Christmas Horror: 12306 User Data Leak? Klockan 10 på morgonen uppstod en allvarlig säkerhetssårbarhet på en sårbarhetsplattform – databasen med 12306 användare hade komprometterats. För att verifiera att denna information är korrekt genomförde vårt team en utredning av händelsen. Genom några socialarbetarforum på internet har vissa spår av att 12306 dragits har faktiskt hittats, och följande bild är en skärmdump från ett socialt arbete-forum:
Och den har cirkulerat på internet under en viss tid, och den tidigaste kända tiden är den 16 december. Bilden nedan visar allas diskussion om denna tid på ett forum.
Genom vissa kanaler hittade vi slutligen en del av de misstänkta läckta uppgifterna, vilket främst inkluderar12306Registrerad e-post, lösenord, namn, ID-kort, mobiltelefon. Figuren nedan visar en del av de läckta uppgifterna.
Några inloggningsförsök gjordes till det läckta kontot, och det hittades i den tidigare databasen10Alla konton kan loggas in. Det kan ses att det läckta lösenordsvalvet faktiskt är sant.
För närvarande cirkulerar två versioner på internet, nämligen 14M och 18G, som har cirkulerats bland underjordiska svarta tillverkare, och vi misstänker att det finns två möjligheter till lösenordsläckage: den ena är att 12306-webbplatsen har dragits in i databasen, och den andra är att tredjepartsföretaget för att ta biljetter har blivit hackat och databasen har dragits in. Eftersom 12306 är autentiserat med riktigt namn innehåller det mycket viktig information, inklusive ID-kort och mobiltelefonnummer. Gammal artikel ny push: Vem har du lösenord i? För några dagar sedan blev många vänner runt mig stulna, och när de blev stulna var de stulna i omgångar, och många olika webbplatslösenord som registrerade sig själva stals samtidigt.
Hur blir lösenord stulna av hackare? För det första är kontot stulet, den första misstanken är problemet med att datorn blivit träffad av en trojansk häst, hackare kan använda keylogging, nätfiske och andra metoder för att stjäla lösenord genom att implantera trojanska hästar i persondatorer. Därför kontrollerade författaren flera vänners datorer med stulna lösenord runt omkring sig och hittade inga trojanska hästar, och det var uppenbart att deras konton hade blivit stulna via trojanska hästar. Eftersom det inte är ett problem med din egen dator är det troligt att webbplatsen som har registrerats har "dragits av någon för att dras in i databasen", här är en förklaring av dragdatabasen, det så kallade "dragbiblioteket" innebär att webbplatsens användardata stjälas genom SQL-injektion eller andra metoder, och användarnamn och lösenord för denna webbplats erhålls, och många välkända webbplatser har utfärdat "dragbibliotek"-händelser, såsom CSDN, Tianya, Xiaomi, etc., hackare utbyter och centraliserar de neddragna databaserna, och bildar ett så kallat "socialt arbete-bibliotek" efter det andra, Socialtjänstdatabasen lagrar mycket kontolösenordsinformation från den "dragna" webbplatsen, så författaren sökte efter en väns kontoinformation på en socialtjänstdatabas som ofta används av hackare, och mycket riktigt hittade han det läckta kontolösenordet:
När jag ser det här biblioteket tycker jag att alla borde förstå vems socialtjänstdatabas detta är.
Hehe.
Det kan ses på skärmdumpen att vännens lösenord läckte från 51CTO, och lösenordet krypterades med MD5, men det är inte omöjligt att lösa detta lösenord, och det finns många webbplatser på internet som kan söka efter originaltexten i MD5, till exempel genom att söka efter chiffertext på CMD5 och snabbt upptäcka originaltexten i lösenordet:
Efter lyckad dekryptering, logga in på din väns relevanta konto med lösenordet, och mycket riktigt, inloggningen lyckades. Det verkar som att sättet lösenordet läckte ut har hittats. Så nu är frågan, hur hackade hackare sig in på flera vänners webbplatser? Chockerande underjordisk databas Just nu är det dags att offra ett annat verktyg vi har (www.reg007.com), eftersom många har för vana att använda samma e-postadress för att registrera många företag, och via denna webbplats kan du fråga vilken webbplats som har registrerats med en viss e-postadress. Första gången jag såg denna webbplats blev mina vänner och jag chockade, följande är situationen när man frågade efter en viss e-postadress, totalt blev 21 registrerade webbplatser förfrågade:
Faktum är att många vänner också har en sådan vana, det vill säga för att underlätta minnet, registrerar de alla webbplatskonton med samma konto och lösenord, vare sig det är ett litet forum eller ett köpcentrum med fastigheter som JD.com och Tmall. Denna praxis är mycket osäker, och om en av sajterna faller kommer alla konton att vara i fara.Särskilt efter CSDN-databasläckan 2011 har fler och fler webbplatser läckt databaser, och dessa läckta databaser kan hittas på webbplatser när som helst. Du kan tänka på det, när ditt kontolösenord är detsamma, genom ovanstående steg kan du enkelt veta vilket universitet du har gått på (Xuexin.com), vilket arbete du har gjort (Future Worry-free, Zhilian), vad du har köpt (JD.com, Taobao), vem du känner (molnadressbok) och vad du har sagt (QQ, WeChat)
Figuren nedan visar en del av informationen från socialt arbetes databas som utbyts av några underjordiska webbplatser
Det som sägs ovan är inte alarmistiskt, eftersom det finns för många webbplatser som kan "stoppa in legitimationer" i verkligheten, och det finns också många exempel på storskalig "banktvätt", "credential stuffing" och "bankswiping" av svarta industrier. Här är en förklaring av dessa termer: efter att ha fått tag på stora mängder användardata genom att "dra biblioteket", kommer hackare att tjäna pengar på värdefull användardata genom en rad tekniska metoder och den svarta industrikedjan, som vanligtvis kallas "databastvätt", och slutligen försöker hackaren logga in på andra webbplatser med den data som hackaren fått tag på, vilket kallas "credential stuffing", eftersom många användare gillar att använda ett enhetligt användarlösenord, och "credential stuffing" ofta är mycket givande. När man söker på sårbarhetsinlämningsplattformen "Dark Cloud" kan man hitta att många webbplatser har sårbarheter för att fylla in i inloggningsuppgifter, och samtidigt har den offensiva och defensiva sidan upprepade gånger försvarat sig mot varandra, och attackmetoden "credential stuffing" har alltid varit särskilt populär inom den svarta industrin på grund av dess egenskaper som "enkel", "grov" och "effektiv". Författaren stötte en gång på en storskalig incident med att stoppa in legitimationsuppgifter i en välkänd brevlåda i Kina under projektet, och följande är några utdrag från de mejl som utbyttes vid den tiden:
Avvikelseanalys Från ungefär klockan 10 i morse till slutet av cirka 21:10 på kvällen finns en uppenbar onormal inloggning, som i princip bedöms vara hacking. Hackare använder automatiska inloggningsprogram för att initiera ett stort antal inloggningsförfrågningar från samma IP på kort tid, med samtidiga förfrågningar och hög frekvens, upp till mer än 600 inloggningsförfrågningar per minut. Under dagen idag inträffade totalt 225 000 lyckade inloggningar och 43 000 misslyckade inloggningar, vilket involverade cirka 130 000 konton (2 inloggningar per konto); Hackaren loggade in från grundversionen av WAP, bytte till standardversionen efter framgångsrik inloggning och stängde av inloggningsnotisen i standardversionen, vilket utlöste en textmeddelandepåminnelse med ändringar i det mobilnummer som var kopplat till kontot. Enligt logganalysen hittades inget annat beteende efter att hackaren ändrat inloggningsnotisen, och hackaren skickade inga mejl efter inloggningen. De preliminära analysresultaten är följande:
1. Hackaren använder den standardiserade autentiseringsmetoden för användarnamn och lösenord för att logga in, och autentiseringsframgångsgraden är mycket hög. När jag sökte igenom loggarna från de senaste dagarna hittades inga inloggningsförsök av dessa användare. Det vill säga, användarlösenordet erhålls på andra sätt, inte genom brute force-knäckning av e-postsystemets lösenord; 2. Registreringsplatsen för användare som stulits av hackare är över hela landet, utan tydliga kännetecken, och det finns inga uppenbara registreringstider; 3. Vissa användarnamn och lösenord som fångas upp genom att fånga paket visar att lösenorden för olika användare är olika, det finns ingen likhet och att de inte är enkla lösenord; Jag valde några användarlösenord och försökte logga in på 163 mailbox, Dianping och andra webbplatser, och upptäckte att inloggningen lyckades; 4. Det finns många källor till hackares inloggnings-IP-adresser, inklusive Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan och andra städer. Efter att vi blockerat den onormala inloggnings-IP:n kan hackare snabbt ändra inloggnings-IP:n, vilket gör att vår blockering snabbt blir ineffektiv. Vi kan bara följa hackarna, och enligt frekvensegenskaperna kommer vi bara att implementera blockering efter att ha nått ett visst antal.5. Användarens tidigare aktivitetsstatus kommer inte att matchas förrän imorgon. Men utifrån den nuvarande situationen är min personliga preliminära gissning att det borde finnas aktiva och inaktiva användare, och de flesta borde vara inaktiva användare.
Av ovanstående analys kan man i princip se att hackare redan har användarnas användarnamn och lösenord till hands, och de flesta av dem har rätt. Lösenord kan orsakas av att olika nätverkslösenordsinformation läckt tidigare. Säkerhetsråd Slutligen frågar författaren: vill du att ditt lösenord ska hamna i någon annans händer, eller finns det i någon annans databas? För att skydda allas lösenord ger författaren här dig några lösenordsförslag, 1. Byt regelbundet lösenord; 2. Kontolösenordet för viktiga webbplatser och kontolösenordet för icke-viktiga webbplatser måste separeras, såsom Tmall, JD.com, etc., det är bäst att göra kontolösenordet annorlunda; 3. Lösenordet har en viss komplexitet, till exempel mer än 8 siffror, inklusive versaler och små bokstäver samt speciella symboler, för att underlätta minnet kan du använda särskild kryptografisk programvara för att hantera ditt eget lösenord, det mest kända är keepass;Jag hoppas att alla genom ovanstående innehåll kan få en bättre förståelse för lösenordssäkerhet, för att bättre skydda sin personliga integritet och egendomssäkerhet.
|
Publicerad på 2014-12-30 14:05:37
|
|
|
|
