia apima12306Registruotas el. pašto adresas, slaptažodis, vardas, asmens tapatybės kortelė, mobilusis telefonas. Žemiau esančiame paveikslėlyje parodyti kai kurie nutekinti duomenys.
Buvo bandoma prisijungti prie nutekėjusios paskyros, ir ji buvo rasta ankstesnėje duomenų bazėje10Galima prisijungti prie visų paskyrų. Galima pastebėti, kad nutekėjusi slaptažodžių saugykla iš tiesų yra tiesa.
Šiuo metu internete cirkuliuoja dvi versijos, būtent 14M ir 18G, kurios buvo platinamos tarp pogrindžio juodųjų gamintojų, ir mes įtariame, kad yra dvi slaptažodžio nutekėjimo galimybės: viena yra ta, kad 12306 svetainė buvo įtraukta į duomenų bazę, o kita - kad buvo įsilaužta į trečiosios šalies bilietų grobimo programinės įrangos įmonę ir duomenų bazė buvo nuvilkta. Kadangi 12306 yra patvirtintas tikruoju vardu, jame yra daug svarbios informacijos, įskaitant asmens tapatybės korteles ir mobiliųjų telefonų numerius. Senas straipsnis naujas stumti: Kas yra jūsų slaptažodis? Prieš kelias dienas daugeliui draugų aplink mane buvo pavogti slaptažodžiai, o kai jie buvo pavogti, jie buvo pavogti partijomis, o tuo pačiu metu buvo pavogta daug skirtingų svetainių slaptažodžių, kuriuos jie patys užregistravo.
Kaip įsilaužėliai vagia slaptažodžius? Visų pirma, paskyra pavogta, pirmasis įtarimas yra problema, kad kompiuterį pataikė Trojos arklys, įsilaužėliai gali naudoti klavišų registravimą, sukčiavimą ir kitus metodus, kad pavogtų slaptažodžius, implantuodami Trojos arklius į asmeninius kompiuterius. Todėl autorius patikrino kelių draugų kompiuterius su pavogtais slaptažodžiais aplink save ir nerado jokių Trojos arklių, ir buvo akivaizdu, kad jų paskyros buvo pavogtos per Trojos arklius. Kadangi tai nėra problema su savo kompiuteriu, tikėtina, kad užregistruotą svetainę kažkas "nutempė į duomenų bazę", čia yra vilkimo duomenų bazės paaiškinimas, vadinamoji "vilkimo biblioteka" yra ta, kad svetainės vartotojo duomenys pavagiami SQL injekcija ar kitomis priemonėmis, gaunama šios svetainės vartotojo vardo ir slaptažodžio informacija, o daugelis žinomų svetainių išleido "vilkimo bibliotekos" renginius, tokius kaip CSDN, Tianya, Xiaomi ir kt., Įsilaužėliai keisis ir centralizuos nuvilktas duomenų bazes, sudarydami vieną vadinamąją "socialinio darbo biblioteką" po kitos, Socialinio darbo duomenų bazėje saugoma daug paskyros slaptažodžio informacijos iš "nuvilktos" svetainės, todėl autorius ieškojo draugo paskyros informacijos socialinio darbo duomenų bazės svetainėje, kurią dažniausiai naudoja įsilaužėliai, ir tikrai rado nutekėjusį paskyros slaptažodį:
Matydamas šią biblioteką, manau, kiekvienas turėtų suprasti, kieno tai socialinio darbo duomenų bazė.
Hehe.
Iš ekrano kopijos matyti, kad draugo slaptažodis buvo nutekėjęs iš 51CTO, o slaptažodis buvo užšifruotas MD5, tačiau išspręsti šį slaptažodį nėra neįmanoma, o internete yra daug svetainių, kurios gali užklausti originalaus MD5 teksto, pvz., ieškoti šifruoto teksto CMD5 ir greitai atrasti originalų slaptažodžio tekstą:
Sėkmingai iššifravę prisijunkite prie atitinkamos draugo paskyros naudodami slaptažodį ir tikrai prisijungimas buvo sėkmingas. Atrodo, kad slaptažodžio nutekėjimo būdas buvo rastas. Taigi, dabar kyla klausimas, kaip įsilaužėliai įsilaužė į kelias draugų svetaines? Šokiruojanti požeminė duomenų bazė Šiuo metu laikas paaukoti kitą mūsų įrankį (www.reg007.com), nes daugelis žmonių turi įprotį naudoti tą patį el. pašto adresą, kad užregistruotų daug verslo, o per šią svetainę galite pasiteirauti, kokia svetainė buvo užregistruota tam tikru el. paštu, pirmą kartą pamačius šią svetainę, mano draugai ir aš buvome apstulbę, tokia situacija yra užklausus tam tikrą el. laišką, iš viso buvo užklausta 21 registruota svetainė:
Tiesą sakant, daugelis draugų taip pat turi tokį įprotį, tai yra, norėdami palengvinti atmintį, jie užregistruos visas svetainės paskyras su ta pačia paskyra ir slaptažodžiu, nesvarbu, ar tai būtų nedidelis forumas, ar prekybos centras, kuriame yra toks turtas kaip JD.com ir Tmall. Ši praktika yra labai nesaugi, o jei viena iš svetainių nukris, visoms paskyroms kils pavojus.Ypač po CSDN duomenų bazės nutekėjimo 2011 m., vis daugiau svetainių nutekėjo duomenų bazės, ir šias nutekėjusias duomenų bazes galima rasti svetainėse savo nuožiūra. Galite pagalvoti apie tai, kai jūsų paskyros slaptažodis yra tas pats, atlikdami aukščiau nurodytus veiksmus galite lengvai sužinoti, kokiame universitete buvote (Xuexin.com), kokį darbą atlikote ("Future Worry-free", "Zhilian"), ką nusipirkote (JD.com, Taobao), ką pažįstate (debesies adresų knyga) ir ką pasakėte (QQ, WeChat)
Žemiau esančiame paveikslėlyje parodyta dalis socialinio darbo duomenų bazės informacijos, kuria keičiasi kai kurios pogrindžio svetainės
Tai, kas pasakyta aukščiau, nėra nerimastinga, nes yra per daug svetainių, kurios gali "prikimšti kredencialus" realybėje, taip pat yra daug didelio masto "bankų plovimo", "kredencialų užpildymo" ir "banko braukimo" pavyzdžių. Čia pateikiamas šių terminų paaiškinimas, gavę didelį kiekį vartotojo duomenų "vilkdami biblioteką", įsilaužėliai gaus vertingų vartotojo duomenų naudodamiesi įvairiomis techninėmis priemonėmis ir juodosios pramonės grandine, kuri paprastai vadinama "duomenų bazių plovimu", o galiausiai įsilaužėlis bandys prisijungti prie kitų svetainių su įsilaužėlio gautais duomenimis, kurie vadinami "kredencialų įdaru", nes daugelis vartotojų mėgsta naudoti vieningą vartotojo vardo slaptažodį, o "kredencialų užpildymas" dažnai yra labai naudingas. Ieškant pažeidžiamumo pateikimo platformoje "Dark Cloud", galima pastebėti, kad daugelis svetainių turi kredencialų užpildymo pažeidžiamumų, o tuo pačiu metu puolamoji ir gynybinė pusės ne kartą gynėsi viena nuo kitos, o "kredencialų užpildymo" atakos metodas visada buvo ypač populiarus juodosios pramonės rate dėl tokių savybių kaip "paprastas", "grubus" ir "efektyvus". Projekto metu autorius kartą susidūrė su didelio masto kredencialų užpildymo incidentu gerai žinomoje pašto dėžutėje Kinijoje, ir toliau pateikiamos kelios ištraukos iš tuo metu apsikeistų el. laiškų:
Anomalijų analizė Nuo maždaug 10 valandos šį rytą iki maždaug 21:10 vakaro pabaigos yra akivaizdus nenormalus prisijungimas, kuris iš esmės nustatomas įsilaužimas. Įsilaužėliai naudoja automatinio prisijungimo programas, kad per trumpą laiką inicijuotų daugybę prisijungimo užklausų iš to paties IP, vienu metu pateikdami užklausas ir didelį užklausų dažnumą, iki daugiau nei 600 prisijungimo užklausų per minutę. Šiandien per dieną iš viso įvyko 225 000 sėkmingų prisijungimų ir 43 000 nesėkmingų prisijungimų, įskaitant apie 130 000 paskyrų (2 prisijungimai vienoje paskyroje); Įsilaužėlis prisijungė iš pagrindinės WAP versijos, sėkmingai prisijungęs perėjo prie standartinės versijos ir išjungė prisijungimo pranešimą standartinėje versijoje, taip suaktyvindamas tekstinio pranešimo priminimą su mobiliojo telefono numerio, susieto su paskyra, pakeitimais. Atlikus žurnalo analizę, įsilaužėliui pakeitus prisijungimo pranešimą, nebuvo rasta jokio kito elgesio, o prisijungęs įsilaužėlis neišsiuntė jokių el. laiškų. Preliminarūs analizės rezultatai yra šie:
1. Įsilaužėlis prisijungdamas naudoja standartinį vartotojo vardo ir slaptažodžio autentifikavimo metodą, o autentifikavimo sėkmės rodiklis yra labai didelis. Užklausdami pastarųjų dienų žurnalus, šie vartotojai nerado jokių bandymų prisijungti. Tai yra, vartotojo slaptažodis gaunamas kitomis priemonėmis, o ne brutalia jėga nulaužiant el. pašto sistemos slaptažodį; 2. Įsilaužėlių pavogtų vartotojų registracijos vieta yra visoje šalyje, be akivaizdžių savybių ir nėra akivaizdžių registracijos laiko ypatybių; 3. Kai kurie vartotojo vardai ir slaptažodžiai, perimti fiksuojant paketus, rodo, kad skirtingų vartotojų slaptažodžiai yra skirtingi, nėra panašumo ir tai nėra paprasti slaptažodžiai; Pasirinkau kelis vartotojo slaptažodžius ir bandžiau prisijungti prie 163 pašto dėžutės, Dianping ir kitų svetainių, ir pastebėjau, kad prisijungimas buvo sėkmingas; 4. Yra daug įsilaužėlių prisijungimo IP adresų šaltinių, įskaitant Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan ir kitus miestus. Užblokavę neįprastą prisijungimo IP, įsilaužėliai gali greitai pakeisti prisijungimo IP, todėl mūsų blokavimas greitai tampa neveiksmingas. Galime sekti tik įsilaužėlius, o pagal dažnio charakteristikas blokavimą įgyvendinsime tik pasiekę tam tikrą skaičių.5. Ankstesnė vartotojo veiklos būsena nebus suderinta iki rytojaus. Bet sprendžiant iš dabartinės situacijos, mano asmeninis preliminarus spėjimas yra tas, kad turėtų būti aktyvių ir neaktyvių vartotojų, o dauguma jų turėtų būti neaktyvūs vartotojai.
Iš aukščiau pateiktos analizės iš esmės matyti, kad įsilaužėliai jau turi šių vartotojų vartotojo vardą ir slaptažodį, ir dauguma jų yra teisingi. Slaptažodžius gali sukelti anksčiau nutekėjusi įvairi tinklo slaptažodžio informacija. Saugos patarimai Galiausiai autorius klausia, ar norite, kad jūsų slaptažodis būtų kažkieno rankose, ar jis egzistuoja kažkieno duomenų bazėje? Siekiant apsaugoti kiekvieno slaptažodį, autorius čia pateikia keletą slaptažodžių pasiūlymų, 1. Reguliariai keiskite slaptažodį; 2. Svarbių svetainių paskyros slaptažodis ir nesvarbių svetainių paskyros slaptažodis turi būti atskirti, pvz., Tmall, JD.com ir kt., Geriausia paskyros slaptažodį padaryti skirtingą; 3. Slaptažodis turi tam tikrą sudėtingumą, pavyzdžiui, daugiau nei 8 skaitmenis, įskaitant didžiąsias ir mažąsias raides bei specialius simbolius, kad palengvintumėte atmintį, galite naudoti specialią kriptografinę programinę įrangą, kad galėtumėte valdyti savo slaptažodį, garsesnis yra keepass;Tikiuosi, kad naudodamiesi aukščiau pateiktu turiniu kiekvienas galės geriau suprasti slaptažodžio saugumą, kad geriau apsaugotų savo asmeninį privatumą ir turto saugumą.
|
Paskelbta 2014-12-30 14:05:37
|
|
|
|
