Vianočný horor: Únik používateľských dát 12306? O 10:00 sa na platforme pre zraniteľnosti objavila vážna bezpečnostná zraniteľnosť – databáza 12306 používateľov bola kompromitovaná. Aby sme overili presnosť týchto informácií, náš tím vykonal vyšetrovanie incidentu. Prostredníctvom niektorých fór sociálnej práce na internete sa skutočne našli stopy po ťahaní 12306 a nasledujúca fotografia je snímka obrazovky na fóre sociálnej práce:
A už nejaký čas koluje na internete, pričom najskorší známy čas je 16. december. Obrázok nižšie ukazuje diskusiu všetkých o tomto období na fóre.
Prostredníctvom niektorých kanálov sme nakoniec našli niektoré z podozrivých uniknutých údajov, ktoré zahŕňajú najmä12306Registrovaný e-mail, heslo, meno, občiansky preukaz, mobilný telefón. Obrázok nižšie ukazuje niektoré z uniknutých údajov.
Boli vykonané niektoré pokusy o prihlásenie do uniknutého účtu a ten bol nájdený v predchádzajúcej databáze10Všetky účty sa dajú prihlásiť. Je zrejmé, že uniknutý trezor hesiel je naozaj pravdivý.
V súčasnosti na internete kolujú dve verzie, a to 14M a 18G, ktoré sa šíria medzi podzemnými černošskými výrobcami, a predpokladáme, že existujú dve možnosti úniku hesla – jedna je, že webová stránka 12306 bola stiahnutá do databázy, a druhá je, že softvérová spoločnosť tretích strán na získavanie tiketov bola hacknutá a databáza bola stiahnutá. Keďže 12306 je overený skutočným menom, obsahuje množstvo dôležitých informácií, vrátane občianskych preukazov a mobilných telefónnych čísel. Starý článok nový push: Na koho máte heslo? Pred pár dňami mnohým priateľom okolo mňa ukradli heslá, a keď boli ukradnuté, boli ukradnuté po dávkach a naraz bolo ukradnutých mnoho rôznych hesiel na webstránky, ktoré si sami zaregistrovali.
Ako hackeri kradnú heslá? Po prvé, účet je ukradnutý, prvým podozrením je problém, že počítač zasiahne trójsky kôň, hackeri môžu používať keylogging, phishing a iné metódy na krádež hesiel implantovaním trójskych koní do osobných počítačov. Preto autor skontroloval počítače niekoľkých priateľov s ukradnutými heslami okolo seba a nenašiel žiadne trójske kone, a bolo zrejmé, že ich účty boli ukradnuté cez trójske kone. Keďže to nie je problém s vaším vlastným počítačom, je pravdepodobné, že registrovaná webová stránka bola "niekým ťahaná, aby bola ťahaná do databázy". Tu je vysvetlenie drag databázy, tzv. "drag knižnica" znamená, že používateľské údaje stránky sú ukradnuté SQL injekciou alebo inými spôsobmi, a získavajú sa používateľské mená a heslá tejto stránky, a mnohé známe webové stránky vydali udalosti typu "drag library", ako CSDN, Tianya, Xiaomi a podobne, hackeri si vymieňajú a centralizujú stiahnuté databázy, vytvárajúc jednu takzvanú "knižnicu sociálnej práce" za druhou. Databáza sociálnych pracovníkov uchováva veľa údajov o heslách k účtom z "ťahaného" webu, takže autor hľadal informácie o účte priateľa na webovej stránke sociálnej práce, ktorú bežne používajú hackeri, a naozaj, našiel uniknuté heslo k účtu:
Keď vidím túto knižnicu, myslím, že každý by mal pochopiť, o čiu databázu sociálnych pracovníkov ide.
Hehe.
Zo screenshotu je vidieť, že heslo priateľa uniklo z 51CTO a heslo bolo zašifrované pomocou MD5, ale nie je nemožné toto heslo vyriešiť a na internete existuje mnoho webových stránok, ktoré dokážu vyhľadávať pôvodný text MD5, napríklad vyhľadávaním šifrovaného textu v CMD5 a rýchlym objavením pôvodného textu hesla:
Po úspešnom dešifrovaní sa prihláste do príslušného účtu svojho priateľa pomocou hesla a naozaj, prihlásenie bolo úspešné. Zdá sa, že spôsob, akým bolo heslo uniknuté, bol nájdený. Takže teraz je otázka, ako sa hackerom podarilo nabúrať do viacerých webových stránok priateľov? Šokujúca podzemná databáza V tejto chvíli je čas obetovať ďalší náš nástroj (www.reg007.com), pretože mnohí ľudia majú vo zvyku používať tú istú e-mailovú adresu na registráciu veľkého množstva podnikateľov, a cez túto stránku môžete vyhľadať, ktorá stránka bola zaregistrovaná s určitým e-mailom. Keď som túto stránku prvýkrát videl, moji priatelia a ja sme boli ohromení, nasledujúca je situácia, keď som oslovil určitý e-mail, bolo dopytovaných celkovo 21 registrovaných webových stránok:
V skutočnosti majú mnohí priatelia tiež takýto zvyk, teda aby si uľahčili pamäť, registrujú všetky webové účty s rovnakým účtom a heslom, či už ide o malé fórum alebo nákupné centrum s nehnuteľnosťami ako JD.com a Tmall. Táto prax je veľmi nebezpečná a ak niektorá zo stránok padne, všetky účty budú ohrozené.Najmä po úniku databázy CSDN v roku 2011 uniklo čoraz viac webových stránok a tieto uniknuté databázy je možné nájsť na stránkach podľa vlastnej vôle. Môžete o tom premýšľať, keď máte rovnaké heslo k účtu, podľa vyššie uvedených krokov ľahko zistíte, na akej univerzite ste boli (Xuexin.com), akú prácu ste vykonali (Future Worry-free, Zhilian), čo ste kúpili (JD.com, Taobao), koho poznáte (cloudový adresár) a čo ste povedali (QQ, WeChat)
Obrázok nižšie ukazuje niektoré informácie z databázy sociálnej práce, ktoré si vymieňali niektoré podzemné webové stránky
To, čo bolo povedané vyššie, nie je alarmistické, pretože existuje príliš veľa webových stránok, ktoré dokážu "naplniť prihlasovacie údaje" v realite, a existuje aj mnoho príkladov rozsiahleho "prania bánk", "falšovania prihlasovacích údajov" a "kradnutia bánk" čiernych odvetví. Tu je vysvetlenie týchto pojmov: po získaní veľkého množstva používateľských dát "ťahaním knižnice" hackeri monetizujú cenné používateľské dáta technickým spôsobom a čiernym priemyselným reťazcom, ktorý sa zvyčajne nazýva "database washing", a nakoniec sa hacker pokúsi prihlásiť na iné webové stránky s údajmi získanými hackerom, čo sa nazýva "credential stuffing", pretože mnohí používatelia radi používajú jednotné používateľské meno a "credential stuffing" je často veľmi uspokojujúce. Vyhľadávaním na platforme na podávanie zraniteľností "Dark Cloud" sa dá zistiť, že mnohé webové stránky majú zraniteľnosti na overovanie prihlasovacích údajov, pričom zároveň sa útočná aj defenzívna strana opakovane bránili proti sebe navzájom, pričom metóda útoku "upchávanie prihlasovacích údajov" bola vždy obzvlášť populárna v čiernom priemysle vďaka svojim vlastnostiam ako "jednoduché", "drsné" a "efektívne". Autor sa raz počas projektu stretol s rozsiahlym incidentom s vložením oprávnení do známej poštovej schránky v Číne, a nasledujú niektoré úryvky z e-mailov, ktoré si vtedy vymenili:
Analýza anomálií Od približne 10:00 ráno do konca okolo 21:10 večer je zjavné abnormálne prihlásenie, ktoré je v podstate identifikované ako hackovanie. Hackeri používajú automatické prihlasovacie programy na iniciovanie veľkého množstva prihlasovacích požiadaviek z tej istej IP adresy v krátkom čase, s súbežnými požiadavkami a vysokou frekvenciou, až do viac ako 600 prihlasovacích požiadaviek za minútu. Počas dnešného dňa došlo k celkovo 225 000 úspešným prihláseniam a 43 000 neúspešným prihláseniam, čo zahŕňa približne 130 000 účtov (2 prihlásenia na účet); Hacker sa prihlásil zo základnej verzie WAP, po úspešnom prihlásení prešiel na štandardnú verziu a v štandardnej verzii vypol notifikáciu prihlásenia, čím vyvolal pripomenutie textovej správy s úpravami mobilného čísla viazaného na účet. Z analýzy logov sa po úprave notifikácie prihlásenia hackerom nenašlo žiadne ďalšie správanie a hacker po prihlásení neodoslal žiadne e-maily. Predbežné výsledky analýzy sú nasledovné:
1. Hacker používa štandardnú metódu overenia používateľského mena a hesla na prihlásenie a úspešnosť autentifikácie je veľmi vysoká. Pri dotazovaní do logov posledných dní títo používatelia nenašli žiadne pokusy o prihlásenie. To znamená, že používateľské heslo sa získava inými spôsobmi, nie hrubou silou prelomením hesla e-mailového systému; 2. Miesto registrácie používateľov ukradnutých hackermi je po celej krajine, bez zjavných charakteristík a bez zjavného času registrácie; 3. Niektoré používateľské mená a heslá zachytené pri zachytení paketov ukazujú, že heslá rôznych používateľov sú odlišné, nie sú podobné a nie sú to jednoduché heslá; Vybral som niekoľko používateľských hesiel a pokúsil sa prihlásiť na 163 mailbox, Dianping a ďalšie stránky, a zistil som, že prihlásenie bolo úspešné; 4. Existuje mnoho zdrojov IP adries na prihlásenie hackerov, vrátane Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan a ďalších miest. Po zablokovaní abnormálnej prihlasovacej IP adresy môžu hackeri rýchlo zmeniť prihlasovaciu IP, čo spôsobí, že naše blokovanie rýchlo prestane byť účinné. Môžeme len sledovať hackerov a podľa frekvenčných charakteristík blokovanie implementujeme až po dosiahnutí určitého čísla.5. Stav predchádzajúcej aktivity používateľa nebude zladený až zajtra. Ale podľa aktuálnej situácie je môj osobný predbežný odhad, že by mali byť aktívni a neaktívni používatelia, pričom väčšina z nich by mala byť neaktívna.
Z vyššie uvedenej analýzy je v podstate vidieť, že hackeri už majú k dispozícii používateľské mená a heslá týchto používateľov a väčšina z nich je správna. Heslá môžu byť spôsobené únikom rôznych sieťových hesiel predtým. Bezpečnostné rady Nakoniec sa autor pýta, chcete, aby vaše heslo bolo v rukách niekoho iného, alebo existuje v databáze niekoho iného? Aby sme ochránili heslá všetkých, autor tu ponúka niekoľko návrhov na heslá, 1. Pravidelne meňte heslo; 2. Heslo k dôležitým webovým stránkam a heslo k menej dôležitým stránkam, ako sú Tmall, JD.com a pod., musia byť oddelené, je najlepšie nastaviť odlišné heslo účtu; 3. Heslo má určitú zložitosť, napríklad viac ako 8 číslic, vrátane veľkých a malých písmen a špeciálnych symbolov, na uľahčenie pamäti môžete použiť špeciálny kryptografický softvér na správu vlastného hesla, tým známejším je keepass;Dúfam, že vďaka vyššie uvedenému obsahu každý lepšie pochopí bezpečnosť hesiel, aby lepšie chránil svoje osobné súkromie a bezpečnosť majetku.
|
Zverejnené 30. 12. 2014 14:05:37
|
|
|
|
