12月25日��,當(dāng)人們還沉浸在圣誕的喜悅中無法自拔的時(shí)候����,烏云漏洞平臺(tái)率先爆出大量12306用戶數(shù)據(jù)泄露���,有公安部門介入調(diào)查���,已知公開泄露的數(shù)據(jù)庫及用戶數(shù)已經(jīng)超過了13萬條。隨后12306通過微信等多個(gè)渠道表示��,“泄露信息全部含有用戶明文密碼�����。我網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼�����,網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出��?���!?/span>
然而數(shù)據(jù)泄露誰之過�����?隨著12306的官方聲明“事不關(guān)己”和攜程發(fā)表的聲明“與我無關(guān)”����,那么數(shù)據(jù)怎么泄露的����?12306的安全機(jī)制在哪里��?
還原真相:
當(dāng)此事發(fā)生后��,記者第一時(shí)間連線烏云平臺(tái)的相關(guān)負(fù)責(zé)人�,據(jù)悉����,本次漏洞爆出實(shí)屬偶然����。一名白帽子在自己的圈子里突然發(fā)現(xiàn)了大量數(shù)據(jù)�����,隨后通過驗(yàn)證均無一例外均可登錄,因此才給了整個(gè)安全屆這昂貴的“圣誕禮物”。
此次事件造成恐慌的原因在51CTO記者看來,有一個(gè)非常關(guān)鍵的地方:明文的數(shù)據(jù)庫���,這其實(shí)意味著�����,所泄露的數(shù)據(jù)庫沒有做審計(jì)和數(shù)據(jù)庫隔離����,并且沒有做數(shù)據(jù)庫關(guān)鍵字段的加密���,因此導(dǎo)致泄露的所有信息都是明文的,這非?��?膳隆?/span>
事實(shí)上����,今天被曝出的12306數(shù)據(jù)庫�����,能夠看到明文的有13萬條左右,大概14M左右�。以下為51CTO記者頗費(fèi)周折得到的數(shù)據(jù)信息�,圖片經(jīng)過處理�����,如下:
明文數(shù)據(jù)庫
51cto獨(dú)家:深度解析12306數(shù)據(jù)泄露之謎
部分泄露的數(shù)據(jù)
據(jù)知道創(chuàng)宇公司的“Evi1m0”說:在三個(gè)小時(shí)內(nèi)�,已經(jīng)“傳”出各種有關(guān)數(shù)據(jù)庫大小的版本:14M、18G�����、20G����、37G?!?/span>Evi1m0”說,其實(shí)明眼人還是很多的����,當(dāng)然你說個(gè)138G讓“大V”推推,也是能成為傳露:目前還無法確認(rèn)此次事件是從12306官網(wǎng)直接泄露的�,但是通過一些白帽子的集體調(diào)查結(jié)果顯示似乎更像是通過撞庫得到的數(shù)據(jù),但是被人惡意提取并整理了該平臺(tái)上的用戶身份等信息�。
但是這下午三點(diǎn),已經(jīng)正式確認(rèn)12306用戶數(shù)據(jù)泄露是由撞庫(利用現(xiàn)有互聯(lián)網(wǎng)泄露數(shù)據(jù)庫����,進(jìn)行密碼碰撞)導(dǎo)致,并非12306以及第三方搶票泄露�����。也更加證實(shí)了白帽子們的調(diào)查結(jié)果
其實(shí)這類事情�,每天都在發(fā)生�����。那么我們脆弱的密碼和安全保護(hù)意識(shí)真的無能為力么�?
避免“脫褲”的方法
OWASP中國北京主負(fù)責(zé)人子明告訴記者�,其實(shí)是有辦法改變這種“脫褲”悲劇的。他介紹說:現(xiàn)在我們都是將個(gè)人信息和密碼等重要敏感數(shù)據(jù)放在服務(wù)器里���,無論怎么加密���,如何處理,只要黑客能夠成功提權(quán)�,如提取數(shù)據(jù)庫權(quán)限,就非常容易泄露敏感信息�,這是很無奈的事情,但換個(gè)思路�,如果把密碼和敏感數(shù)據(jù)放在自己手里,要拿到破解就非常難���,因?yàn)槟愕拿艽a和敏感數(shù)據(jù)硬件化了��,與你自己的終端設(shè)備綁定��,動(dòng)態(tài)的二維碼認(rèn)證加密��,就避免了數(shù)據(jù)集中的情況��,這顯然是一條未來可能會(huì)受到業(yè)界關(guān)注和認(rèn)可的方案����,而且現(xiàn)在國內(nèi)已經(jīng)有公司這樣做了����。
蕓蕓眾聲:
另外,也有對(duì)此事持不同意見的網(wǎng)友��,ID為“shotgun”的網(wǎng)友在知乎上表示:我之所以說目前這個(gè)流出來的庫沒太大價(jià)值��,是因?yàn)樗性u(píng)價(jià)社工庫質(zhì)量和數(shù)量的都是基于去重(去掉重復(fù)的數(shù)據(jù))后的�����,現(xiàn)在這個(gè)庫既然是撞庫出來的(用現(xiàn)有的庫里的賬號(hào)密碼去嘗試新的網(wǎng)站)��,那就等于只是驗(yàn)證了有十三萬人在某些網(wǎng)站和12306上使用了相同的密碼而已��。
51CTO.com記者發(fā)現(xiàn)���,ID為“李?����!钡木W(wǎng)友對(duì)于這次12306泄露用戶賬號(hào)信息分析了三種原因:
◆悲觀論:由于12306有21個(gè)分站www.12306.cn-子域名查詢--查詢啦�����,可能是某個(gè)分站存在SQL注入或者Getshell漏洞���,導(dǎo)致黑客直接脫褲����,但是這樣脫褲下來的用戶密碼應(yīng)該是加密的���,黑客可能是通過MD5逆向查找還原得到密碼��。烏云也有這樣的先例���,比如12306分站命令執(zhí)行(可getshell)
◆無良論:某些“無良”廠家的搶票軟件存在問題。比如��,把本應(yīng)該只是用戶本地存儲(chǔ)的12306登陸賬號(hào)信息��,發(fā)送到自己啊服務(wù)器,而自家服務(wù)器安全性能過低�����,黑客端了“無良”廠家的服務(wù)器進(jìn)而獲得了所有存儲(chǔ)著的12306賬號(hào)信息�����。
◆偶然論:純粹的利用之前泄露的大量用戶名���、密碼進(jìn)行撞庫。這個(gè)前提是找到了12306不需要驗(yàn)證碼驗(yàn)證用戶賬號(hào)的接口�����。
該網(wǎng)友認(rèn)為第二種可能性更大�,危害性也更廣,因?yàn)橐且驗(yàn)榈谝环N原因造成的賬號(hào)泄露��,那么只要你的密碼足夠復(fù)雜而且沒有泄露過�,那么黑客最多只能得到你密碼加密后的密文,無法找到密碼明文是什么���。此外����,該網(wǎng)友表示沒用過搶票軟件,他的12306賬號(hào)密碼是獨(dú)立的(不同于他在其他網(wǎng)站使用的密碼)����,也沒有泄露過,所以我就不改密碼了��。
本文轉(zhuǎn)載����,不代表本網(wǎng)站立場。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫�,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情��;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營許可證編號(hào):京B2-20210330