Рождественский ужас: утечка пользовательских данных 12306? В 10 утра на платформе обнаружена серьёзная уязвимость — база данных пользователей 12306 была скомпрометирована. Чтобы проверить достоверность этой информации, наша команда провела расследование инцидента. Через некоторые форумы социальной работы в Интернете действительно были найдены следы перетаскивания 12306, и следующая фотография — скриншот на форуме социальной работы:
И он уже давно распространяется в Интернете, а самое раннее известное время — 16 декабря. На фото ниже показано, как все обсуждали это время на форуме.
По некоторым каналам мы наконец нашли некоторые предполагаемые утечки данных, которые в основном включают12306Зарегистрированная электронная почта, пароль, имя, удостоверение личности, мобильный телефон. На рисунке ниже показаны некоторые из утекших данных.
Были предприняты попытки входа в утекший аккаунт, и он был найден в предыдущей базе данных10Все аккаунты можно войти. Видно, что утекший хранилище паролей действительно правдив.
В настоящее время в Интернете циркулируют две версии — 14M и 18G, которые распространяются среди подпольных чернокожих производителей, и мы подозреваем, что существует два варианта утечки пароля: одна — что сайт 12306 был втянут в базу данных, а другая — что сторонняя компания по захвату билетов была взломана, а база данных перетащина. Поскольку 12306 аутентифицируется с настоящим именем, он содержит много важной информации, включая удостоверения личности и номера мобильных телефонов. Старая статья: В чём ваш пароль? Несколько дней назад у многих друзей вокруг меня украли пароли, и когда их украли, то по партиям, и одновременно украли множество разных паролей от сайтов, зарегистрированных ими сами.
Как хакеры крадут пароли? Во-первых, аккаунт был украден, первое подозрение — проблема с тем, что компьютер попал под троянский конь; хакеры могут использовать кейлогинг, фишинг и другие методы для кражи паролей, внедряя троянских лошадей в персональные компьютеры. Поэтому автор проверил компьютеры нескольких друзей с украденными паролями рядом и не обнаружил троянских лошадей, и стало очевидно, что их аккаунты были украдены через троянских лошадей. Поскольку проблема не в вашем собственном компьютере, то, скорее всего, зарегистрированный сайт был «перетащён кем-то для перетащения в базу данных». Вот объяснение базы данных, так называемая «библиотека драга» — это то, что пользовательские данные сайта украдены с помощью SQL-инъекции или другим способом, и получены данные имени пользователя и пароля этого сайта, а многие известные сайты выпускают события «drag library», такие как CSDN, Tianya, Xiaomi и др. Хакеры обмениваются и централизуют задерживаемые базы данных, формируя одну так называемую «библиотеку социальной работы» за другой. База данных социальной работы хранит много паролей аккаунта с «перетащенного» сайта, поэтому автор искал информацию о аккаунте друга на сайте базы данных социальных работников, часто используемом хакерами, и, как и следовало ожидать, нашёл утекший пароль аккаунта:
Увидев эту библиотеку, думаю, каждый должен понять, чья это база данных социальной работы.
Хе-хе.
На скриншоте видно, что пароль друга был утечен из 51CTO, и пароль был зашифрован MD5, но решить этот пароль не невозможно, и существует множество сайтов в Интернете, где можно запросить оригинальный текст MD5, например, поиск шифротекста в CMD5 и быстрое обнаружение оригинального текста пароля:
После успешной расшифровки войдите в соответствующий аккаунт друга с паролем, и, конечно, вход был успешным. Похоже, способ утечки пароля был найден. Теперь возникает вопрос: как хакеры взломали несколько сайтов друзей? Шокирующая подпольная база данных Сейчас пришло время пожертвовать ещё одним нашим инструментом (www.reg007.com), потому что многие люди используют один и тот же адрес электронной почты для регистрации большого количества клиентов, и через этот сайт можно узнать, какой сайт зарегистрирован с определённым письмом. Когда я впервые увидел этот сайт, мои друзья и я были поражены. Вот ситуация, когда при запросе определённого письма было запрошено 21 зарегистрированный сайт:
На самом деле, многие друзья тоже имеют такую привычку: для удобства памяти они регистрируют все аккаунты сайта с одним и тем же аккаунтом и паролем, будь то небольшой форум или торговый центр с объектами вроде JD.com и Tmall. Эта практика крайне небезопасна, и если один из объектов рухнет, все аккаунты окажутся под угрозой.Особенно после утечки базы данных CSDN в 2011 году, всё больше сайтов утекли базы данных, и эти утечки базы данных можно найти на сайтах по желанию. Вы можете подумать, если пароль вашего аккаунта совпадает, с помощью вышеуказанных шагов вы легко узнаете, в каком университете вы учились (Xuexin.com), какую работу выполняли (Future Worry-free, Zhilian), что купили (JD.com, Taobao), кого знаете (облачная адресная книга) и что вы сказали (QQ, WeChat)
На рисунке ниже показана часть информации баз данных социальной работы, которой обмениваются некоторые подпольные сайты
То, что сказано выше, не является паникёрством, потому что на самом деле слишком много сайтов, которые могут «набить учетные данные», а также есть множество примеров крупномасштабного «отмывания банков», «подбора учетных данных» и «кражи банков» чернокожих отраслей. Вот объяснение этих терминов: после получения большого объёма пользовательских данных путём «перетаскивания библиотеки» хакеры зарабатывают ценные пользовательские данные с помощью ряда технических методов и чёрной индустриальной цепочки, которую обычно называют «wash database», а затем попытаются войти на другие сайты с полученными ими данными, что называется «заполнением учетных данных», потому что многие пользователи предпочитают использовать единый пароль от имени пользователя, а «подчинение учетных данных» часто приносит большое удовлетворение. При поиске на платформе для подачи уязвимостей «Dark Cloud» можно увидеть, что на многих сайтах есть уязвимости при заполнении учетных данных, и одновременно атакующая и оборонительная стороны неоднократно защищались друг от друга, а метод атаки «заполнения учетных данных» всегда был особенно популярен в чернокожей индустрии благодаря таким характеристикам, как «простота», «грубая» и «эффективная». Однажды автор столкнулся с крупномасштабным инцидентом с подбором данных в известном почтовом ящике в Китае во время проекта, и ниже приведены некоторые выдержки из обмена электронными письмами, которые тогда обменивались:
Анализ аномалий С примерно 10 часов утра до конца 21:10 вечера наблюдается явный аномальный вход, который по сути определяется как взлом. Хакеры используют автоматические программы для входа, чтобы инициировать большое количество запросов на вход с одного и того же IP за короткий промежуток времени, с одновременными запросами и высокой частотой — до более 600 запросов на вход в минуту. В течение сегодняшнего дня произошло всего 225 000 успешных входов и 43 000 неудачных входов, включая около 130 000 аккаунтов (по 2 входа на каждый аккаунт); Хакер вошёл в систему с базовой версии WAP, после успешного входа переключился на стандартную версию и отключил уведомление о входе в стандартной версии, тем самым вызвав напоминание о текстовом сообщении с изменениями номера мобильного телефона, привязанного к аккаунту. По анализу логов после изменения уведомления о входе хакером не было обнаружено других действий, и после входа хакер не отправлял никаких писем. Предварительные результаты анализа следующие:
1. Хакер использует стандартный метод аутентификации по имя пользователя и паролю для входа, и уровень успешности аутентификации очень высок. При запросе логов за последние несколько дней попыток входа не было найдено этими пользователями. То есть пароль пользователя получается другим способом, а не путём перебора пароля электронной почты; 2. Место регистрации пользователей, украденных хакерами, распространёно по всей стране, без явных признаков и явных характеристик времени регистрации; 3. Некоторые имена пользователей и пароли, перехваченные с помощью захвата пакетов, показывают, что пароли разных пользователей разные, нет сходства и это не простые пароли; Я выбрал несколько паролей пользователей и попытался войти на сайты 163 mailbox, Dianping и другие сайты, и обнаружил, что вход прошёл успешно; 4. Существует множество источников IP-адресов для входа хакеров, включая Сиань, Шэньси, Анькан, Хэфэй, Аньхой, Хуаншань, Аньхой, Хуайнань и другие города. После того как мы заблокируем ненормальный IP-адрес входа, хакеры могут быстро изменить IP входа, из-за чего наша блокировка становится неэффективной. Мы можем следить только за хакерами, и согласно частотным характеристикам блокируем только после достижения определённого числа.5. Предыдущий статус активности пользователя будет сопоставлен только завтра. Но, судя по текущей ситуации, моё личное предварительное предположение — должны быть активные и неактивные пользователи, и большинство из них должны быть неактивными.
Из приведённого выше анализа видно, что у хакеров уже есть имена пользователей и пароли этих пользователей, и большинство из них верны. Пароли могут быть вызваны утечкой различных сетевых паролей, которые ранее использовались. Советы по безопасности Наконец, автор спрашивает: хотите, чтобы ваш пароль был в руках другого человека или он существует в чужой базе данных? Чтобы защитить пароли всех, автор здесь даёт вам несколько предложений по паролям, 1. Регулярно меняйте пароль; 2. Пароль аккаунта важных сайтов и пароль аккаунта незначительных сайтов, таких как Tmall, JD.com и др., должны быть разделены; лучше всего делать пароль от аккаунта другим; 3. Пароль имеет определённую сложность, например, более 8 цифр, включая заглавные и строчные буквы и специальные символы. Для облегчения памяти можно использовать специальное криптографическое программное обеспечение для управления своим паролем, наиболее известный — keepass;Я надеюсь, что благодаря вышеуказанному контенту каждый сможет лучше понять безопасность паролей, чтобы лучше защитить свою личную приватность и безопасность имущества.
|
Опубликовано 30.12.2014 14:05:37
|
|
|
|
