Noel Korkusu: 12306 Kullanıcı Veri Sızıntısı mı? Saat 10'da, bir güvenlik açığı platformunda ciddi bir güvenlik açığı ortaya çıktı - 12306 kullanıcılarının veritabanı tehlikesizdi. Bu bilgilerin doğruluğunu doğrulamak için ekibimiz olayla ilgili bir soruşturma yürüttü. İnternetteki bazı sosyal hizmet forumları aracılığıyla 12306'nın sürüklendiğine dair bazı izler gerçekten bulundu ve aşağıdaki fotoğraf bir sosyal hizmet forumunda ekran görüntüsüdür:
Ve bu zaman belli bir süredir internette dolaşıyor ve bilinen en erken zaman 16 Aralık'tır. Aşağıdaki fotoğraf, herkesin bu dönemi bir forumda tartışmasını gösteriyor.
Bazı kanallar aracılığıyla nihayet şüpheli sızdırılmış bazı verileri bulduk; bunlar arasında esas olarak12306Kayıtlı e-posta, şifre, isim, kimlik kartı, cep telefonu. Aşağıdaki şekil, sızdırılan bazı verileri gösteriyor.
Sızdırılan hesaba bazı giriş girişimleri yapıldı ve önceki veritabanında bulundu10Tüm hesaplar giriş yapılabilir. Sızdırılan şifre kasasının gerçekten doğru olduğu görülebiliyor.
Şu anda internette 14M ve 18G olmak üzere yeraltı siyah üreticiler arasında dolaşımda olan iki versiyon var ve şifre sızıntısı için iki olasılık olduğunu düşünüyoruz; biri 12306 web sitesinin veritabanına sürüklenmiş olması, diğeri ise üçüncü taraf bilet kapma yazılım şirketinin hacklendiği ve veritabanının sürüklenmiş olması. 12306 gerçek isimle doğrulandığı için, kimlik kartları ve cep telefonu numaraları dahil olmak üzere birçok önemli bilgi içerir. Eski makale yeni itek: Şifreniz kimde? Birkaç gün önce, çevremdeki birçok arkadaşımın şifreleri çalındı, çalındığında ise partiler halinde, ayrıca kendi başlarına kaydedilen birçok farklı web sitesi şifresi aynı anda çalındı.
Şifreler hackerlar tarafından nasıl çalınır? Öncelikle, hesap çalınıyor, ilk şüphe bilgisayarın bir Truva atı tarafından vurulmasıdır; hackerlar anahtar loglama, oltalama ve diğer yöntemler kullanarak kişisel bilgisayarlara Truva atları yerleştirerek şifreleri çalabilirler. Bu nedenle, yazar etrafında çalınan şifreleri olan birkaç arkadaşının bilgisayarlarını kontrol etti ve herhangi bir Truva atı bulamadı; hesaplarının Truva atları aracılığıyla çalındığı açıkça görüldü. Kendi bilgisayarınızda sorun olmadığı için, kayıtlı web sitesinin "birisi tarafından veritabanına sürüklenmek üzere sürüklendiği" muhtemeldir, işte sürükleme veritabanının açıklaması, sözde "sürükleme kütüphanesi" olarak adlandırılan bu sitenin kullanıcı verilerinin SQL enjeksiyonu veya başka yollarla çalınmasıdır ve bu sitenin kullanıcı adı ile şifre bilgileri elde edilir; CSDN, Tianya, Xiaomi gibi birçok tanınmış web sitesi "sürükle kütüphane" etkinlikleri yayınlamıştır; hackerlar sürüklenen veritabanlarını takas edip merkezileştirerek ardına "sosyal hizmet kütüphanesi" oluştururlar, Sosyal hizmet veritabanı, "sürüklenen" siteden birçok hesap şifre bilgisini saklar, bu yüzden yazar, hackerların sıkça kullandığı bir sosyal hizmet veritabanı sitesinde bir arkadaşının hesap bilgilerini aradı ve gerçekten de sızdırılan hesap şifresini buldu:
Bu kütüphaneyi görünce, herkesin bu sosyal hizmet veritabanının kime ait olduğunu anlaması gerektiğini düşünüyorum.
Hehe.
Ekran görüntüsünden arkadaşın şifresinin 51CTO'dan sızdırıldığı ve şifrenin MD5 ile şifrelendiği görülebilir, ancak bu şifreyi çözmek imkansız değildir ve İnternet'te MD5'in orijinal metnini sorgulayabilen birçok web sitesi vardır; örneğin CMD5'te şifreli metin aramak ve şifrenin orijinal metnini hızlıca bulmak gibi:
Başarılı şifre çözdükten sonra, şifreyle arkadaşınızın ilgili hesabına giriş yapın ve gerçekten de giriş başarılı oldu. Şifrenin sızdırma şekli bulunmuş gibi görünüyor. Peki şimdi soru şu: Hackerlar arkadaşlarının birden fazla web sitesine nasıl sızdılar? Şok edici yeraltı veritabanı Şu anda, başka bir aracımızı (www.reg007.com) feda etme zamanı geldi, çünkü birçok kişi aynı e-posta adresini kullanarak birçok iş kaydetme alışkanlığına sahip ve bu web sitesi üzerinden hangi sitenin belirli bir e-posta ile kayıtlı olduğunu sorgulayabiliyorsunuz, bu siteyi ilk gördüğümde arkadaşlarım ve ben şaşırdık, aşağıdaki durum belirli bir e-posta sorgularken toplam 21 kayıtlı web sitesi sorgulandı:
Aslında, birçok arkadaşın da böyle bir alışkanlığı vardır; yani hafıza kolaylaştırmak için, küçük bir forum ya da JD.com ve Tmall gibi mülklerin olduğu bir alışveriş merkezi olsun, tüm web sitesi hesaplarını aynı hesap ve şifreyle kaydederler. Bu uygulama çok güvensiz ve sitelerden biri düşerse tüm hesaplar risk altında olacak.Özellikle 2011'deki CSDN veritabanı sızıntısından sonra, giderek daha fazla web sitesi veri tabanlarını sızdırdı ve bu sızdırılmış veritabanları web sitelerinde istediğiniz zaman bulunabilir. Hesap şifreniz aynı olduğunda, yukarıdaki adımlarla hangi üniversiteye gittiğinizi (Xuexin.com), hangi işleri yaptığınızı (Future Worry-free, Zhilian), neler satın aldığınızı (JD.com, Taobao), kimi tanıdığınızı (bulut adres defteri) ve ne söylediğinizi (QQ, WeChat) kolayca bilebilirsiniz
Aşağıdaki şekil, bazı yeraltı web siteleri tarafından paylaşılan bazı sosyal hizmet veri tabanı bilgilerini göstermektedir
Yukarıda söylenenler alarmist değil, çünkü gerçekte kimlik bilgilerini "doldurabilen" çok fazla web sitesi var ve ayrıca siyah endüstrilerde büyük ölçekli "banka aklama", "kimlik belgesi doldurma" ve "banka çalma" örnekleri de var. İşte bu terimlerin açıklaması, "kütüphaneyi sürükleme" yoluyla büyük miktarda kullanıcı verisi elde ettikten sonra, hackerlar değerli kullanıcı verilerini bir dizi teknik yöntem ve genellikle "veritabanı yıkama" olarak adlandırılan kara sanayi zinciriyle para kazanır ve son olarak hacker, hacker tarafından elde edilen verilerle diğer sitelere giriş yapmaya çalışır; buna "credential stuffing" denir, çünkü birçok kullanıcı birleşik kullanıcı adı şifresi kullanmayı sever ve "credential stuffing" genellikle çok ödüllendiricidir. "Dark Cloud" güvenlik zafiye gönderme platformunda arama yapıldığında, birçok web sitesinde kimlik bilgileri doldurma zafiyetleri olduğu görülüyor; aynı zamanda saldırgan ve savunmacı taraflar defalarca birbirlerine karşı savunma yapmış, ayrıca "credential stuffing" saldırı yöntemi siyah endüstri çevresinde "basit", "kaba ve etkili" gibi özellikleri nedeniyle her zaman popüler olmuştur. Yazar, proje sırasında Çin'de tanınmış bir posta kutusunda büyük çaplı bir kimlik belgesi doldurma olayı yaşamıştır ve aşağıda o dönemde paylaşılan e-postalardan bazı alıntılar yer almaktadır:
Anomali analizi Bu sabah saat 10 civarından akşam 21:10 civarına kadar bariz bir anormal giriş var ve bunun temelde hackleme olduğu belirlenmiş. Hackerlar, aynı IP'den kısa sürede çok sayıda giriş isteği başlatmak için otomatik giriş programları kullanır; eşzamanlı istekler ve yüksek istek sıklığıyla, dakikada 600'den fazla giriş talebi bulunur. Bugün gün boyunca, toplam 225.000 başarılı giriş ve 43.000 başarısız giriş gerçekleşti; yaklaşık 130.000 hesap dahil oldu (hesap başına 2 giriş); Hacker, WAP'ın temel sürümünden giriş yaptı, başarılı giriş yaptıktan sonra standart sürüme geçti ve standart sürümdeki giriş bildirimini kapattı; böylece hesaba bağlı cep telefonu numarasında değişiklikler içeren bir mesaj hatırlatıcısı tetiklendi. Günlük analizine göre, hacker giriş bildirimini değiştirdikten sonra başka bir davranış bulunmadı ve hacker giriş yaptıktan sonra e-posta göndermedi. Ön analiz sonuçları aşağıdaki gibidir:
1. Hacker, giriş yapmak için standart kullanıcı adı-şifre doğrulama yöntemini kullanır ve kimlik doğrulama oranı çok yüksektir. Son birkaç günün kayıtlarını sorgulayarak, bu kullanıcılar tarafından herhangi bir giriş girişimi bulunamadı. Yani, kullanıcı şifresi başka yollarla elde edilir; e-posta sisteminin şifresini kaba kuvvetle kırarak değil; 2. Hackerlar tarafından çalınan kullanıcıların kayıt yeri ülke genelindedir, belirgin bir özellik yoktur ve kayıt süresinin belirgin bir özelliği yoktur; 3. Bazı kullanıcı adları ve şifreler, paketlerin ele geçirilmesiyle ele geçirildiğinde, farklı kullanıcıların şifrelerinin farklı olduğunu, benzerlik olmadığını ve basit şifreler olmadığını gösterir; Birkaç kullanıcı şifresi seçtim ve 163 mailbox, Dianping ve diğer web sitelerine giriş yapmaya çalıştım ve girişin başarılı olduğunu gördüm; 4. Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan ve diğer şehirler dahil olmak üzere birçok hacker giriş IP adresi kaynağı vardır. Anormal giriş IP'sini engelledikten sonra, hackerlar giriş IP'sini hızla değiştirebilir ve engellememiz hızla etkisiz hale gelir. Sadece hackerları takip edebiliriz ve frekans özelliklerine göre engellemeyi ancak belirli bir sayıya ulaştıktan sonra uygulayacağız.5. Kullanıcının önceki etkinlik durumu yarına kadar eşleşmeyecek. Ama mevcut duruma bakılırsa, kişisel tahminim aktif ve aktif olmayan kullanıcıların olması gerektiği ve çoğunun aktif olmayan kullanıcılar olması gerektiği.
Yukarıdaki analizden, hackerların zaten bu kullanıcıların kullanıcı adı ve şifre bilgilerine sahip olduğu ve çoğunun doğru olduğu anlaşılıyor. Şifreler, daha önce çeşitli ağ şifre bilgilerinin sızdırılması nedeniyle ortaya çıkabilir. Güvenlik tavsiyesi Son olarak, yazar soruyor: Şifrenizin başkasının elinde olmasını mı istiyorsunuz, yoksa başka birinin veritabanında mı var? Herkesin şifresini korumak için, burada yazar size bazı şifre önerileri veriyor, 1. Şifrenizi düzenli olarak değiştirin; 2. Önemli web sitelerinin hesap şifresi ile Tmall, JD.com gibi önemli olmayan sitelerin hesap şifresi ayrılmalıdır; hesap şifresini farklı yapmak en iyisidir; 3. Şifre belirli bir karmaşıklığa sahiptir; örneğin 8'den fazla rakamdan oluşur; büyük ve küçük harfler ve özel semboller içerir; hafızayı kolaylaştırmak için, kendi şifrenizi yönetmek için özel kriptografik yazılımlar kullanabilirsiniz; daha ünlüsü keepass'tır;Yukarıdaki içerik sayesinde herkesin şifre güvenliğini daha iyi anlamasını ve böylece kişisel gizliliğini ve mülk güvenliğini daha iyi korumasını umuyorum.
|
Yayınlandı 30.12.2014 14:05:37
|
|
|
|
