Groază de Crăciun: scurgere de date de utilizator 12306? La ora 10 dimineața, o vulnerabilitate serioasă de securitate a apărut pe o platformă de vulnerabilități – baza de date cu 12306 utilizatori a fost compromisă. Pentru a verifica acuratețea acestor informații, echipa noastră a desfășurat o investigație asupra incidentului. Prin intermediul unor forumuri de asistență socială de pe Internet, au fost găsite într-adevăr urme ale 12306 care a fost târât, iar următoarea imagine este o captură de ecran pe un forum de asistență socială:
Și circulă pe Internet de o anumită perioadă, iar cea mai veche dată cunoscută este 16 decembrie. Imaginea de mai jos arată discuțiile tuturor despre această perioadă pe un forum.
Prin unele canale, am găsit în cele din urmă unele dintre datele suspectate scurse, care includ în principal12306Email înregistrat, parolă, nume, carte de identitate, telefon mobil. Figura de mai jos arată unele dintre datele scurse.
Au fost făcute câteva încercări de autentificare către contul scurs, iar acesta a fost găsit în baza de date anterioară10Toate conturile pot fi autentificate. Se poate vedea că seiful cu parole scurs este într-adevăr adevărat.
În prezent, circulă două versiuni pe Internet, și anume 14M și 18G, care au fost distribuite printre producătorii negri subterani, iar noi suspectăm că există două posibilități de scurgere a parolelor: una este că site-ul 12306 a fost tras în baza de date, iar cealaltă este că compania terță de software de confiscare a tichetelor a fost spartă și baza de date a fost târâtă. Deoarece 12306 este autentificat cu numele real, acesta conține multe informații importante, inclusiv cărți de identitate și numere de telefon mobil. Articol vechi, nouă promovare: La cine este parola ta? Acum câteva zile, mulți prieteni din jurul meu au avut parolele furate, iar când au fost furate, au fost furate în loturi, iar multe parole diferite de site-uri înregistrate de ei înșiși au fost furate simultan.
Cum sunt furate parolele de către hackeri? În primul rând, contul este furat, prima suspiciune este problema că calculatorul este lovit de un cal troian, hackerii pot folosi keylogging, phishing și alte metode pentru a fura parole prin implantarea de cai troieni în calculatoarele personale. Prin urmare, autorul a verificat calculatoarele mai multor prieteni cu parole furate în jurul său și nu a găsit niciun cal troian, fiind evident că conturile lor au fost furate prin cai troieni. Deoarece nu este o problemă a calculatorului tău, este probabil ca site-ul înregistrat să fi fost "tras de cineva pentru a fi adus în baza de date"; iată o explicație a bazei de date drag, așa-numita "bibliotecă de drag" este că datele utilizatorului site-ului sunt furate prin injecție SQL sau alte mijloace, iar informațiile despre numele de utilizator și parola acestui site sunt obținute, iar multe site-uri cunoscute au emis evenimente de tip "drag library", precum CSDN, Tianya, Xiaomi etc., hackerii schimbând și centralizând bazele de date trase, formând o așa-numită "bibliotecă de asistență socială" după alta. Baza de date a asistenței sociale stochează multe informații despre parolele contului de pe site-ul "dragged", așa că autorul a căutat informațiile contului unui prieten pe un site de baze de date de asistență socială folosit frecvent de hackeri și, într-adevăr, a găsit parola scursă:
Văzând această bibliotecă, cred că toată lumea ar trebui să înțeleagă a cui este această bază de date cu asistență socială.
Hehe.
Se poate vedea din captura de ecran că parola prietenului a fost scursă de la 51CTO, iar parola a fost criptată cu MD5, dar nu este imposibil să rezolvi această parolă, iar există multe site-uri web pe Internet care pot interoga textul original al MD5, cum ar fi căutarea textului cifrat pe CMD5 și descoperirea rapidă a textului original al parolei:
După decriptarea reușită, autentifică-te în contul relevant al prietenului tău cu parola și, într-adevăr, autentificarea a fost un succes. Se pare că modul în care parola a fost scursă a fost descoperit. Așadar, acum întrebarea este: cum au reușit hackerii să spargă mai multe site-uri ale prietenilor? Baza de date subterană șocantă În acest moment, este momentul să sacrificăm un alt instrument al nostru (www.reg007.com), deoarece mulți oameni au obiceiul să folosească aceeași adresă de email pentru a înregistra multe afaceri, iar prin acest site poți interoga ce site a fost înregistrat cu un anumit email; prima dată când am văzut acest site, prietenii mei și cu mine am rămas uimi, iar următoarea este situația când se solicită un anumit email, un total de 21 de site-uri înregistrate au fost interogate:
De fapt, mulți prieteni au și ei acest obicei, adică, pentru a facilita memorarea, înregistrează toate conturile de site cu același cont și parolă, fie că este vorba de un forum mic sau de un mall cu proprietăți precum JD.com și Tmall. Această practică este foarte nesigură, iar dacă unul dintre amplasamente cade, toate conturile vor fi expuse riscului.Mai ales după scurgerea bazei de date CSDN din 2011, tot mai multe site-uri web au scurs baze de date, iar aceste baze de date scurse pot fi găsite pe site-uri oricând doresc. Poți să te gândești la asta: atunci când parola contului tău este aceeași, prin pașii de mai sus, poți afla ușor la ce universitate ai fost (Xuexin.com), ce muncă ai făcut (Future Worry-free, Zhilian), ce ai cumpărat (JD.com, Taobao), pe cine cunoști (agendă de adrese cloud) și ce ai spus (QQ, WeChat)
Figura de mai jos arată unele dintre informațiile din baza de date despre asistență socială schimbate de unele site-uri underground
Ceea ce s-a spus mai sus nu este alarmist, pentru că există prea multe site-uri care pot "ascunde credențiale" în realitate, și există și multe exemple de "spălare bancară" la scară largă, "înfundare a acreditărilor" și "furt bancar" al industriilor negre. Iată o explicație a acestor termeni: după ce obțin o cantitate mare de date ale utilizatorilor prin "tragerea bibliotecii", hackerii vor monetiza datele valoroase ale utilizatorilor printr-o serie de mijloace tehnice și lanțul industriei negre, numit de obicei "spălarea bazei de date", iar în final hackerul va încerca să se conecteze pe alte site-uri cu datele obținute de hacker, ceea ce se numește "credential stuffing", deoarece mulți utilizatori preferă să folosească o parolă unificată a numelui de utilizator, iar "credential stuffing" este adesea foarte satisfăcător. Căutând pe platforma de trimitere a vulnerabilităților "Dark Cloud", se poate descoperi că multe site-uri au vulnerabilități legate de credențial stuffing, iar în același timp, părțile ofensivă și defensivă s-au apărat în mod repetat una împotriva celeilalte, iar metoda de atac "credential stuffing" a fost întotdeauna deosebit de populară în cercul industriei negre datorită caracteristicilor sale precum "simplu", "dur" și "eficient". Autorul s-a confruntat odată cu un incident amplu de umplutură a acreditărilor într-o cutie poștală cunoscută din China în timpul proiectului, iar următoarele sunt câteva extrase din emailurile schimbate la acea vreme:
Analiza anomaliilor De pe la ora 10 dimineața până la sfârșitul orei 21:10 seara, există o autentificare anormală evidentă, care este practic considerată hacking. Hackerii folosesc programe automate de autentificare pentru a iniția un număr mare de cereri de autentificare de pe aceeași adresă IP într-un timp scurt, cu cereri simultane și o frecvență ridicată a cererilor, până la peste 600 de cereri de autentificare pe minut. Pe parcursul zilei de astăzi, au avut loc un total de 225.000 de autentificări reușite și 43.000 de autentificări eșuate, implicând aproximativ 130.000 de conturi (2 autentificări per cont); Hackerul s-a logat din versiunea de bază a WAP, a trecut la versiunea standard după autentificarea reușită și a dezactivat notificarea de autentificare în versiunea standard, declanșând astfel un memento prin mesaj text cu modificări ale numărului de telefon mobil legat contului. Din analiza jurnalului, nu s-a găsit niciun alt comportament după ce hackerul a modificat notificarea de autentificare, iar hackerul nu a trimis niciun email după autentificare. Rezultatele analizei preliminare sunt următoarele:
1. Hackerul folosește metoda standard de autentificare nume utilizator-parolă pentru a se autentifica, iar rata de succes a autentificării este foarte ridicată. Interogând jurnalele din ultimele zile, nu au fost găsite încercări de autentificare din partea acestor utilizatori. Adică, parola utilizatorului este obținută prin alte mijloace, nu prin spargerea prin forță brută a parolei sistemului de email; 2. Locul de înregistrare al utilizatorilor furați de hackeri este răspândit în toată țara, fără caracteristici evidente și nu există caracteristici evidente ale timpului de înregistrare; 3. Unele nume de utilizator și parole interceptate prin capturarea pachetelor arată că parolele utilizatorilor diferiți sunt diferite, nu există asemănări și nu sunt simple parole; Am selectat câteva parole de utilizator și am încercat să mă conectez la 163 mailbox, Dianping și alte site-uri, și am constatat că autentificarea a fost reușită; 4. Există multe surse de adrese IP de autentificare pentru hackeri, inclusiv Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan și alte orașe. După ce blocăm IP-ul anormal de autentificare, hackerii pot schimba rapid IP-ul de autentificare, ceea ce face ca blocarea noastră să devină rapid ineficientă. Putem urmări doar hackerii, iar în funcție de caracteristicile de frecvență, vom implementa blocarea doar după ce atingem un anumit număr.5. Starea anterioară a activității utilizatorului nu va fi corectată decât mâine. Dar, judecând după situația actuală, presupunerea mea preliminară personală este că ar trebui să existe utilizatori activi și inactivi, iar majoritatea ar trebui să fie utilizatori inactivi.
Din analiza de mai sus, se poate observa practic că hackerii au deja la îndemână informațiile de utilizator și parole ale acestor utilizatori, iar majoritatea sunt corecte. Parolele pot fi cauzate de scurgerea mai multor informații despre parolele rețelei înainte. Sfaturi de siguranță În final, autorul întreabă: vrei ca parola ta să fie în mâinile altcuiva sau există ea în baza de date a altcuiva? Pentru a proteja parola tuturor, autorul de aici îți oferă câteva sugestii de parole, 1. Schimbă-ți parola în mod regulat; 2. Parola contului de pe site-urile importante și parola contului de pe site-urile neimportante trebuie să fie separate, cum ar fi Tmall, JD.com etc.; este mai bine să schimbi parola contului; 3. Parola are o anumită complexitate, cum ar fi peste 8 cifre, inclusiv litere mari și mici și simboluri speciale; pentru a facilita memoria, poți folosi un software criptografic special pentru a-ți gestiona propria parolă, cel mai cunoscut fiind keepass;Sper ca, prin conținutul de mai sus, toată lumea să poată înțelege mai bine securitatea parolelor, pentru a-și proteja mai bine confidențialitatea personală și securitatea proprietății.
|
Postat pe 30.12.2014 14:05:37
|
|
|
|
