Juleskrekk: 12306 brukerdatalekkasje? Klokken 10 dukket det opp en alvorlig sikkerhetssårbarhet på en sårbarhetsplattform – databasen med 12 306 brukere ble kompromittert. For å verifisere nøyaktigheten av denne informasjonen, gjennomførte vårt team en etterforskning av hendelsen. Gjennom noen sosialarbeiderforum på Internett har det faktisk blitt funnet spor etter at 12306 ble dratt ut, og følgende bilde er et skjermbilde fra et sosialt arbeidsforum:
Og den har sirkulert på Internett i en viss tid, og den tidligste kjente tiden er 16. desember. Bildet nedenfor viser alles diskusjon om denne tiden på et forum.
Gjennom noen kanaler fant vi endelig noen av de mistenkte lekkede dataene, som hovedsakelig inkluderer12306Registrert e-post, passord, navn, ID-kort, mobiltelefon. Figuren nedenfor viser noen av de lekkede dataene.
Noen innloggingsforsøk ble gjort på den lekkede kontoen, og den ble funnet i den forrige databasen10Alle kontoer kan logges inn. Det kan sees at det lekkede passordhvelvet faktisk stemmer.
For øyeblikket sirkulerer det to versjoner på Internett, nemlig 14M og 18G, som har blitt distribuert blant undergrunns-svarte produsenter, og vi mistenker at det finnes to muligheter for passordlekkasje: den ene er at 12306-nettsiden har blitt dratt inn i databasen, og den andre er at tredjeparts ticket-grabbing-programvareselskapet har blitt hacket og databasen har blitt dratt ut. Siden 12306 er autentisert med ekte navn, inneholder den mye viktig informasjon, inkludert ID-kort og mobiltelefonnumre. Gammel artikkel ny push: Hvem er passordet ditt i? For noen dager siden fikk mange venner rundt meg passordene sine stjålet, og da de ble stjålet, ble de stjålet i batcher, og mange forskjellige nettsidepassord registrert av seg selv ble stjålet samtidig.
Hvordan blir passord stjålet av hackere? Først og fremst blir kontoen stjålet, den første mistanken er problemet med at datamaskinen blir truffet av en trojansk hest, hackere kan bruke tastetrykk, phishing og andre metoder for å stjele passord ved å implantere trojanske hester i personlige datamaskiner. Derfor sjekket forfatteren datamaskinene til flere venner med stjålne passord rundt seg og fant ingen trojanske hester, og det var åpenbart at kontoene deres var stjålet gjennom trojanske hester. Siden det ikke er et problem med din egen datamaskin, er det sannsynlig at nettstedet som er registrert har blitt "dratt av noen for å bli dratt inn i databasen", her er en forklaring på drag-databasen, det såkalte "drag-biblioteket" er at brukerdataene til nettstedet blir stjålet ved SQL-injeksjon eller andre metoder, og brukernavn og passordinformasjon for dette nettstedet er innhentet, og mange kjente nettsteder har utstedt "drag library"-hendelser, som CSDN, Tianya, Xiaomi osv., hackere vil utveksle og sentralisere de neddragne databasene, og danne ett såkalt "sosialt arbeidsbibliotek" etter det andre, Sosialarbeiderdatabasen lagrer mye kontopassordinformasjon fra det "drarte" nettstedet, så forfatteren søkte etter en venns kontoinformasjon på et sosialt arbeidsdatabase-nettsted som ofte brukes av hackere, og ganske riktig fant han det lekkede kontopassordet:
Når jeg ser på dette biblioteket, tror jeg alle bør forstå hvem sin sosialarbeiderdatabase dette er.
Hehe.
Det kan sees på skjermbildet at vennens passord ble lekket fra 51CTO, og passordet ble kryptert med MD5, men det er ikke umulig å løse dette passordet, og det finnes mange nettsteder på Internett som kan spørre i originalteksten til MD5, for eksempel ved å søke etter chiffertekst på CMD5, og raskt oppdage originalteksten til passordet:
Etter vellykket dekryptering, logg inn på vennens relevante konto med passordet, og ganske riktig, innloggingen var vellykket. Det ser ut til at måten passordet ble lekket på har blitt funnet. Så nå er spørsmålet, hvordan hacket hackere seg inn på flere nettsider til venner? Sjokkerende undergrunnsdatabase På dette tidspunktet er det på tide å ofre et annet verktøy vi har (www.reg007.com), fordi mange har for vane å bruke samme e-postadresse for å registrere mye virksomhet, og gjennom dette nettstedet kan du spørre hvilken nettside som er registrert med en bestemt e-postadresse. Første gang jeg så denne nettsiden, ble vennene mine og jeg overrasket. Følgende er situasjonen når jeg søkte inn en bestemt e-post, totalt 21 registrerte nettsteder ble forespurt:
Faktisk har mange venner også en slik vane, det vil si at for å lette hukommelsen registrerer de alle nettsidekontoer med samme konto og passord, enten det er et lite forum eller et kjøpesenter med eiendom som JD.com og Tmall. Denne praksisen er svært usikker, og hvis en av sidene faller, vil alle kontoer være i fare.Spesielt etter CSDN-databaselekkasjen i 2011 har stadig flere nettsteder lekket databaser, og disse lekkede databasene kan finnes på nettsteder når som helst. Du kan tenke på det, når kontopassordet ditt er det samme, gjennom stegene ovenfor kan du enkelt vite hvilket universitet du har vært på (Xuexin.com), hvilket arbeid du har gjort (Future Worry-free, Zhilian), hva du har kjøpt (JD.com, Taobao), hvem du kjenner (cloud adressebok), og hva du har sagt (QQ, WeChat)
Figuren nedenfor viser noe av informasjonen fra sosialarbeiderdatabasen som utveksles av noen undergrunnsnettsteder
Det som sies ovenfor er ikke alarmistisk, fordi det finnes for mange nettsteder som kan «studse inn legitimasjoner» i virkeligheten, og det finnes også mange eksempler på storskala «bankvasking», «credential stuffing» og «banksveiping» av svarte industrier. Her er en forklaring på disse begrepene: Etter å ha fått tak i store mengder brukerdata gjennom «å dra biblioteket», vil hackere tjene penger på verdifulle brukerdata gjennom en rekke tekniske metoder og den svarte industrikjeden, som vanligvis kalles «databasevask», og til slutt vil hackeren prøve å logge inn på andre nettsteder med dataene hackeren har fått tak i, noe som kalles «credential stuffing», fordi mange brukere liker å bruke et enhetlig brukernavn, og «credential stuffing» er ofte svært givende. Når man søker på sårbarhetsinnsendingsplattformen "Dark Cloud", finner man at mange nettsteder har sårbarheter knyttet til credential stuffing, og samtidig har den offensive og defensive siden gjentatte ganger forsvart seg mot hverandre, og angrepsmetoden "credential stuffing" har alltid vært spesielt populær i den svarte industrien på grunn av sine egenskaper som "enkel", "grov" og "effektiv". Forfatteren opplevde en gang en storstilt hendelse med å fylle inn legitimasjon i en kjent postkasse i Kina under prosjektet, og følgende er noen utdrag fra e-postene som ble utvekslet på den tiden:
Anomalianalyse Fra omtrent klokken 10 i morges til slutten av klokken 21:10 på kvelden, er det en åpenbar unormal innlogging, som i praksis er fastslått å være hacking. Hackere bruker automatiske innloggingsprogrammer for å starte et stort antall innloggingsforespørsler fra samme IP på kort tid, med samtidige forespørsler og høy forespørselsfrekvens, opptil mer enn 600 innloggingsforespørsler per minutt. Gjennom dagen i dag skjedde totalt 225 000 vellykkede innlogginger og 43 000 mislykkede innlogginger, med omtrent 130 000 kontoer (2 innlogginger per konto); Hackeren logget inn fra grunnversjonen av WAP, byttet til standardversjonen etter vellykket innlogging, og slo av innloggingsvarslingen i standardversjonen, noe som utløste en tekstmeldingspåminnelse med endringer i mobilnummeret knyttet til kontoen. Fra logganalysen ble det ikke funnet noen annen atferd etter at hackeren endret innloggingsvarslingen, og hackeren sendte ingen e-poster etter innlogging. De foreløpige analyseresultatene er som følger:
1. Hackeren bruker standard autentiseringsmetode for brukernavn og passord for å logge inn, og autentiseringssuksessraten er svært høy. Ved å søke i loggene fra de siste dagene ble det ikke funnet noen innloggingsforsøk fra disse brukerne. Det vil si at brukerpassordet skaffes på andre måter, ikke ved brute force-knekking av passordet til e-postsystemet; 2. Registreringsstedet for brukere stjålet av hackere er over hele landet, uten åpenbare kjennetegn, og det finnes ingen åpenbare kjennetegn på registreringstidspunktet; 3. Noen brukernavn og passord som fanges opp ved å fange pakker, viser at passordene til forskjellige brukere er forskjellige, det er ingen likhet, og de er ikke enkle passord; Jeg valgte noen brukerpassord og prøvde å logge inn på 163 mailbox, Dianping og andre nettsteder, og fant ut at innloggingen var vellykket; 4. Det finnes mange kilder til hacker-innloggings-IP-adresser, inkludert Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan og andre byer. Etter at vi blokkerer den unormale innloggings-IP-en, kan hackere raskt endre innloggings-IP-en, noe som gjør at blokkeringen vår raskt blir ineffektiv. Vi kan bare følge hackerne, og i henhold til frekvensegenskapene vil vi bare implementere blokkering etter å ha nådd et visst tall.5. Brukerens tidligere aktivitetsstatus vil ikke bli matchet før i morgen. Men ut fra dagens situasjon er min personlige foreløpige gjetning at det bør være aktive og inaktive brukere, og de fleste av dem bør være inaktive brukere.
Ut fra analysen ovenfor kan man i hovedsak se at hackere allerede har brukernavn og passordinformasjon til disse brukerne tilgjengelig, og de fleste av dem har rett. Passord kan skyldes lekkasje av ulike nettverkspassord tidligere. Sikkerhetsråd Til slutt spør forfatteren: Vil du at passordet ditt skal være i andres hender, eller finnes det i en annens database? For å beskytte alles passord, gir forfatteren her deg noen passordforslag, 1. Endre passordet ditt jevnlig; 2. Kontopassordet til viktige nettsteder og kontopassordet til ikke-viktige nettsteder må skilles, som Tmall, JD.com osv., det er best å gjøre kontopassordet forskjellig; 3. Passordet har en viss kompleksitet, for eksempel mer enn 8 sifre, inkludert store og små bokstaver og spesielle symboler. For å lette hukommelsen kan du bruke spesiell kryptografisk programvare for å administrere ditt eget passord, det mest kjente er keepass;Jeg håper at gjennom innholdet ovenfor kan alle få en bedre forståelse av passordsikkerhet, slik at de bedre kan beskytte sitt personlige personvern og eiendomssikkerhet.
|
Publisert på 30.12.2014 14:05:37
|
|
|
|
