Božična groza: Uhajanje uporabniških podatkov 12306? Ob 10. uri se je na platformi za ranljivosti pojavila resna varnostna ranljivost – podatkovna baza 12306 uporabnikov je bila kompromitirana. Da bi preverili točnost teh informacij, je naša ekipa izvedla preiskavo incidenta. Preko nekaterih forumov za socialno delo na internetu so res našli sledi vlečenja 12306, naslednja slika pa je posnetek zaslona na forumu socialnega dela:
In že nekaj časa kroži po internetu, najzgodnejši znani čas pa je 16. december. Spodnja slika prikazuje razprave vseh o tem času na forumu.
Preko nekaterih kanalov smo končno našli nekaj sumljivih uhajajočih podatkov, ki večinoma vključujejo12306Registrirani e-poštni naslov, geslo, ime, osebna izkaznica, mobilni telefon. Spodnja slika prikazuje nekatere izpuščene podatke.
Nekateri poskusi prijave na razkriti račun so bili opravljeni, ki so ga našli v prejšnji bazi podatkov10Vsi računi so lahko prijavljeni. Videti je, da je razkriti trezor gesel res resničen.
Trenutno na internetu krožita dve različici, in sicer 14M in 18G, ki ju krožita med podzemnimi črnimi proizvajalci, in sumimo, da obstajata dve možnosti za razkritje gesel: ena je, da je bila spletna stran 12306 vključena v bazo podatkov, druga pa je, da je bila tretja oseba za programsko opremo za zbiranje vstopnic vdrta in da je bila podatkovna baza preiskana. Ker je 12306 overjen z pravim imenom, vsebuje veliko pomembnih podatkov, vključno z osebnimi izkaznicami in mobilnimi številkami. Stari članek: Na kom je vaše geslo? Pred nekaj dnevi so mnogim prijateljem okoli mene ukradli gesla, in ko so jih ukradli, so jih ukradli v serijah, hkrati pa so ukradli tudi številna različna gesla za spletne strani, ki so jih registrirali sami.
Kako hekerji ukradejo gesla? Najprej, račun je ukraden, prvi sum je, da je računalnik napadel trojanski konj, hekerji lahko uporabljajo keylogovanje, phishing in druge metode za krajo gesel z vgradnjo trojanskih konj v osebne računalnike. Zato je avtor preveril računalnike več prijateljev z ukradenimi gesli okoli sebe in ni našel trojanskih konj, očitno pa je bilo, da so bili njihovi računi ukradeni preko trojanskih konj. Ker to ni težava v vašem računalniku, je verjetno, da je registrirana spletna stran "povlečena s strani nekoga, da bi jo povlekel v bazo podatkov". Tukaj je razlaga baze podatkov za vlečenje; tako imenovana "drag knjižnica" pomeni, da so uporabniški podatki spletne strani ukradeni s SQL injekcijo ali drugimi sredstvi, pridobijo uporabniško ime in geslo te spletne strani, številne znane spletne strani pa so izdale dogodke "drag library", kot so CSDN, Tianya, Xiaomi itd., hekerji bodo izmenjevali in centralizirali povlečene baze podatkov, tvorili eno tako imenovano "knjižnico socialnega dela" za drugo. Baza podatkov socialnega dela hrani veliko gesel za račune s "dragged" spletne strani, zato je avtor iskal podatke o računu prijatelja na spletni bazi socialnih delavcev, ki jo hekerji pogosto uporabljajo, in res je našel razkrivano geslo za račun:
Ko vidim to knjižnico, mislim, da bi moral vsak razumeti, čigava baza podatkov socialnega dela je to.
Hehe.
Iz posnetka zaslona je razvidno, da je bilo prijateljevo geslo razkrito iz 51CTO, geslo pa je bilo šifrirano z MD5, vendar ni nemogoče razvozlati tega gesla, poleg tega pa je na internetu veliko spletnih strani, ki lahko poiščejo izvirno besedilo MD5, na primer z iskanjem šifriranega besedila v CMD5 in hitro odkrijejo izvirno besedilo gesla:
Po uspešni dešifriranju se prijavite v ustrezni račun prijatelja z geslom in res, prijava je bila uspešna. Zdi se, da je bil način razkritja gesla odkrit. Torej, zdaj je vprašanje, kako so hekerji vdrli v več spletnih strani prijateljev? Šokantna podzemna baza podatkov Trenutno je čas, da žrtvujemo še eno orodje (www.reg007.com), saj ima veliko ljudi navado, da uporablja isti e-poštni naslov za registracijo veliko podjetij, in preko te spletne strani lahko poiščete, katera spletna stran je registrirana z določenim e-poštnim naslovom. Ko sem prvič videl to spletno stran, smo bili moji prijatelji in jaz presenečeni, v naslednjem primeru je bilo pri poizvedbi določenega e-naslova skupaj 21 registriranih spletnih strani:
Pravzaprav ima veliko prijateljev takšno navado, da za lažji spomin registrirajo vse spletne račune z istim računom in geslom, ne glede na to, ali gre za majhen forum ali nakupovalni center, ki vključuje nepremičnine, kot sta JD.com in Tmall. Ta praksa je zelo nevarna, in če katera od strani propade, bodo vsi računi ogroženi.Še posebej po razkritju baze podatkov CSDN leta 2011 je vedno več spletnih strani razkrilo podatkovne baze, ki jih je mogoče po želji najti na spletnih straneh. Lahko razmislite o tem, ko je geslo za vaš račun enako, lahko z zgornjimi koraki enostavno veste, na kateri univerzi ste bili (Xuexin.com), kakšno delo ste opravili (Future Worry-free, Zhilian), kaj ste kupili (JD.com, Taobao), koga poznate (oblačni imenik) in kaj ste povedali (QQ, WeChat)
Spodnja slika prikazuje nekatere podatke iz baze podatkov o socialnem delu, ki so si jih izmenjevale nekatere podzemne spletne strani
Zgoraj povedano ni alarmistično, saj je preveč spletnih strani, ki lahko v resnici "polnijo poverilnice", prav tako pa je veliko primerov obsežnega "pranja bank", "podmetavanja poverilnic" in "ropanja bank" v črnih industrijah. Tukaj je razlaga teh izrazov: po pridobitvi velike količine uporabniških podatkov z »vlečenjem knjižnice« hekerji monetizirajo dragocene uporabniške podatke na vrsto tehničnih načinov in črno industrijsko verigo, ki se običajno imenuje »pranje podatkov«, nazadnje pa heker poskuša vstopiti na druge spletne strani z podatki, pridobljenimi s strani hekerja, kar imenujemo »punjenje poverilnic«, saj mnogi uporabniki radi uporabljajo enotno geslo za uporabniško ime, »polnilo poverilnic« pa je pogosto zelo nagrajujoče. Z iskanjem na platformi za prijavo ranljivosti "Dark Cloud" je razvidno, da ima veliko spletnih strani ranljivosti za vdihovanje poverilnic, hkrati pa sta se ofenzivna in obrambna stran večkrat branila, metoda napada "vdihovanje poverilnic" pa je bila vedno še posebej priljubljena v krogu črne industrije zaradi svojih značilnosti, kot so "preprost", "grob" in "učinkovit". Avtor je med projektom nekoč naletel na množično vstavljanje poverilnic v znanem poštnem nabiralniku na Kitajskem, spodaj pa so nekateri odlomki iz izmenjanih elektronskih sporočil v tistem času:
Analiza anomalij Od približno 10. ure zjutraj do konca okoli 21:10 zvečer je očitno nenormalna prijava, ki je v bistvu označena kot vdor. Hekerji uporabljajo programe za samodejno prijavo, da v kratkem času sprožijo veliko število prijavnih zahtevkov z istega IP-ja, s sočasnimi zahtevami in visoko frekvenco zahtev, do več kot 600 prijavnih zahtevkov na minuto. V današnjem dnevu je bilo skupno 225.000 uspešnih in 43.000 neuspešnih prijav, kar vključuje približno 130.000 računov (2 prijavi na račun); Heker se je prijavil iz osnovne različice WAP, po uspešni prijavi preklopil na standardno različico in izklopil obvestilo o prijavi v standardni različici, s čimer je sprožil SMS opomnik s spremembami mobilne telefonske številke, vezane na račun. Analiza dnevnika ni pokazala, da po spremembi obvestila o prijavi s strani hekerja niso našli nobenega drugega vedenja, heker pa po prijavi ni poslal nobenega e-poštnega sporočila. Predhodni rezultati analize so naslednji:
1. Heker uporablja standardno metodo avtentikacije uporabniškega imena in gesla za prijavo, pri čemer je uspešnost avtentikacije zelo visoka. Po poizvedbah v dnevnikih zadnjih nekaj dni ti uporabniki niso našli nobenih poskusov prijave. To pomeni, da se uporabniško geslo pridobi na druge načine, ne z grobo silo razbijanja gesla e-poštnega sistema; 2. Mesto registracije uporabnikov, ukradenih s strani hekerjev, je po vsej državi, brez očitnih značilnosti in ni očitnih značilnosti časa registracije; 3. Nekatera uporabniška imena in gesla, prestrežena z zajemom paketov, kažejo, da so gesla različnih uporabnikov različna, da ni podobnosti in niso preprosta gesla; Izbral sem nekaj uporabniških gesel in poskušal prijaviti v 163 poštni nabiralnik, Dianping in druge spletne strani, a ugotovil, da je prijava uspešna; 4. Obstaja veliko virov IP naslovov za prijavo hekerjev, vključno z mesti Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan in drugimi mesti. Ko blokiramo nenavaden prijavni IP, lahko hekerji hitro spremenijo prijavni IP, zaradi česar naše blokiranje hitro postane neučinkovito. Lahko sledimo le hekerjem, in glede na frekvenčne značilnosti bomo blokado uvedli šele, ko dosežemo določeno številko.5. Prejšnji status aktivnosti uporabnika ne bo ujezen do jutri. Glede na trenutno situacijo pa je moja osebna predhodna domneva, da bi morali biti aktivni in neaktivni uporabniki, večina pa bi morala biti neaktivnih.
Iz zgornje analize je v bistvu razvidno, da hekerji že imajo uporabniška imena in gesla teh uporabnikov pri roki, in večina jih je pravilna. Gesla so lahko posledica razkritja različnih informacij o geslih v omrežju prej. Varnostni nasveti Na koncu avtor vpraša, ali želite, da je vaše geslo v rokah nekoga drugega ali pa obstaja v podatkovni bazi nekoga drugega? Da bi zaščitili gesla vseh, avtor tukaj ponuja nekaj predlogov za gesla, 1. Redno spreminjajte geslo; 2. Geslo za račun pomembnih spletnih strani in geslo za manj pomembne spletne strani, kot so Tmall, JD.com itd., je najbolje, da geslo računa različno; 3. Geslo ima določeno kompleksnost, na primer več kot 8 števk, vključno z velikimi in malimi črkami ter posebnimi simboli; za lažje shranjevanje lahko uporabite posebno kriptografsko programsko opremo za upravljanje svojega gesla, najbolj znana je keepass;Upam, da bodo z zgornjo vsebino vsakdo bolje razumel varnost gesel, da bi bolje zaščitili svojo osebno zasebnost in varnost lastnine.
|
Objavljeno na 30. 12. 2014 14:05:37
|
|
|
|
