Horror de Natal: Vazamento de Dados de Usuário no 12306? Às 10h, uma vulnerabilidade séria de segurança apareceu em uma plataforma de vulnerabilidades – o banco de dados de 12306 usuários foi comprometido. Para verificar a veracidade dessas informações, nossa equipe conduziu uma investigação sobre o incidente. Em alguns fóruns de serviço social na Internet, alguns vestígios do 12306 sendo arrastado foram de fato encontrados, e a foto a seguir é uma captura de tela em um fórum de serviço social:
E ela vem circulando na Internet há um certo tempo, e o horário mais antigo conhecido é 16 de dezembro. A imagem abaixo mostra a discussão de todos sobre esse período em um fórum.
Por meio de alguns canais, finalmente encontramos alguns dos dados suspeitos de vazamento, que incluem principalmente12306E-mail registrado, senha, nome, carteira de identidade, celular. A figura abaixo mostra alguns dos dados vazados.
Algumas tentativas de login foram feitas na conta vazada, e ela foi encontrada no banco de dados anterior10Todas as contas podem ser logadas. Pode-se ver que o cofre de senhas vazado é realmente verdadeiro.
Atualmente, existem duas versões circulando na Internet, a saber: 14M e 18G, que foram distribuídas entre fabricantes negros clandestinos, e suspeitamos que existam duas possibilidades de vazamento de senha: uma é que o site 12306 foi arrastado para o banco de dados, e a outra é que a empresa terceirizada de software de captura de tickets foi hackeada e o banco de dados foi arrastado. Como o 12306 é autenticado com nome real, contém muitas informações importantes, incluindo carteiras de identidade e números de telefone móvel. Artigo antigo novo empurrão: Em quem está sua senha? Alguns dias atrás, muitos amigos ao meu redor tiveram suas senhas roubadas, e quando foram roubadas, foram em lotes, e muitas senhas de sites diferentes registradas por eles mesmos foram roubadas ao mesmo tempo.
Como as senhas são roubadas por hackers? Primeiramente, a conta é roubada, a primeira suspeita é o problema do computador ter sido atingido por um cavalo de Troia, hackers podem usar keylogging, phishing e outros métodos para roubar senhas implantando cavalos de Troia em computadores pessoais. Portanto, o autor verificou os computadores de vários amigos com senhas roubadas ao seu redor e não encontrou cavalos de Troia, e ficou óbvio que suas contas foram roubadas por meio de cavalos de Troia. Como não é um problema do seu próprio computador, é provável que o site registrado tenha sido "arrastado por alguém para ser arrastado para o banco de dados". Aqui está uma explicação do banco de dados de arrasto, a chamada "biblioteca de arrasto" é que os dados do usuário do site são roubados por injeção SQL ou outros meios, e as informações de nome de usuário e senha desse site são obtidas, e muitos sites conhecidos emitiram eventos de "biblioteca de arrastar", como CSDN, Tianya, Xiaomi, etc., hackers trocam e centralizam os bancos de dados arrastados, formando uma chamada "biblioteca de serviço social" após a outra. O banco de dados de assistentes sociais armazena muitas informações de senhas de conta do site "arrastado", então o autor procurou informações da conta de um amigo em um site de banco de dados de assistência social comumente usado por hackers e, de fato, encontrou a senha vazada da conta:
Vendo essa biblioteca, acho que todos deveriam entender de quem é esse banco de dados de serviço social.
Hehe.
Pode-se ver pela captura de tela que a senha do amigo foi vazada do 51CTO, e a senha foi criptografada com MD5, mas não é impossível resolver essa senha, e existem muitos sites na Internet que podem consultar o texto original do MD5, como buscar texto cifrado no CMD5 e descobrir rapidamente o texto original da senha:
Após a descriptografia bem-sucedida, faça login na conta relevante do seu amigo com a senha e, de fato, o login foi bem-sucedido. Parece que a forma como a senha foi vazada foi encontrada. Então, agora a questão é: como hackers invadiram vários sites de amigos? Banco de dados subterrâneo chocante Neste momento, é hora de sacrificar outra ferramenta nossa (www.reg007.com), porque muitas pessoas têm o hábito de usar o mesmo endereço de e-mail para registrar muitos negócios, e por meio deste site você pode consultar qual site foi registrado com determinado e-mail. Na primeira vez que vi esse site, meus amigos e eu ficamos surpresos, a seguinte é a situação ao consultar um determinado e-mail, um total de 21 sites registrados foram consultados:
Na verdade, muitos amigos também têm esse hábito, ou seja, para facilitar a memória, eles registram todas as contas de sites com a mesma conta e senha, seja em um pequeno fórum ou em um shopping envolvendo propriedades como JD.com e Tmall. Essa prática é muito perigosa, e se um dos locais cair, todas as contas estarão em risco.Especialmente após o vazamento do banco de dados CSDN em 2011, cada vez mais sites vazaram bancos de dados, e esses bancos vazados podem ser encontrados em sites à vontade. Você pode pensar nisso: quando sua senha de conta for a mesma, através dos passos acima, você pode facilmente saber em qual universidade você estudou (Xuexin.com), que trabalho fez (Future Worry-free, Zhilian), o que comprou (JD.com, Taobao), quem você conhece (lista de endereços na nuvem) e o que disse (QQ, WeChat)
A figura abaixo mostra algumas informações do banco de dados de serviço social trocadas por alguns sites underground
O que foi dito acima não é alarmista, porque há muitos sites que podem "encher credenciais" na realidade, e também há muitos exemplos de "lavagem bancária" em larga escala, "fraude de credenciais" e "roubo bancário" de indústrias negras. Aqui está uma explicação desses termos: após obter uma grande quantidade de dados de usuários por meio de "arrastar a biblioteca", hackers monetizam dados valiosos de usuários por meio de uma série de meios técnicos e da cadeia negra da indústria, geralmente chamada de "lavagem de banco de dados", e finalmente o hacker tenta acessar outros sites com os dados obtidos pelo hacker, chamado de "stuffing de credenciais", porque muitos usuários gostam de usar uma senha unificada de nome de usuário, e o "stuffing de credenciais" costuma ser muito recompensador. Pesquisando na plataforma de submissão de vulnerabilidades "Dark Cloud", pode-se encontrar que muitos sites apresentam vulnerabilidades de credential stuffing e, ao mesmo tempo, os lados ofensivo e defensivo têm se defendido repetidamente, e o método de ataque chamado "credential stuffing" sempre foi particularmente popular no círculo negro da indústria por suas características como "simples", "bruto" e "eficaz". O autor certa vez se deparou com um grande incidente de preenchimento de credenciais em uma caixa de correio conhecida na China durante o projeto, e a seguir estão alguns trechos dos e-mails trocados naquela época:
Análise de anomalias De cerca de 10 horas da manhã até o final das 21h10, há um login anormal óbvio, que basicamente é considerado hacking. Hackers utilizam programas automáticos de login para iniciar um grande número de solicitações de login a partir do mesmo IP em um curto período de tempo, com requisições simultâneas e alta frequência de solicitações, chegando a mais de 600 solicitações de login por minuto. Ao longo do dia de hoje, ocorreram um total de 225.000 logins bem-sucedidos e 43.000 falhas, envolvendo cerca de 130.000 contas (2 logins por conta); O hacker fez login pela versão básica do WAP, mudou para a versão padrão após o login bem-sucedido e desativou a notificação de login na versão padrão, disparando assim um lembrete por mensagem de texto com modificações no número de celular vinculado à conta. Na análise dos logs, nenhum outro comportamento foi encontrado após o hacker modificar a notificação de login, e o hacker não enviou nenhum e-mail após o login. Os resultados preliminares da análise são os seguintes:
1. O hacker utiliza o método padrão de autenticação nome de usuário e senha para fazer login, e a taxa de sucesso da autenticação é muito alta. Consultando os logs dos últimos dias, nenhuma tentativa de login foi encontrada por esses usuários. Ou seja, a senha do usuário é obtida por outros meios, não por meio de quebra bruta da senha do sistema de e-mail; 2. O local de registro dos usuários roubados por hackers está espalhado por todo o país, sem características óbvias, e não há características óbvias do momento de registro; 3. Alguns nomes de usuário e senhas interceptados por pacotes capturados mostram que as senhas de diferentes usuários são diferentes, não há semelhança e não são senhas simples; Selecionei algumas senhas de usuário e tentei entrar na caixa de correio 163, Dianping e outros sites, e descobri que o login foi bem-sucedido; 4. Existem muitas fontes de endereços IP de login para hackers, incluindo Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan e outras cidades. Depois que bloqueamos o IP de login anormal, hackers podem rapidamente alterar o IP de login, fazendo com que nosso bloqueio se torne rapidamente ineficaz. Só podemos seguir os hackers e, de acordo com as características de frequência, só implementaremos o bloqueio após atingir um certo número.5. O status anterior de atividade do usuário só será correspondido amanhã. Mas, julgando pela situação atual, meu palpite inicial pessoal é que deve haver usuários ativos e inativos, e a maioria deles deve ser inativa.
A partir da análise acima, pode-se basicamente ver que os hackers já têm as informações de usuário e senha desses usuários em mãos, e a maioria está correta. As senhas podem ser causadas pelo vazamento de várias informações de senhas de rede anteriormente. Conselhos de segurança Por fim, o autor pergunta: você quer que sua senha fique nas mãos de outra pessoa, ou ela existe no banco de dados de outra pessoa? Para proteger a senha de todos, o autor aqui te dá algumas sugestões de senha, 1. Alterar sua senha regularmente; 2. A senha da conta dos sites importantes e a senha da conta dos sites não importantes devem ser separadas, como Tmall, JD.com, etc., sendo melhor que a senha da conta seja diferente; 3. A senha tem certa complexidade, como mais de 8 dígitos, incluindo letras maiúsculas e minúsculas e símbolos especiais; para facilitar a memória, você pode usar softwares criptográficos especiais para gerenciar sua própria senha, sendo a mais famosa a keepass;Espero que, por meio do conteúdo acima, todos possam entender melhor a segurança das senhas, para proteger melhor sua privacidade pessoal e a segurança da propriedade.
|
Publicado em 30/12/2014 14:05:37
|
|
|
|
