Ziemassvētku šausmas: 12306 lietotāja datu noplūde? Pulksten 10 no rīta ievainojamības platformā parādījās nopietna drošības ievainojamība - tika apdraudēta 12306 lietotāju datu bāze. Lai pārbaudītu šīs informācijas precizitāti, mūsu komanda veica incidenta izmeklēšanu. Dažos sociālā darba forumos internetā patiešām ir atrastas dažas 12306 vilkšanas pēdas, un šis attēls ir sociālā darba foruma ekrānuzņēmums:
Un tas ir cirkulējis internetā noteiktu laiku, un agrākais zināmais laiks ir 16. decembris. Zemāk redzamajā attēlā redzama ikviena diskusija par šo laiku forumā.
Izmantojot dažus kanālus, mēs beidzot atradām dažus no aizdomām par nopludinātiem datiem, kas galvenokārt ietver12306Reģistrēts e-pasts, parole, vārds, ID karte, mobilais tālrunis. Zemāk redzamajā attēlā parādīti daži no nopludinātajiem datiem.
Daži pieteikšanās mēģinājumi tika veikti nopludinātajā kontā, un tas tika atrasts iepriekšējā datu bāzē10Visos kontos var pieteikties. Var redzēt, ka nopludinātā paroļu glabātuve patiešām ir taisnība.
Šobrīd internetā cirkulē divas versijas, proti, 14M un 18G, kas ir izplatītas starp pagrīdes melnajiem ražotājiem, un mums ir aizdomas, ka pastāv divas paroles noplūdes iespējas, viena ir tā, ka 12306 vietne ir ievilkta datu bāzē, un otra ir tā, ka trešās puses biļešu sagrābšanas programmatūras uzņēmums ir uzlauzts un datu bāze ir vilkta. Tā kā 12306 ir autentificēts ar īsto vārdu, tajā ir daudz svarīgas informācijas, tostarp ID kartes un mobilo tālruņu numuri. Vecais raksts jauns push: Kas ir jūsu parole? Pirms dažām dienām daudziem draugiem ap mani tika nozagtas paroles, un, kad tās tika nozagtas, tās tika nozagtas partijās, un vienlaikus tika nozagtas daudzas dažādas pašu reģistrētas vietņu paroles.
Kā hakeri nozog paroles? Pirmkārt, konts ir nozagts, pirmās aizdomas ir problēma, ka datoru skāris Trojas zirgs, hakeri var izmantot taustiņu reģistrēšanu, pikšķerēšanu un citas metodes, lai nozagtu paroles, implantējot Trojas zirgus personālajos datoros. Tāpēc autors pārbaudīja vairāku draugu datorus ar nozagtām parolēm ap viņu un neatrada nevienu Trojas zirgu, un bija acīmredzams, ka viņu konti tika nozagti caur Trojas zirgiem. Tā kā tā nav problēma ar savu datoru, tad ir iespējams, ka reģistrēto vietni kāds ir "vilkis uz datu bāzi", šeit ir vilkšanas datu bāzes skaidrojums, tā sauktā "vilkšanas bibliotēka" ir tāda, ka vietnes lietotāja dati tiek nozagti ar SQL injekciju vai citiem līdzekļiem, un tiek iegūta šīs vietnes lietotājvārda un paroles informācija, un daudzas labi pazīstamas vietnes ir izdevušas "vilkšanas bibliotēkas" notikumus, piemēram, CSDN, Tianya, Xiaomi utt., Hakeri apmainīsies un centralizēs vilktās datu bāzes, veidojot vienu tā saukto "sociālā darba bibliotēku" pēc otras, Sociālā darba datu bāze glabā daudz konta paroles informācijas no "vilktās" vietnes, tāpēc autors meklēja drauga konta informāciju sociālā darba datu bāzes vietnē, ko parasti izmanto hakeri, un, protams, atrada nopludināto konta paroli:
Redzot šo bibliotēku, es domāju, ka ikvienam vajadzētu saprast, kura sociālā darba datu bāze tā ir.
Hehe.
No ekrānuzņēmuma redzams, ka drauga parole tika nopludināta no 51CTO, un parole tika šifrēta ar MD5, taču šo paroli nav neiespējami atrisināt, un internetā ir daudz vietņu, kas var vaicāt MD5 oriģinālo tekstu, piemēram, meklēt šifrētu tekstu CMD5 un ātri atklāt paroles oriģinālo tekstu:
Pēc veiksmīgas atšifrēšanas piesakieties sava drauga attiecīgajā kontā ar paroli, un, protams, pieteikšanās bija veiksmīga. Šķiet, ka paroles noplūdes veids ir atrasts. Tātad, tagad jautājums ir, kā hakeri uzlauza vairākas draugu vietnes? Šokējoša pazemes datu bāze Šobrīd ir pienācis laiks upurēt vēl vienu mūsu rīku (www.reg007.com), jo daudziem cilvēkiem ir ieradums izmantot vienu un to pašu e-pasta adresi, lai reģistrētu daudz uzņēmumu, un, izmantojot šo vietni, jūs varat vaicāt, kāda vietne ir reģistrēta ar noteiktu e-pastu, pirmo reizi, kad es redzēju šo vietni, mani draugi un es bijām apdullināti, šāda ir situācija, vaicājot noteiktu e-pastu, kopumā tika vaicāta 21 reģistrēta vietne:
Patiesībā daudziem draugiem ir arī šāds ieradums, tas ir, lai atvieglotu atmiņu, viņi reģistrēs visus vietņu kontus ar vienu un to pašu kontu un paroli, neatkarīgi no tā, vai tas ir neliels forums vai tirdzniecības centrs, kas ietver īpašumu, piemēram, JD.com un Tmall. Šī prakse ir ļoti nedroša, un, ja kāda no vietnēm nokrīt, visi konti būs apdraudēti.Īpaši pēc CSDN datu bāzes noplūdes 2011. gadā arvien vairāk vietņu ir nopludinājušas datu bāzes, un šīs nopludinātās datu bāzes var atrast vietnēs pēc vēlēšanās. Jūs varat padomāt par to, kad jūsu konta parole ir vienāda, veicot iepriekš minētās darbības, jūs varat viegli uzzināt, kurā universitātē esat bijis (Xuexin.com), kādu darbu esat paveicis (Future Worry-free, Zhilian), ko esat iegādājies (JD.com, Taobao), ko jūs zināt (mākoņa adrešu grāmata) un ko esat teicis (QQ, WeChat)
Zemāk redzamajā attēlā parādīta daļa no sociālā darba datu bāzes informācijas, ar kuru apmainās dažas pagrīdes vietnes
Iepriekš teiktais nav trauksmains, jo ir pārāk daudz vietņu, kas patiesībā var "piepildīt akreditācijas datus", un ir arī daudz piemēru par liela mēroga "banku atmazgāšanu", "akreditācijas datu pildīšanu" un "banku swiping" melnajām nozarēm. Šeit ir šo terminu skaidrojums, pēc liela lietotāju datu apjoma iegūšanas, "velkot bibliotēku", hakeri gūs vērtīgus lietotāju datus, izmantojot virkni tehnisko līdzekļu un melnās rūpniecības ķēdi, ko parasti sauc par "datu bāzes mazgāšanu", un visbeidzot hakeris mēģinās pieteikties citās vietnēs ar hakera iegūtajiem datiem, ko sauc par "akreditācijas datu pildīšanu", jo daudziem lietotājiem patīk izmantot vienotu lietotājvārda paroli, un "akreditācijas datu pildījums" bieži vien ir ļoti atalgojošs. Meklējot ievainojamības iesniegšanas platformā "Dark Cloud", var konstatēt, ka daudzām vietnēm ir akreditācijas datu ievainojamība, un tajā pašā laikā aizskarošās un aizsardzības puses ir atkārtoti aizstāvējušās viena pret otru, un uzbrukuma metode "akreditācijas datu pildījums" vienmēr ir bijusi īpaši populāra melnās nozares aprindās, jo tās īpašības ir "vienkāršas", "raupjas" un "efektīvas". Autors reiz projekta laikā saskārās ar liela mēroga akreditācijas datu pildīšanas incidentu labi pazīstamā pastkastītē Ķīnā, un tālāk ir daži fragmenti no tajā laikā apmainītajiem e-pastiem:
Anomāliju analīze No aptuveni pulksten 10 šorīt līdz aptuveni 21:10 vakarā ir acīmredzama nenormāla pieteikšanās, kas būtībā ir uzlaušana. Hakeri izmanto automātiskās pieteikšanās programmas, lai īsā laika periodā iniciētu lielu skaitu pieteikšanās pieprasījumu no viena un tā paša IP, ar vienlaicīgiem pieprasījumiem un lielu pieprasījumu biežumu, līdz vairāk nekā 600 pieteikšanās pieprasījumiem minūtē. Šodien visas dienas laikā kopumā notika 225 000 veiksmīgu pieteikšanās un 43 000 neveiksmīgu pieteikšanos, iesaistot aptuveni 130 000 kontu (2 pieteikšanās vienā kontā); Hakeris pieteicās no WAP pamata versijas, pēc veiksmīgas pieteikšanās pārslēdzās uz standarta versiju un izslēdza pieteikšanās paziņojumu standarta versijā, tādējādi aktivizējot īsziņas atgādinājumu ar kontam piesaistīta mobilā tālruņa numura izmaiņām. No žurnāla analīzes netika atrasta nekāda cita uzvedība pēc tam, kad hakeris modificēja pieteikšanās paziņojumu, un hakeris pēc pieteikšanās nenosūtīja nekādus e-pastus. Provizoriskie analīzes rezultāti ir šādi:
1. Hakeris izmanto standarta lietotājvārda-paroles autentifikācijas metodi, lai pieteiktos, un autentifikācijas panākumu līmenis ir ļoti augsts. Vaicājot pēdējo dienu žurnālus, šie lietotāji neatrada nevienu pieteikšanās mēģinājumu. Tas nozīmē, ka lietotāja parole tiek iegūta, izmantojot citus līdzekļus, nevis ar brutālu spēku, uzlaužot e-pasta sistēmas paroli; 2. Hakeru nozagto lietotāju reģistrācijas vieta ir visā valstī, bez acīmredzamām īpašībām, un nav acīmredzamu reģistrācijas laika īpašību; 3. Daži lietotājvārdi un paroles, kas pārtvertas, uztverot paketes, parāda, ka dažādu lietotāju paroles ir atšķirīgas, nav līdzības, un tās nav vienkāršas paroles; Es izvēlējos dažas lietotāju paroles un mēģināju pieteikties 163 pastkastē, Dianping un citās vietnēs, un atklāju, ka pieteikšanās bija veiksmīga; 4. Ir daudz hakeru pieteikšanās IP adrešu avotu, tostarp Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan un citas pilsētas. Pēc tam, kad mēs bloķējam neparasto pieteikšanās IP, hakeri var ātri mainīt pieteikšanās IP, izraisot mūsu bloķēšanu ātri kļūst neefektīva. Mēs varam sekot tikai hakeriem, un saskaņā ar frekvences raksturlielumiem mēs īstenosim bloķēšanu tikai pēc noteikta skaita sasniegšanas.5. Lietotāja iepriekšējās aktivitātes statuss netiks saskaņots līdz rītdienai. Bet, spriežot pēc pašreizējās situācijas, mans personīgais sākotnējais minējums ir tāds, ka ir jābūt aktīviem un neaktīviem lietotājiem, un lielākajai daļai no viņiem vajadzētu būt neaktīviem lietotājiem.
No iepriekš minētās analīzes pamatā var redzēt, ka hakeriem jau ir šo lietotāju lietotājvārda un paroles informācija, un lielākā daļa no tiem ir pareizi. Paroles var izraisīt dažādu tīkla paroļu informācijas noplūde. Drošības padomi Visbeidzot, autors jautā, vai vēlaties, lai jūsu parole būtu kāda cita rokās, vai arī tā pastāv kāda cita datu bāzē? Lai aizsargātu ikviena paroli, autors šeit sniedz dažus paroļu ieteikumus, 1. Regulāri mainiet paroli; 2. Svarīgu vietņu konta parole un nesvarīgu vietņu konta parole ir jāatdala, piemēram, Tmall, JD.com utt., Vislabāk ir padarīt konta paroli atšķirīgu; 3. Parolei ir noteikta sarežģītība, piemēram, vairāk nekā 8 cipari, ieskaitot lielos un mazos burtus un īpašos simbolus, lai atvieglotu atmiņu, varat izmantot īpašu kriptogrāfijas programmatūru, lai pārvaldītu savu paroli, slavenākais ir keepass;Es ceru, ka, izmantojot iepriekš minēto saturu, ikviens var labāk izprast paroļu drošību, lai labāk aizsargātu savu personīgo privātumu un īpašuma drošību.
|
Publicēts 30.12.2014 14:05:37
|
|
|
|
