Świąteczny horror: Wyciek danych użytkownika 12306? O godzinie 10:00 rano na platformie z lukami pojawiła się poważna luka w zabezpieczeniach – baza danych 12306 użytkowników została przejęta. Aby zweryfikować dokładność tych informacji, nasz zespół przeprowadził dochodzenie w sprawie incydentu. Na forach pracy socjalnej w Internecie rzeczywiście znaleziono ślady przeciągania 12306, a poniższy obraz to zrzut ekranu na forum pracy socjalnej:
I krąży on w Internecie od pewnego czasu, a najwcześniejszy znany czas to 16 grudnia. Poniższe zdjęcie pokazuje dyskusje wszystkich na temat tego czasu na forum.
Poprzez niektóre kanały w końcu znaleźliśmy część podejrzewanych wycieków danych, które głównie obejmują12306Zarejestrowany e-mail, hasło, imię, dowód tożsamości, telefon komórkowy. Poniższy rysunek pokazuje część wyciekłych danych.
Podjęto kilka prób logowania do wyciekłego konta i zostało ono znalezione w poprzedniej bazie danych10Wszystkie konta można zalogować. Widać, że wyciek sejfu haseł jest rzeczywiście prawdziwy.
Obecnie w Internecie krążą dwie wersje, mianowicie 14M i 18G, które krążą wśród czarnoskórych producentów z podziemnego świata, i podejrzewamy, że istnieją dwie możliwości wycieku haseł: po pierwsze, że strona 12306 została wciągnięta do bazy danych, a po drugie, że firma trzeciej firmy do przechwytywania zgłoszeń została zhakowana i baza danych została przeciągnięta. Ponieważ 12306 jest uwierzytelniony prawdziwym nazwiskiem, zawiera wiele ważnych informacji, w tym dowody osobiste i numery telefonów komórkowych. Stary artykuł nowy push: Do kogo masz hasło? Kilka dni temu wielu znajomych wokół mnie straciło skradzione hasła, a gdy zostały skradzione, były kradzione partiami, a jednocześnie skradziono wiele różnych haseł do stron internetowych zarejestrowanych przez nich.
Jak hakerzy kradną hasła? Po pierwsze, konto zostało skradzione, a pierwsze podejrzenie to problem z atakiem na komputer przez konia trojańskiego, hakerzy mogą używać keylogowania, phishingu i innych metod do kradzieży haseł, wszczepiając konie trojańskie do komputerów osobistych. Dlatego autor sprawdził komputery kilku znajomych z skradzionymi hasłami wokół siebie i nie znalazł żadnych trojanów, a było oczywiste, że ich konta zostały skradzione przez konie trojańskie. Ponieważ nie jest to problem z twoim własnym komputerem, prawdopodobnie zarejestrowana strona została "przeciągnięta przez kogoś, aby zostać wciągniętą do bazy danych". Oto wyjaśnienie bazy danych drag, tzw. "drag library" polega na tym, że dane użytkownika strony są kradzione przez SQL injection lub inne sposoby, a dane użytkownika i hasła tej strony są pozyskiwane, a wiele znanych stron wydawało zdarzenia "drag library", takie jak CSDN, Tianya, Xiaomi itd., hakerzy wymieniają i centralizują przeciągnięte bazy danych, tworząc kolejne tzw. "biblioteki pracy socjalnej". Baza danych pracowników socjalnych przechowuje wiele haseł do kont z "przeciągniętej strony", więc autor szukał informacji o kontach znajomego na stronie bazy danych pracowników socjalnych często używanej przez hakerów i rzeczywiście znalazł wyciekłe hasło do konta:
Widząc tę bibliotekę, myślę, że każdy powinien zrozumieć, czyja to baza danych pracowników socjalnych.
Hehe.
Z zrzutu ekranu widać, że hasło znajomego zostało wycieknięte z 51CTO, a hasło było zaszyfrowane MD5, ale nie jest niemożliwe rozwiązanie tego hasła, a w Internecie istnieje wiele stron internetowych, które mogą sprawdzić oryginalny tekst MD5, na przykład wyszukując szyfrogram w CMD5 i szybko odkrywając oryginalny tekst hasła:
Po udanym odszyfrowaniu zaloguj się na odpowiednie konto znajomego za pomocą hasła i rzeczywiście, logowanie zakończyło się sukcesem. Wygląda na to, że sposób wycieku hasła został odnaleziony. Teraz pojawia się pytanie: jak hakerzy włamali się do wielu stron internetowych znajomych? Szokująca podziemna baza danych W tym momencie nadszedł czas, by poświęcić kolejne nasze narzędzie (www.reg007.com), ponieważ wiele osób ma zwyczaj używania tego samego adresu e-mail do rejestracji wielu firm, a przez tę stronę można sprawdzić, która strona została zarejestrowana pod danym adresem e-mail. Gdy pierwszy raz zobaczyłem tę stronę, moi przyjaciele i ja byliśmy zszokowani, oto sytuacja – podczas zapytania do konkretnego e-maila zapytano łącznie 21 zarejestrowanych stron:
W rzeczywistości wielu znajomych ma taki zwyczaj, czyli aby ułatwić pamięć, rejestrują wszystkie konta na stronie pod tym samym kontem i hasłem, niezależnie czy jest to małe forum, czy centrum handlowe związane z nieruchomościami takimi jak JD.com czy Tmall. Ta praktyka jest bardzo niebezpieczna, a jeśli któraś ze stron upadnie, wszystkie konta będą zagrożone.Zwłaszcza po wycieku bazy danych CSDN w 2011 roku, coraz więcej stron internetowych wyciekło z baz danych, a te wycieki można znaleźć na stronach wedle uznania. Możesz pomyśleć o tym, że gdy hasło do konta jest takie samo, dzięki powyższym krokom łatwo dowiesz się, na jakiej uczelni studiowałeś (Xuexin.com), jaką pracę wykonałeś (Future Worry-free, Zhilian), co kupiłeś (JD.com, Taobao), kogo znasz (książka adresowa w chmurze) i co powiedziałeś (QQ, WeChat)
Poniższy rysunek pokazuje część informacji z bazy danych pracy socjalnej wymienionych na niektórych stronach internetowych podziemnych
To, co powiedziano powyżej, nie jest alarmistyczne, ponieważ jest zbyt wiele stron internetowych, które w rzeczywistości mogą "podrzucać dane uwierzytelniające", a także wiele przykładów masowego "prania banków", "fałszowania uprawnień" i "kradzieży banków" czarnych branż. Oto wyjaśnienie tych terminów: po zdobyciu dużej ilości danych użytkowników poprzez "przeciąganie biblioteki", hakerzy monetyzują cenne dane użytkowników za pomocą różnych technicznych metod i łańcucha czarnego przemysłu, który zwykle nazywa się "praniem baz danych", a na końcu haker próbuje zalogować się na inne strony z danymi uzyskanymi przez hakera, co nazywa się "napełnianiem poświadczeń", ponieważ wielu użytkowników lubi używać zunifikowanego hasła do nazwy użytkownika, a "poddawanie poświadczeń" jest często bardzo satysfakcjonujące. Wyszukując na platformie do zgłaszania podatności "Dark Cloud", można znaleźć wiele stron internetowych z lukami polegającymi na zatrzymywaniu poświadczeń, a jednocześnie strony ofensywne i defensywne wielokrotnie się broniły, a metoda ataku "nadawania poświadczeń" zawsze była szczególnie popularna w środowisku czarnej branży ze względu na swoje cechy takie jak "prosty", "surowy" i "skuteczny". Autor miał kiedyś okazję do szeroko zakrojonego incydentu z podrzucaniem poświadczeń w znanej skrzynce pocztowej w Chinach podczas projektu, a poniżej znajdują się fragmenty wymienianych wtedy e-maili:
Analiza anomalii Od około 10 rano do końca około 21:10 wieczorem pojawił się oczywisty nieprawidłowy login, który zasadniczo uznano za hakowanie. Hakerzy używają automatycznych programów logowania, aby inicjować dużą liczbę żądań logowania z tego samego IP w krótkim czasie, z jednoczesnymi żądaniami i wysoką częstotliwością żądań, nawet do ponad 600 żądań logowania na minutę. W ciągu dzisiejszego dnia odnotowano łącznie 225 000 udanych logowań i 43 000 nieudanych logowań, obejmujących około 130 000 kont (2 logowania na konto); Haker zalogował się z podstawowej wersji WAP, po pomyślnym zalogowaniu przełączył się na wersję standardową i wyłączył powiadomienie o logowaniu w wersji standardowej, co wywołało przypomnienie SMS o zmianach numeru telefonu komórkowego powiązanego z kontem. Z analizy logów wynika, że po modyfikacji powiadomienia logowania przez hakera nie wykryto żadnych innych zachowań, a po zalogowaniu nie wysłał żadnych e-maili. Wstępne wyniki analizy przedstawiają się następująco:
1. Haker używa standardowej metody uwierzytelniania użytkownika i hasła do logowania, a skuteczność uwierzytelniania jest bardzo wysoka. Przeglądając logi z ostatnich kilku dni, użytkownicy nie znaleźli żadnych prób logowania. Oznacza to, że hasło użytkownika uzyskuje się innymi metodami, a nie przez brutalne złamanie hasła systemu pocztowego; 2. Miejsce rejestracji użytkowników skradzionych przez hakerów jest rozsiane w całym kraju, bez wyraźnych cech i bez wyraźnych ograniczeń dotyczących czasu rejestracji; 3. Niektóre nazwy użytkowników i hasła przechwycone przez przechwytywanie pakietów pokazują, że hasła różnych użytkowników są różne, nie ma podobieństwa i nie są to proste hasła; Wybrałem kilka haseł użytkowników i próbowałem zalogować się do skrzynki 163, Dianping i innych stron, i okazało się, że logowanie się powiodło; 4. Istnieje wiele źródeł adresów IP logowania hakera, w tym Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan i inne miasta. Po zablokowaniu nieprawidłowego adresu logowania hakerzy mogą szybko zmienić adres logowania, co powoduje, że nasze blokowanie staje się nieskuteczne. Możemy tylko śledzić hakerów i zgodnie z charakterystyką częstotliwości blokujemy dopiero po osiągnięciu określonej liczby.5. Status poprzedniej aktywności użytkownika zostanie dopasowany dopiero jutro. Ale patrząc na obecną sytuację, moim osobistym wstępnym przypuszczeniem jest, że powinni być aktywni i nieaktywni użytkownicy, a większość z nich powinna być nieaktywna.
Z powyższej analizy wynika, że hakerzy mają już pod ręką dane użytkownika i hasła tych użytkowników, a większość z nich jest poprawna. Hasła mogą być spowodowane wyciekiem różnych informacji o hasłach sieciowych wcześniej. Zalecenia dotyczące bezpieczeństwa Na koniec autor: czy chcesz, aby twoje hasło było w czyichś rękach, czy może istnieje w czyjejś bazie danych? Aby chronić hasła wszystkich, autor tutaj przedstawia kilka propozycji dotyczących haseł, 1. Regularnie zmieniaj hasło; 2. Hasło do ważnych stron internetowych i hasło do mniej istotnych stron, takich jak Tmall, JD.com itp., należy oddzielić hasło do konta; najlepiej jest odróżnić hasło do konta; 3. Hasło ma pewną złożoność, na przykład więcej niż 8 cyfr, w tym wielkie i małe litery oraz specjalne symbole; aby ułatwić pamięć, możesz użyć specjalnego oprogramowania kryptograficznego do zarządzania własnym hasłem, z którego znaniejsze jest keepass;Mam nadzieję, że dzięki powyższym treściom każdy lepiej zrozumie bezpieczeństwo haseł, aby lepiej chronić swoją prywatność i bezpieczeństwo własności.
|
Opublikowano 30.12.2014 14:05:37
|
|
|
|
