Christmas Horror: 12306 gebruikersdatalek? Om 10 uur 's ochtends verscheen er een ernstige beveiligingslek op een kwetsbaarheidsplatform - de database met 12.306 gebruikers was gecompromitteerd. Om de juistheid van deze informatie te verifiëren, heeft ons team een onderzoek naar het incident uitgevoerd. Via enkele sociale werkforums op internet zijn inderdaad sporen gevonden van het slepen van 12306, en de volgende foto is een screenshot op een forum voor maatschappelijk werk:
En het circuleert al een tijdje op het internet, en de vroegst bekende tijd is 16 december. De onderstaande foto toont ieders discussie over deze tijd op een forum.
Via enkele kanalen hebben we uiteindelijk enkele van de vermoedelijk gelekte gegevens gevonden, waaronder voornamelijk12306Geregistreerde e-mail, wachtwoord, naam, ID-kaart, mobiele telefoon. De onderstaande figuur toont enkele van de gelekte gegevens.
Er werden enkele inlogpogingen gedaan op het gelekte account, en het werd gevonden in de vorige database10Alle accounts kunnen worden ingelogd. Het is duidelijk dat de gelekte wachtwoordkluis inderdaad waar is.
Op dit moment circuleren er twee versies op het internet, namelijk 14M en 18G, die zijn verspreid onder ondergrondse zwarte fabrikanten, en we vermoeden dat er twee mogelijkheden zijn voor wachtwoordlekken: de ene is dat de 12306-website in de database is gesleept, en de andere is dat het derde partij ticket-grabbingsoftwarebedrijf is gehackt en de database is gesleept. Omdat 12306 geauthenticeerd is met een echte naam, bevat het veel belangrijke informatie, waaronder ID-kaarten en mobiele nummers. Oud artikel nieuwe push: In wie zit je wachtwoord? Een paar dagen geleden werden veel vrienden om mij heen hun wachtwoorden gestolen, en toen ze gestolen waren, waren ze in batches, en werden veel verschillende websitewachtwoorden die ze zelf registreerden tegelijkertijd gestolen.
Hoe worden wachtwoorden gestolen door hackers? Allereerst wordt het account gestolen, de eerste verdenking is het probleem dat de computer is geraakt door een Trojaans paard; hackers kunnen keylogging, phishing en andere methoden gebruiken om wachtwoorden te stelen door Trojaanse paarden in persoonlijke computers te plaatsen. Daarom controleerde de auteur de computers van verschillende vrienden met gestolen wachtwoorden in zijn omgeving en vond geen Trojaanse paarden, en het was duidelijk dat hun accounts via Trojaanse paarden waren gestolen. Aangezien het geen probleem is met je eigen computer, is het waarschijnlijk dat de geregistreerde website is "door iemand gesleept om in de database te worden gesleept", hier is een uitleg over de dragdatabase, de zogenaamde "dragbibliotheek" is dat de gebruikersgegevens van de website worden gestolen via SQL-injectie of andere middelen, en de gebruikersnaam- en wachtwoordinformatie van deze website worden verkregen, en veel bekende websites hebben "drag library"-evenementen uitgebracht, zoals CSDN, Tianya, Xiaomi, enzovoort. Hackers zullen de gesleepte databases uitwisselen en centraliseren, waardoor de zogenaamde "sociale werkbibliotheek" na de andere ontstaat. De database van maatschappelijk werk slaat veel wachtwoordinformatie op van de "gesleepte" website, dus zocht de auteur naar accountgegevens van een vriend op een website van de sociale werkbank die vaak door hackers wordt gebruikt, en inderdaad vond hij het gelekte accountwachtwoord:
Als ik deze bibliotheek zie, denk ik dat iedereen moet begrijpen van wie deze sociale werkdatabase is.
Hehe.
Uit de screenshot blijkt dat het wachtwoord van de vriend is gelekt van 51CTO, en dat het wachtwoord is versleuteld met MD5, maar het is niet onmogelijk om dit wachtwoord op te lossen, en er zijn veel websites op internet die de originele tekst van MD5 kunnen opzoeken, zoals zoeken naar ciphertext op CMD5, en snel de originele tekst van het wachtwoord ontdekken:
Na succesvolle ontsleuteling log je in op het relevante account van je vriend met het wachtwoord, en inderdaad, de login was succesvol. Het lijkt erop dat de manier waarop het wachtwoord is gelekt is gevonden. Dus nu is de vraag: hoe zijn hackers ingebroken op meerdere websites van vrienden? Schokkende ondergrondse database Op dit moment is het tijd om een ander van ons hulpmiddel (www.reg007.com) op te offeren, want veel mensen hebben de gewoonte om hetzelfde e-mailadres te gebruiken om veel klanten te registreren, en via deze website kun je opvragen welke website met een bepaald e-mailadres is geregistreerd. De eerste keer dat ik deze website zag, waren mijn vrienden en ik verbaasd. Het volgende is de situatie bij het opvragen van een bepaald e-mailadres: in totaal werden 21 geregistreerde websites geraadpleegd:
Veel vrienden hebben die gewoonte ook, dat wil zeggen, om het geheugen te vergemakkelijken, registreren ze alle website-accounts met hetzelfde account en wachtwoord, of het nu een klein forum is of een winkelcentrum met eigendommen zoals JD.com en Tmall. Deze praktijk is zeer onveilig, en als een van de sites valt, lopen alle accounts risico.Vooral na het lek van de CSDN-database in 2011 hebben steeds meer websites databases gelekt, en deze gelekte databases zijn op websites te vinden wanneer ze willen. Je kunt erover nadenken, als je accountwachtwoord hetzelfde is, via bovenstaande stappen kun je gemakkelijk weten op welke universiteit je bent geweest (Xuexin.com), welk werk je hebt gedaan (Future Worry-free, Zhilian), wat je hebt gekocht (JD.com, Taobao), wie je kent (cloud-adresboek) en wat je hebt gezegd (QQ, WeChat).
De onderstaande figuur toont een deel van de informatie over de sociale werkdatabase die door enkele ondergrondse websites wordt uitgewisseld
Wat hierboven gezegd is, is niet alarmistisch, want er zijn te veel websites die in de praktijk "inloggegevens kunnen opstoppen", en er zijn ook veel voorbeelden van grootschalige "bankwitwassen", "credential stuffing" en "bankswiping" van zwarte industrieën. Hier volgt een uitleg van deze termen: nadat ze een grote hoeveelheid gebruikersgegevens hebben verkregen door "de bibliotheek te slepen", zullen hackers waardevolle gebruikersgegevens gelde maken via een reeks technische middelen en de black industry chain, wat meestal "database washing" wordt genoemd, en uiteindelijk probeert de hacker in te loggen op andere websites met de door de hacker verkregen gegevens, wat "credential stuffing" wordt genoemd, omdat veel gebruikers graag een uniform gebruikersnaamwachtwoord gebruiken, en "credential stuffing" vaak erg bevredigend is. Als je zoekt op het kwetsbaarheidsplatform "Dark Cloud", blijkt dat veel websites kwetsbaarheden hebben voor credential stuffing, en tegelijkertijd hebben de offensieve en defensieve kant zich herhaaldelijk tegen elkaar verdedigd, en de aanvalsmethode van "credential stuffing" is altijd bijzonder populair geweest in de zwarte industrie vanwege kenmerken als "simpel", "ruw" en "effectief". De auteur kwam tijdens het project ooit een grootschalig incident met het stoppen van credentials in een bekende brievenbus in China tegen, en hieronder volgen enkele fragmenten uit de e-mails die destijds werden uitgewisseld:
Anomalie-analyse Vanaf ongeveer 10 uur vanmorgen tot het einde van ongeveer 21:10 uur 's avonds is er een duidelijke abnormale login, die in feite wordt vastgesteld als hacken. Hackers gebruiken automatische inlogprogramma's om in korte tijd een groot aantal inlogverzoeken vanaf hetzelfde IP te starten, met gelijktijdige verzoeken en een hoge verzoekfrequentie, tot meer dan 600 inlogverzoeken per minuut. Gedurende de dag vandaag vonden in totaal 225.000 succesvolle inlogs en 43.000 mislukte inlogs plaats, waarbij ongeveer 130.000 accounts werden gebruikt (2 inlogs per account); De hacker logde in vanaf de basisversie van WAP, schakelde na succesvolle inloggen over naar de standaardversie en schakelde de inlogmelding uit in de standaardversie, waardoor een sms-herinnering werd geactiveerd met aanpassingen aan het mobiele nummer dat aan het account was gekoppeld. Uit de loganalyse bleek dat er geen ander gedrag werd gevonden nadat de hacker de inlogmelding had aangepast, en de hacker stuurde na het inloggen geen e-mails. De voorlopige analyseresultaten zijn als volgt:
1. De hacker gebruikt de standaard gebruikersnaam-wachtwoord authenticatiemethode om in te loggen, en het succespercentage van de authenticatie is zeer hoog. Bij het doorzoeken van de logs van de afgelopen dagen werden geen inlogpogingen gevonden door deze gebruikers. Dat wil zeggen, het gebruikerswachtwoord wordt op andere manieren verkregen, niet door brute force het wachtwoord van het e-mailsysteem te kraken; 2. De registratieplaats van gebruikers die door hackers zijn gestolen is verspreid over het hele land, zonder duidelijke kenmerken, en er zijn geen duidelijke kenmerken van de registratietijd; 3. Sommige gebruikersnamen en wachtwoorden die worden onderschept door pakketten te vangen, tonen aan dat de wachtwoorden van verschillende gebruikers verschillend zijn, er geen gelijkenis is en het geen eenvoudige wachtwoorden zijn; Ik selecteerde een paar gebruikerswachtwoorden en probeerde in te loggen op 163 mailbox, Dianping en andere websites, en ontdekte dat het inloggen succesvol was; 4. Er zijn veel bronnen van hacker-inlog-IP-adressen, waaronder Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan en andere steden. Nadat we het abnormale inlog-IP blokkeren, kunnen hackers het inlog-IP snel veranderen, waardoor onze blokkering snel ineffectief wordt. We kunnen alleen de hackers volgen, en volgens de frequentiekenmerken zullen we alleen blokkering implementeren nadat een bepaald aantal is bereikt.5. De vorige activiteitsstatus van de gebruiker wordt pas morgen overeengekomen. Maar afgaande op de huidige situatie is mijn persoonlijke voorlopige gok dat er actieve en inactieve gebruikers zouden moeten zijn, en de meesten daarvan zouden inactieve gebruikers moeten zijn.
Uit bovenstaande analyse blijkt dat hackers al de gebruikersnaam- en wachtwoordinformatie van deze gebruikers bij de hand hebben, en de meesten daarvan hebben gelijk. Wachtwoorden kunnen worden veroorzaakt door het lekken van verschillende netwerkwachtwoordinformatie van voorheen. Veiligheidsadvies Tot slot vraagt de auteur: wil je dat je wachtwoord in handen van iemand anders is, of bestaat het in de database van iemand anders? Om ieders wachtwoord te beschermen, geeft de auteur hier enkele wachtwoordsuggesties, 1. Verander regelmatig je wachtwoord; 2. Het accountwachtwoord van belangrijke websites en het accountwachtwoord van niet-belangrijke websites moeten gescheiden zijn, zoals Tmall, JD.com, enz.; het is het beste om het accountwachtwoord te verschillen; 3. Het wachtwoord heeft een zekere complexiteit, zoals meer dan 8 cijfers, waaronder hoofd- en kleinletters en speciale symbolen; om geheugen te vergemakkelijken kun je speciale cryptografische software gebruiken om je eigen wachtwoord te beheren, waarvan de bekendste keepass is;Ik hoop dat iedereen via bovenstaande inhoud een beter begrip kan krijgen van wachtwoordbeveiliging, zodat ze hun persoonlijke privacy en eigendomsbeveiliging beter kunnen beschermen.
|
Geplaatst op 30-12-2014 14:05:37
|
|
|
|
