12306警示录:你的密码在谁的手里?
圣诞惊魂:12306用户数据泄漏?
早上10点,某漏洞平台上出现了一个严重的安全漏洞信息—12306用户数据库遭到泄露。为了验证该信息的准确性,我们团队对事件进行了一次调查。
通过互联网上的一些社工论坛,确实发现了12306被拖库的一些踪迹,下图为某社工论坛上的截图:
而且已经在网上有了一定的流传时间,目前已知最早的时间为12月16日。下图为某论坛上大家对该时间的讨论。
通过一些途径,我们终于到找了一部分疑似泄露出来的数据,数据主要包括了12306的注册邮箱、密码、姓名、身份证、手机。下图为泄露出来的部分数据。
对泄露出来的账号进行了一些登录尝试,发现前面库中10个账号全部能够登录。可见流出的密码库确实为真。
目前网络上流传有两个版本,分别是14M,18G,已经在地下黑产商中流传,我们怀疑密码泄露最大的可能性有两种,一个是12306的网站被拖库,另外一个是第三方抢票软件的公司被入侵导致数据库被拖。
由于12306上是进行实名认证的,且里面包含了大量的重要信息,包括身份证,手机号码。
老文新推:你的密码在谁的手里?
前几天,身边的很多朋友出现了密码被盗的现象,而且盗走的时候都是批量地被盗走,自己注册的很多个不同的网站密码同时被盗,有感于普通人对密码的意识比较淡薄,所以本篇文章将会剖析一下黑客盗号常用的手段以及普通人保护自己密码安全所能做的安全措施。
密码是怎样被黑客盗取的?
首先,账号被盗取,第一个怀疑的就是电脑被中木马的问题,黑客通过在个人电脑中植入木马,可以利用键盘记录,钓鱼等方式来实现对密码的盗取。于是,作者检查了身边几个被盗密码朋友的电脑,并没有发现任何木马,很明显通过木马的方式盗取他们账号的可能性不大。
既然不是自己的电脑有问题,那么很可能就是曾经注册过的网站被人“拖库”,这里解释下拖库,所谓“拖库”就是网站的用户数据被人用SQL注入或者其它手段盗取,得到了这个网站的用户名、密码信息,很多知名网站都发过“拖库”事件,如CSDN、天涯、小米等,黑客间将拖下来的库进行交换、集中,就形成了一个又一个所谓的“社工库”,社工库中存放了很多个被“拖库”网站的帐号密码信息,于是作者在一个黑客比较常用的的社工库网站上搜索朋友的账号信息,果然发现了泄露出的账号密码:
从截图可以看出,朋友的密码是从51CTO泄露出来的,密码进行了MD5加密,不过想要解出这个密码,并非不可能,网上提供了很多可以查询MD5原文的网站,如在CMD5上对密文进行检索,很快发现了密码原文:
解密成功后,用密码去登录朋友的相关账号,果然登录成功。看来密码泄露的途径已经找到。那么,现在问题来了,黑客是如何入侵到朋友的多个网站的呢?
触目惊心的地下数据库
这时,就要祭出我们的又一个工具了(www.reg007.com),因为很多人都有使用同一个邮箱注册很多业务的习惯,而通过这个网站可以查询到某个邮箱注册过什么网站,第一次见过这个网站时,我和我的小伙伴们都惊呆了,下面是查询某个邮箱时的情况,共查询出21个注册过的网站:
其实很多朋友还都有这样一种习惯,就是为了方便记忆,都会把所有网站的账号都用一个相同的账号和密码注册,无论是小论坛,还是像京东,天猫这样涉及财产的商城。这种做法是很不安全的,一旦其中一个网站沦陷,所有的帐号都将危险。特别是随着2011年CSDN数据库泄露事件之后,越来越多网站的数据库出现泄露的事情,而且这些被泄露的数据库都能够在网站上随意找得到。大家可以想一想,在你的账号密码都相同的情况下,通过以上的步骤,就可以轻易地知道你上过什么大学(学信网)、做的什么工作(前程无忧、智联)、买了什么东西(京东、淘宝)、认识什么人(云通讯录)、说过什么话(QQ、微信)
下图是一些地下网站交换的部分社工库信息
上面所说,并非危言耸听,因为现实中存在太多可以“撞库”的网站,也存在很多黑产大规模“洗库”、“撞库”、“刷库”的例子。这里解释下这几个名词,在通过“拖库”取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常被称作“洗库”,最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”往往收获颇丰。
在漏洞提交平台“乌云”上进行搜索,可以发现很多网站都存在撞库漏洞,同时,攻防双方此消彼长,屡防不绝,“撞库”这种攻击手法在黑产圈也一直因“简单”、“粗暴”、“有效”等特点而特别流行。
作者在项目中就曾经遇到国内某知名邮箱的大规模撞库事件,以下是当时往来邮件的部份节选:
异常分析
从今天上午约10点钟开始,一直持续到晚上约21:10分结束,有明显的异常登陆情况,基本可确定是黑客行为。黑客使用自动登陆程序,从同一IP短时间内发起大量登陆请求,请求并发及请求频率很高,最高每分钟超过六百次登陆请求。今天全天,类似的异常登陆,共成功登陆22.5万次,失败登陆4.3万次,涉及到的账号约为13万(每个账号登陆2次);
黑客从wap基础版登陆,登陆成功后再切换至标准版,并在标准版关闭登陆通知,从而触发了一条设置修改的短信提醒给到账号绑定的手机号。从日志分析,暂未发现黑客修改登陆通知后还有其他行为,黑客登陆后未发送任何邮件。
初步分析结果如下:
1、 黑客采用标准的用户名-密码认证方式登陆,认证成功率很高,账号登陆为一次即成功,未成功用户也未实施更多的尝试登陆。查询最近几天日志,未发现这些用户有尝试登陆记录。也就是用户密码为其他途径获得,并非暴力破解邮箱系统密码获得;
2、 黑客盗用的用户注册地全国均有,无明显特征,注册时间无明显特征;
3、 通过抓包截取到的部分用户名和密码,可以看出不同用户的密码均不相同,无任何相似之处,且并非简单密码;挑选了几个用户密码,尝试登陆163邮箱、大众点评网等网站,发现登陆成功;
4、黑客登陆IP地址来源非常多,来源城市有陕西西安市、陕西安康市、安徽合肥市、安徽黄山市、安徽淮南市等城市;在我们封堵异常登陆IP后,黑客可快速更换登陆IP,导致我们的封堵迅速无效。我们只能跟在黑客后面,根据频次特征,在达到一定数量后,才实施封堵。
5、用户此前的活跃度状况如何,需要明天才能匹配得出。但从现状来看,我个人初步猜测,应该是活跃非活跃的用户都有,而且应该是非活跃用户居多。
从以上分析,基本可以看出,黑客手头已经有了这批用户的用户名及密码信息,且绝大多数是正确的。密码可能是之前各种网络密码信息泄露导致。
安全建议
最后,作者问一句,大家是希望自己的密码是在别人手里呢,还是存在别人的数据库里面?
为了保护大家的密码,作者在这里给大家一些密码的建议,
1、定期修改自己的密码;
2、重要网站的账号密码和非重要网站的账号密码一定要分开,如天猫、京东等涉及金钱的,最好做到账号密码都不一样;
3、密码具备一定的复杂度,如超过8位,包含大小写及特殊符号,为了方便记忆,可使用专门的密码软件管理自己的密码,比较著名的有keepass;
希望通过以上的内容,能够让大家对密码安全有一个更好的认识,从而更好地保护自己的个人隐私和财产安全。