• 全国 [切换]
  • 二维码
    晒展网

    手机WAP版

    手机也能找商机,信息同步6大终端平台!

    微信小程序

    微信公众号

    当前位置: 首页 » 行业新闻 » 营销分享 » 正文

    黑云白帽眼中不为人知的“12306事件”

    放大字体  缩小字体 发布日期:2011-07-15 00:26:06  作者:卢松松   浏览次数:808337  IP:119.122.80.***  评论:0
    导读

    前些天黑云的一个漏洞报告:大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知) 引起关注,但对一个还未公开细节的漏洞报告做解读其实是很不靠谱的行为。这事儿12306已经知情,黑云也提供了白帽子发现的证据

    前些天黑云的一个漏洞报告:大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知) 引起关注,但对一个还未公开细节的漏洞报告做解读其实是很不靠谱的行为。这事儿12306已经知情,黑云也提供了白帽子发现的证据,所以到底是什么情况一起等官方最终的回复即可,其中不要胡乱预测以至误导。既然这个漏洞还未公开并且官方处理调查中,今天就不聊它,聊一下这两天流传较多的13w帐号敏感数据。

    这个数据一经传开,马上导致各种机构与媒体跟进,飞快推出“靠谱”分析,或号称比靠谱更“靠谱”的消息……在各家急着发出声响的时分,黑云的白帽子却还默默无闻的寻觅线索,最大化了解影响的范围,一起看下收获:

    首先,这份13w数据最原始的文件名应当是酱的:

    啥还有售后群?难不成还提供更新与不满意退货服务?但不管怎样,这群号是个特别关键的线索,于是我们的白帽子伪装成买家,在群里还真联系上了一位卖家(数量过于庞大,无法验证真伪,所以模糊处理了)

    此人直接扔来7条数据,而且格式与互联网上传播的13w一致,但只有一条与那13w数据中的重合其他的都未能查到,好像13w数据的完整性证明布满了疑点

    嗯,嘴很严(最有价值的黑客获取方式套取失利,所以不能随意下结论)

    白帽子想了个好方法,不如取要一些与自己同姓用户的数据,在看看重合率与真实性

    结果这些数据在13w数据中一条也没查到(并且经过测试的确可以登录12306)这特么毕竟还有多少我们不明白的数据被售卖着?黑云君知情后尿了一下午。。。遗憾的是,这个工夫点恰好赶上外界媒体的报道。该卖家好像嗅到了危险突然下线消失,再也不见了,不见了(今天发现QQ资料也清空了,感谢媒体!感谢XXTV!!)

    最终,黑云君将白帽子提供的这些13w数据外的用户敏感数据再次提供应12306(因为这关键的差异数据,恰巧可能会帮助官方定位日志中的关键线索,哪些人第一次得到手,又有哪些人可能买了!)

    同时黑云君也希望没在那13w数据中的用户,也尽量定期修改密码。到底有多少我们的密码被泄漏与交易,这个没人能说的清晰。

    怕各位说黑云君自己演了一出戏,所以留下这些用户登录帐号的HASH防止无意义的扯蛋,感爱好的黄姓朋友可以MD5下自己登录帐号,万一在这些证明数据里呢。

    52756d1668dd14c1e33a63621477c584

    0f8d1248c84d20aad702128ae971b276

    a3e6e52a651199a9c6b711bd3a144928

    51db1240829c66ee23ad55b9a5fec1d1

    becd24f6163450e4cc701287f0b2a70c

    4076fb754d18fadba7110ab4f2263a97

    e9608120662cfaf91fd25c046439cf3d => 这条是对比13W唯一重复的登录名

    6425d54303515197442050bf0437d47e

    0f7e29afa557dc52521d1aa5c218a165

    77238d3221eaeae50fb1d8ec29ad253c

    f24095592060f77f833a045308106bd6

    68f7b000cbf818b0043a72e22eee4215

    d1755335f4197cd587102d6323b184b7

    65c946fe68b6c2e7aa43c0ece1343a2f

    04e55fb5a707d157c59c84f699daf007

    cefa8782f7d544c8f3b0c112d1898454

    cb218a652e29ee22ad64ddbc85071709

    b4b2fe87df032d1e7d3861a96e0aa783

    9dd044cd6e38d31670bcf321fa3b4ad5

    211bc27264346a7c2c3edd68a19829d5

    9ceab1e1bda8334bd33eaf60965d831d

    c908b6680c56fec6749aa08070d2de8a

    关于这13w数据,很多机构组织都在说是撞库,信息来自哪里没说清晰很含糊。不过黑云社区有白帽子给出了自己的一些分析,仅供参考吧(这些已经泄漏并流传多年的数据功不可没啊)

    13w的数据民间分析就到此为止,相信官方可以通过日志等信息查出事件的原由,并且给用户一个满意的答案。

    这次事件我们看到了官方的积极响应,看到了用户的警惕,也看到了黑产对12306帐号数据的垂涎与把握程度。如果大家能在平时对自己的帐号安全多付出一些(常改密码,放弃现有密码,因为漏的差不多都可能被人把握了),企业监控再给力一些(如果是撞库,这么多数据不能静悄悄的撞完吧,总有点动静),就不会发生这次的事情。安全不能总靠救火,还要靠平时的积累。

    最后,黑云君在给大家八一八大家所关怀的其他信息点吧,分别是:

    1)12306官方安全意识

    对于12306官方的安全意识如何,大家从黑云历史报告自行体会 厂商信息_中国铁道科学研究院漏洞列表其实这次12306响应与手段都很及时,据微博用户反馈说很多泄漏的帐号飞快被锁定了。但无论因谁的责任,这波数据明显是针对12306购票平台的。希望官方调查最后即使不便公开受影响用户量,也至少能给触及用户一个提醒或强制的密码变更,他们才是最大的受害者需要保护。最后,如果官方确实存在一个可以撞库的帐号接口漏洞,也希望告知是否发现并且进行了处理,别还可以连续撞库盗窃用户数据。

    这里有个槽要吐:在得知泄密后,黑云君第一想法也是改密码,然后删掉帐号内保存的亲友身份证信息,以后需要时在填入。结果发现12306就不!允!许!删!好像证件在帐号内需要一段工夫后才答应删除,就纳闷儿我的数据凭什么不让我删……但能否别明文显示啊(互联网公司做的就很好,敏感信息都有星号保护)

    2)第三方抢票泄密可能性

    就在这次泄密事件之前,黑云君也在想,这些第三方抢票机构会不会在未告知的前提下记录俺们的信息呢?真的是不太敢用啊。

    结果就在前两天,一个漏洞报告好像印证了这个怀疑 UC浏览器功能性插件“抢票帮”设想不当可能导致抢票者名字/身份证等隐私信息泄漏 (漏洞目前得到了修复)。该漏洞没有记录用户明文密码,所以跟本次泄密无关,但的确要给第三方抢票机构敲响警钟了。要不是官方平台限制太多不好抢,没人会抛弃正规渠道偏要选择第三方购票平台,所以既然选择了咱们就要对得起用户的信任!

    3)撞库

    原理不提了,很多媒体进行了解释,再逼逼叨就有点像老和尚念经了。

    撞库攻击在国内外黑产圈都搞的风风火火,一片繁荣热闹之相。每当有企业的数据库被拖,影响的不仅仅是其本身,还间接的威胁到了这些用户在其他企业下服务!所以撞库的影响与责任至今都捋不清,没人承认。如今泄密多样化:帐号、密码、手机、身份证、住址、好友关系等信息皆可泄漏……看微博一些用户对身份信息泄漏已经习惯了,但此类信息是某些安全机制依赖的核心部分,这不是好事儿需要警惕。

    希望互联网企业与多方机构共同努力,对泄密责任方进行追究,令其重视用户信息安全,别在嘴上功夫。并且帐号等泄密事件需要让受害者知情,并且提前做好防范。但是,这可能么?这不可能么??这,可能么……

    本文作者:黑云君;转载自:知乎

    相关阅读

    中国黑客传说:游走在黑暗中的精灵

    中国黑客传说:天生我材(完整版)

    你不明白的黑暗网络世界,好莱坞Y照背后的故事

     
    (文/卢松松 / 非法信息举报 / 删稿)
    打赏
    免责声明
    • 
    本文为昵称为 卢松松 发布的作品,本文仅代表发布者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,发布者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们154208694@qq.com删除,我们积极做(权利人与发布者之间的调停者)中立处理。郑重说明:不 违规举报 视为放弃权利,本站不承担任何责任!
    有个别老鼠屎以营利为目的遇到侵权情况但不联系本站或自己发布违规信息然后直接向本站索取高额赔偿等情况,本站一概以诈骗报警处理,曾经有1例诈骗分子已经绳之以法,本站本着公平公正的原则,若遇 违规举报 我们100%在3个工作日内处理!
    0相关评论
     

    (c)2008-2022 展会信息发布,找展会,请上晒展网All Rights Reserved.