侵害超以后,从12306帐号泄漏谈用户密码安全

  中新网12月26日电(IT频道张司南)昨日,有网友在乌云平台发布了一篇题为《大量12306用户数据在互联网疯传包括用户账号、明文密码、身份证邮箱等(泄露途径目前未知)》的帖子,称黑客获取了12306用户信息并进行传播、买卖。此帖一经发出,便引起外界的高度关注。

这不是12306网站第一次发生用户信息泄露事件了,但是最大的一次。

****

新闻回顾

12月25日圣诞节,据漏洞反馈平台乌云网显示,大量12306用户数据在互联网疯传。本次泄露的用户数据包括用户帐号、明文密码、身份证、邮箱等。

侵害超以后,从12306帐号泄漏谈用户密码安全。乌云平台关于此漏洞报告

随后,12306官方发表公告,称经过认真核查,此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。

12306官方公告

12月26日,中国铁路官方微博发消息,铁路公安机关将涉嫌窃取并泄露12306网站电子信息的两名犯罪嫌疑人抓获,并指出此次用户信息泄漏事件是犯罪嫌疑人“撞库”来完成信息的窃取。

中国铁路官微发布公告

好了,这个事件到此估计就没什么下文了,因为在中国用户隐私数据泄漏仿佛不是一天两天的了,从你每天能接到几个诈骗、销售电话就能感受到。那么,作为普通用户,怎样最大限度地保护我们的隐私呢?接下来你可以看下面的文字,我试图以简单明了的语言(注:不一定非常专业)解释一下网站如何存储用户密码,以及给大家在今后如何保护自己信息安全方面上一些建议。

  据360方面披露,此次泄露的12306数据主要包括用户账号、明文密码、身份证、邮箱等用户重要信息,数据涉及用户约14万人。有安全团队测试,在近14万信息中随机抽取50条,尝试登陆12306官方网站,均可成功登陆,证明了该批泄露数据的真实性。有媒体报道称,这批用户数据信息的文本已在部分黑客论坛、QQ群分享并供下载。

12306官方网站当日公告称,经认真核查,此泄露信息全部含有用户的明文密码。12306网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

图片 1

网站如何存储我们的信息

当你在一个网站注册成为其用户时,大多网站需要你提供账户名、邮箱、密码等,甚至有些网站还会让你填手机号、身份证号等更为敏感的信息。而如何保存这些信息将成为一个重大的问题,因为任何网站都存在被攻击的风险,一旦数据库被盗将会造成不可弥补的损失。我们下面只讨论网站一般如何来保存密码数据的,这是我们最为关心的。

目前最普遍的做法是——将用户密码加密存储。所谓的加密就是采用一种算法将明文映射为密文,我们称为 hash(哈希),而加密算法有很多种,这里就不详细介绍,只要明白一点,这种加密算法是侵害超以后,从12306帐号泄漏谈用户密码安全。不可逆的,即不存在一种解密算法将密文又一一转化为明文。

在用户注册时,网站对用户填写的密码进行加密,网站数据库中只保存加密之后的密码,而在任何地方都不会保存密码的明文。当用户登录该网站是,填写用户名和密码,网站会将该密码通过同样的加密算法进行转换,与数据库中保存的该用户名对应的加密的密码进行比较,如果相等,表示密码正确。

这里要指出两点:

  1. 密码在经过加密时,不再在任何地方保存明文密码,因为一旦保存了明文密码,就会存在被盗的风险。几年前报道的 CSDN 网站服务器被入侵,600万用户帐号及明文密码泄露,当时被广为吐槽的是 CSDN 竟然保存明文密码。这就是我们在上面新闻中看到12306官方的公告中特别指出的,“我网站数据库所有用户密码均为多次加密的非明文转换码”。当然目前这是一种普遍的做法了,这也是为什么我们登录某个网站忘记密码时,该网站给你发一个重置密码的链接,而不是告诉你原来的密码(因为他们也不知道),当然不排除有些小网站仍然采取明文保存密码的做法。
  2. 正因为加密是不可逆的,即使因为安全原因数据库被盗,黑客有了加密之后的密码,它也不能通过一种解密算法将密文转化为明文。这就加大了我们的密码信息的安全。但是不是拿到这些密文就没有办法破解了呢?非也!

一、背景:

  就此,金山首席安全专家李铁军在接受中新网IT频道采访时表示:“12306官方网站记录的用户数据真实而全面,并且此次用户信息泄露相较以往12306出现的漏洞还要严重。”他进一步解释道,因为一个用户信息泄露,该账户中添加亲人的身份信息会一并被泄露。

12月25日上午10:59,乌云网发布漏洞报告称,大量12306用户数据在网络上疯狂传播。

****
周一早起毁一周。氮素,八君要说今天是周一早起的人儿有片儿看。今早在匿名区看到有网友发来一张这样的图:

网站对密码盐化后加密

如果黑客入侵网站的数据库,拿到加密之后的密码,如何找到明文呢?由于目前加密算法比较经典的就那几种,md5、sha1 等等,而用户在选用自己的密码时,很多使用的是一种“弱密码”,即简单的数字和字母的组合,例如 "iloveyou123"、"123456" 等等, SplashData 公布2013 年最常用的 25 个密码,你就可以看出排名靠前的都是积弱的密码。那么黑客只需要枚举出所有的单词和各种数字等的组合,例如使用 md5 算法进行加密,构造出一张大表(我们称为“彩虹表”),将这张表的加密之后的密文与盗取的数据库中密文进行比较,如果有匹配的,那么就找到了明文,即可用来登录的密码。

解决方法之一就是网站在保存密码时,对密码进行盐化(salted),即在用户的密码之上加上一串特殊字母之后再进行加密,例如加上f#@V)Hu^%Hgfds这样的字符串,那么即使你密码是 "123456",加上之后就成为了 "f#@V)Hu^%Hgfds123456",这无疑就是一个“强密码”了。

解决方法之二就是有些网站在你注册时对你输入的密码进行各种限制,例如至少有数字、字母、特殊字母的组合,甚至有要求至少一个大写字母,就是为了减少能枚举出来的概率,也其实也是一种盐化策略,只不过让用户来做。

但是不是网站对密码进行盐化之后就安全了呢?更多关于 hash 对网站加密可以参看我的一篇文章:Hash 函数及其重要性,更偏向于技术的介绍。

用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。

  360安全专家安杨同时表示:“这些信息在网络被公开分享与下载,或许还会为用户造成更严重的损失。值得注意的是,此番影响是不可逆的。”

而此时,正是春运购票的关键时刻,12306网站每天的访问量都很惊人。

图片 2

什么是“撞库”

而此次12306网站用户信息泄露并不是网站被入侵导入数据库被盗,我们注意到开头的新闻回顾中中国铁路官微中提到一个词“撞库”,这又是什么意思呢?

在黑客术语里面,“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”,360的库带计划,奖励提交漏洞的白帽子,也是因此而得名。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码。

以上解释来源于文章:<撞库攻击:一场需要用户参与的持久战>。

想想你自己,你有自己的 QQ、微博、淘宝、各种BBS、邮箱、网银等等账号,而账号和密码是否都不一样呢?而如果都一样,那么你就有很大风险了!你注册的网站其中的有一个被入侵导致信息泄露,那么用着同样的账号和密码来试图登陆你注册的其它网站,很大可能就登陆成功了,从而盗取你在上面的信息。这次12306事件目前来看就是这样来做的,犯罪嫌疑人利用已经泄漏的用户信息来登录12306,登录成功之后就可以获取用户的手机号、邮箱、身份证号等有价值的隐私数据了。

我个人觉得这是目前危害用户信息安全的最重要的途径之一,往往我们不经意之间注册了一个钓鱼网站或者注册的某个网站数据库被盗,这就危害到我们注册的所有网站的信息安全。

对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露的用户 密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户。

  对此,12306官网发布公告回应称:“经过调查,此次泄露的数据包含用户的明文密码,12306网站所有的用户密码为多次加密的非明文密码,网络泄露的用户信息系其他网站渠道流出。”中新网IT频道致电12306人工客服,对方强调:“用户信息外泄是从第三方网站流出,12306官网并不存在安全漏洞。若用户一直使用12306官方购票而从未使用第三方软件或网站购买,则用户信息不会被泄露。”

乌云网创始人邬迪告诉21世纪经济报道记者,“这是乌云网历史上,第一次如此大规模的铁路用户数据泄露。”

于是,十分恐慌滴打开自己的百度云账号,有没有被盗?(内心OS:求被盗!)

我的建议

好了,说了这么多,其实就谈了两点:一是通过解释网站密码加密算法来告诉你设置复杂的密码,而是通过解释“撞库”这种盗取用户信息的技术手段来告诉你密码不要设置为同一个。其实,我们可以完全在设置密码的时候可以将两者统一了——为每个网站密码设置不同的复杂的密码。也许有些人就会站出来反驳我,你真是站着说话不腰疼,我注册的网站几十个,每个网站设置不同的密码,而且还是那种复杂的密码,我怎么记得住!这也是我之前非常头疼的事,但好在有比较好的解决方法:

  • 利用各种密码管理工具,例如1Password、Lastpass、Keepass 等等,都提供了移动客户端以及浏览器插件,支持动态生成复杂密码以及同步功能,有了这些工具的帮助,妈妈再也不用担心我记不住密码了。
  • 但有些人总觉得工具还是太麻烦,尤其是换个电脑登录就更显得吃力,我可以告诉你一种简单有效的生成不同复杂密码的方法——你想一个基本密码,例如As@520_,再将注册的网站的域名插入到该简单密码中间,可以是任何地方,你记住就可以了,例如我们统一插到最后吧,那么简书的密码就是As@520_jianshu,微博的密码就是As@520_weibo 等等,如果你显得域名太简单了,你可以把域名变得复杂一些,倒置、加1等等,但一定要与该网站对应起来。如此一来,你就有对每个网站有了不同的超复杂的密码了。

这是关于管理设置密码的建议,更多其它建议我想大家都知道,只是执行力的问题了,例如尽量不要用自己的主邮箱、常用密码来注册不健康网站(哪些是不健康你懂的:-))等等。互联网、大数据时代下,用户隐私越来越暴露在大庭广众之下,我想这不仅仅是用户个人注意就能解决的事,更多的是需要从事的企业对用户隐私数据的保护意识、国家相关法律法规的健全,才能让用户少接一次诈骗电话、少泄露一些隐私。

以京东之前的撞库举例,首先京东的数据库并没有泄漏。黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。所以说,防止撞库,是一场需要用户一同参与的持久战。

  至于信息泄露原因,有分析指出,有可能是黑客直接攻击网站、散播刷票软件木马程序以及利用现有数据用户进行“撞库攻击”所致。

据了解,本次泄露事件被泄露的数据达131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息。

我以为打开应该是这个样子的:

参考文献:

  • 知乎问答:如何看待 2014 年 12 月 25 日网传 12306 账号信息泄漏(含明文密码)一事?
  • Hash 函数及其重要性
  • 撞库攻击:一场需要用户参与的持久战

关于撞库事件的始末下文中也会有详细的阐释。

  所谓“撞库攻击”是指黑客入侵部分网站与论坛,将注册用户数据资料盗走。在取得大量用户数据后,黑客将得到的数据在其它有价值的网站进行尝试登陆。因为很多用户喜欢使用同一密码,因此撞库攻击方式可以为黑客带来经济利益。

乌云网是一家专注于互联网安全漏洞报告的平台。邬迪介绍称,乌云网每天都会对各项数据进行监测,12306事件只是今天的一项内容。但此前,他们也曾报告过12306网站泄露用户信息的情况。

图片 3

提及“撞库”,就不能不说“脱裤”和“洗库”。

  李铁军称:“虽然目前还无法确定具体原因,但可以推测黑客可能通过其他已经泄露的数据库进行‘撞库攻击’,导致12306账户信息泄露,此外,第三方抢票软件或网站若被黑客攻击也会导致12306用户信息泄露。”

对这次用户信息泄露事件,网络议论热烈。有网友担心,这些泄露的信息是否包含购票过程使用的银行卡等信息等。专业人士建议,如果用户在其他网站也使用了12306网站同样的用户名和密码,应当修改密码。

然鹅,并没有。
可能,我没有被上天选中。

在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”,360的库带计划,奖励提交漏洞的白帽子,也是因此而得名。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以是黑客收获颇丰。

  针对此次泄露事件,安全专家建议用户可采取以下措施避免安全隐患

多位接受21世纪经济报道记者采访的安全专家对此事件分析认为,这次很可能是黑客“撞库”行为造成的,而非12306网站直接泄露,但同样说明12306网站仍存在安全漏洞。不过,也有一些专家认为事件原因仍不明。

图片 4

下图是黑客,在“脱裤”“洗库”“撞库”三个环节所进行的活动。

  1,迅速修改12306网站登录密码;由于新密码同步到所有服务器需要时间,部分用户修改密码后,或不能立刻登录;

对于此事件的影响,中国政法大学传播法研究中心研究员朱巍分析称,如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。

其实百度云网盘遭受黑客攻击也不是首次了,在8月份网友@梁小豪在微博爆料称:自己的网盘不但塞满了小黄片,自己保存的大量文件也不见了。

图片 5

  2,修改12306网站注册邮箱密码,且邮箱密码与12306网站登录密码不同;

泄露原因何在?

图片 6

二、用户数据与黑色产业:

  3,泄露的用户信息以及亲友信息很有可能被不法分子利用,用户会在未来可能收到不少诈骗电话。建议用户在处理与银行转账汇款业务时务必要电话确认身份,谨防电信诈骗;

乌云网创始人邬迪告诉21世纪经济报道记者,12月25日上午10:59,在事件发生后,乌云网立刻进行了核查,在确认该消息的真实可靠性后对此事进行了发布。

百度云官方回应:百度网盘遭遇撞库盗号事件。

随着地下产业链日渐成熟,用户数据可以被迅速地转变成现金。

  4,切勿使用离线抢票功能。因为离线抢票就是第三方服务托管服务,必须明文存密码,且没法加密,所以一旦泄露就是明文。(中新网IT频道)

不久后12306就在第一时间知道了此消息,并与乌云网取得联系,表示会认真调查此事,并在日后发布公告。

备注:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

(1)用户账号中的虚拟货币,游戏账号,装备,都可以通过交易的方式变现,也就是俗称的“盗号”。

  来源:环球网

下午14:15,乌云网通过新浪微博发布了消息称,数据疑似黑客撞库后整理得到,而并非12306直接泄漏,请用户及时修改密码同时慎用抢票工具。

通俗地打个比方就是你拿着一栋大厦的钥匙复制了一串,然后一把一把试着去开不同的门。

(2)金融类账号比如,支付宝,网银,信用卡,股票的账号和密码,则可以用来进行金融犯罪和诈骗。

 

邬迪也对21世纪经济报道记者称,所谓“撞库”就是黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。

就在上月底我们的警察叔叔抓获了这位黑客技术宅,并供述一年内购买账户密码3000万条,网购撞库转件筛出百度云账号50万条用将其出售,赚了5万元。

(3)最后一些可归类的用户信息,如学生,打工者,老板等,多用于发送广告,垃圾短信,电商营销。也有专门的广告投放公司,花钱购买这些分门别类的信息。

登录用户的后台后,可能存在邮箱、手机号码、身份证号码被泄露、账务积分和账户余额流失等多种风险。

然鹅这都不是重点!重点是这位技术宅只是兼职黑客,全职居然是以卖渔具为生!!(厉害了,word哥哥~)

快速收益和高回报也让越来越多的黑客铤而走险。(刑法里非法入侵计算机系统罪会被判处三年到七年有期徒刑)

“如果用户及时修改原始密码就可以规避撞库风险。”邬迪说,“但这并不等于自己的信息就完全安全了。”

图片 7

而对于,信息被泄露的受害者,根据泄露信息的种类不同,生活也会受到不同程度的影响。

邬迪告诉记者,除了撞库,还有另一种方式叫做拖库。黑客通过技术直接下载某平台的全部数据库。“但本次12306泄露可以排除拖库的可能性。”

音符

图片 8

在业内人士看来,“拖库”是指入侵有价值的网络站点,把数据库全部盗走的行为。盗取数据后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,此为“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。

『撞库的不止百度,阿里和网易撞的更惨烈』

如上图,如果你的多种网站和服务的用户名密码相同,那可能会蒙受更大的损失。

浪潮电子信息安全事业部副总经理蔡一兵对21世纪经济报道记者称,“在互联网的黑市里有一个非常成熟的产业链,有一个非常成熟的形成利益过程:拖库、洗库和撞库。”

在互联网技术圈,其实很多互联网平台都有被黑客撞库的案例遭遇,八君在匿名区看到一位百度员工爆料称:百度账号体系每周都有被撞。

三、黑客怎样获取用户数据

针对此次泄露事件的原因,360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示,“此次12306网站信息泄露是被黑客撞库造成的。”

图片 9

黑客为了得到数据库的访问权限,取得用户数据,通常会从技术层面和社工层面两个方向入手。

其理由是,经过他们安全研究人员的调查发现,第一、几乎所有13万条12306账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。第二,通过对12306泄露数据中的相关用户进行抽样调查,超过半数没有使用任何抢票软件,其余则是使用不同的抢票软件。

比如今年2月份最著名的撞库事件——《淘宝账户遭攻击,9900万账户被盗》,引起了更多人的恐慌焦虑。

图片 10

在今天的泄露事件发生后,网上曾流传称,有18G的完整12306数据库被泄露,但是目前并没有人在网上找到过这个数据库。

图片 11

技术方面大致分为如下几种:

泄露事件发生后,12306发布公告称网上泄露的用户信息系经其他网站或渠道流出,原因是12306网站使用的是多次加密的密码,而泄露的是明文密码。分析人士称,这也从另一个侧面说明,这些密码可能不是从12306网站泄露出去的。

当犯罪团伙利用阿里漏洞,获取了淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合,涉案金额高达200余万元。

(1)远程下载数据库文件

据乌云官网发布的消息称,漏洞已交由第三方厂商国家互联网应急中心处理。12月25日,国家互联网应急中心人士对21世纪经济报道记者表示:“事件正在调查当中,结果以官网发布为准。”

犯罪团伙拿匹配成功的淘宝账号用于淘宝刷单、抢单,并出售给诈骗团伙,严重扰乱了网络秩序,危害了公民的隐私、财产等安全。

这种拖库方式的利用主要是由于管理员缺乏安全意识,在做数据库备份或是为了方便数据转移,将数据库文件直接放到了Web目录下,而web目录是没有权限控制的,任何人都可以访问的;还有就是网站使用了一些开源程序,没有修改默认的数据库;其实黑客每天都会利用扫描工具对各大网站进行疯狂的扫描,如果你的备份的文件名落在黑客的字典里,就很容易被扫描到,从而被黑客下载到本地。

一位网络安全研究人员对21世纪经济报道记者称,12306网站第一时间知道这个事情的,并发布了公告,但是几个小时过去了,那些用户名和密码还可以登录,并可能被用于更改他人密码、找到他人的电话号码,甚至帮人家退票,“他们为什么不紧急通过技术手段,短信通知用户,将泄露的用户密码强制更改或提醒客户更改?”$pager$

然而,在这起案子里,为犯罪团伙提供技术支持的黑客许X,居然是个中专毕业、自学计算机编程的技术宅男,在圈内还颇有名气。

(2)利用web应用漏洞

为什么会有这么大的漏洞?

除了遭遇“不幸”的阿里巴巴,还有网易。

随着开源项目的成熟发展,各种web开源应用,开源开发框架的出现,很多初创的公司为了减少开发成本,都会直接引入了那些开源的应用,但却并不会关心其后续的安全性,而黑客们在知道目标代码后,却会对其进行深入的分析和研究,当高危的零日漏洞发现时,这些网站就会遭到拖库的危险。

不过,邬迪称,“此事目前还无法下定论。”

图片 12

(3)利用web服务器漏洞

在12306网站在发布上述提示公告时,还特别提醒旅客不要使用第三方抢票软件购票。这使得外界怀疑,此次泄露事件由第三方抢票软件而起。

去年十月,网易邮箱被破解一事曾闹的满城风雨,乌云漏洞平台报告称,网易旗下163和126邮箱系统数据库大规模泄漏,受影响用户数超过1亿,约占其用户总量的20%。

Web安全实际上是Web应用和Web服务器安全的结合体;而Web服务器的安全则是由Web容器和系统安全两部分组成,系统安全通常会通过外加防火墙和屏蔽对外服务端口进行处理,但Web容器却是必须对外开放,因此如果Web容器爆出漏洞的时候,网站也会遭到拖库的危险。

一位长期研究刷票软件的人员告诉21世纪经济报道,目前抢票软件发展速度极快,但并不存在十分清晰的盈利模式,因此从第三方软件中泄露数据的可能性也依然存在。

并且泄漏数据包括邮箱用户账号、密码、密码保护、登录IP、生日等敏感信息。其中有些密码虽为加密数据但还是被黑了,泄露的信息中包含大量的大量的AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露。

社工方面大概有如下几种:

一位从事软件程序开发的技术人员告诉21世纪经济报道记者,这类抢票软件的技术要求一般不高,如果第三方没有严格的保护措施,用户信息就存在不安全的隐患。

遭遇撞库的还有12306。

(1)水坑攻击

对于此,360公司相关人员书面回应称,360抢票王基于360安全浏览器,360安全浏览器的上网安全技术和措施都可以保障抢票王的安全。他们认为,此次12306数据泄露事件与抢票软件无关。


黑客会利用软件或系统漏洞,在特定的网站上进行挂马,如果网站管理员在维护系统的时候不小心访问到这些网站,在没有打补丁的前提下,就会被植入木马,也会引发后续的拖库风险。

互联网安全专家更关心的是,如果真是撞库造成的泄露,12306网站为什么会留下这么大的漏洞?

图片 13

(2)邮件钓鱼

“如果这次撞库发生在Google、微软身上,不可能成功。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本,并没有设置这一道程序。” 猎豹移动安全专家李铁军对21世纪经济报道说。但是,目前并不清楚,此次漏洞是否与验证程序设置有关。

2014年12月25日上午10点59分,乌云平台有某网友发表一篇题为《大量12306用户数据在互联网疯传》的帖子,称黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。

黑客会利用一些免杀的木马,并将其和一些管理员感兴趣的信息绑定,然后通过邮件发送给管理员,而当网站管理员下载运行后,也会导致服务器植入木马,引发后续的拖库风险。

据一位对乌云网比较了解的专业人士称,12306网站从2012年2月开始,在乌云网上被披露的漏洞接近50个,其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%,而还有44%的漏洞可间接导致信息泄漏,例如命令执行漏洞和SQL注射漏洞。

此时撞库被盗数据不少于10万条,而且全部真实。造成此次撞库事件,有人怀疑是第三方抢票软件泄露所致。

(3)社工管理员

而这些被监测到的漏洞都持续了很长时间。这位专业人士称,他们也不明白为什么这些漏洞一直没有被补救。

图片 14

对目标网站的管理员进行社会工程学手段,获取到一些敏感后台的用户名和密码。从而引发的后续拖库。

360安全专家安扬也认为,12306网站被撞库,说明12306账号安全体系仍需要进一步完善,尽可能及时发现并阻断黑客撞库攻击。

音符

(4)XSS劫持

据21世纪经济报道此前的报道, 12306网站由铁科院开发,铁科院是原铁道部下属的单位。

『你不太清楚的用户数据泄露事件』

有时黑客也会为了获取某一些网站的帐号信息,他们会利用网站钓鱼的手段去欺骗用户主动输入,但这种方式只能获取部分帐号的真实信息,并没有入侵服务器。

一位从事高铁安全行业的人士对21世纪经济报道记者称,其实早在之前,铁科院内部已经发现这一问题,但至今尚未完全解决,直到如今东窗事发。$pager$

仅公安部一年查获被盗取各类公民个人信息就有近50亿条,而这可能只是泄露信息一小部分,2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户 密码认证的方式已无法满足现有安全需求。

四,黑客怎样解密得到的数据:

黑色产业链

图片 15

通常情况下,数据库中的个人信息如,邮箱 电话 真实姓名 性别 等都是明文存储的。而密码通常经过MD5加密之后存储。黑客可以很轻易地把他需要的且是明文存储的数据从数据库中剥离出来。而MD5加密之后的数据这需要一定的解密流程才能看到明文。通常解密MD5的方法有,暴力破解,字典破解和彩虹表。

安扬对21世纪经济报道记者介绍,目前在互联网上公开流传的用户数据很多,仅2012年CSDN、天涯的泄露数据就超过2亿条,今年还出现了携程、如家、当当的泄露事件。

2014年,快递公司官网遭入侵,泄露1400万数据;
2014年,小米800万用户数据泄露;
2014年,智联招聘86万条求职简历数据遭泄露;
2014年,汉庭2000万开房记录遭泄露。
2015年,机锋网2700万用户数据泄露... ...

图片 16

另据知道创宇旗下的网络空间搜索引擎ZoomEye统计,中国目前至少有13000台服务器存在破壳漏洞,全球大概有140000台主机存在风险。

还有近些年来,比较严重的漏洞案例:

(1)暴力破解

知道创宇技术副总裁钟晨鸣称,最近三四年,国内持续泄露的互联网数据,国内总量级达到50亿条用户账户信息。 知道创宇是全球知名的互联网安全公司,其创始团队在互联网安全领域服务了十多年,不久前还承担了APEC期间新闻平台网络安全工作。

图片 17

暴力破解这是一种"时间消耗型"的破解方法,确定了密文的加密方式的前提下,使用相同的加密算法,计算

此外,腾讯手机管家安全专家陆兆华对21世纪经济报道记者表示,在互联网黑色产业链内部,成员还存在数据库共享的机制,非常容易就获取到不同平台被成功拖库的信息,而用户的敏感信息比如身份证信息、电话号码、常用密码都是相对不变的,一旦泄漏就会给用户造成持续的影响。

图片 18

M = H(P)

在此事件的发生上一周,由国家信息安全漏洞共享平台发布的信息安全漏洞周报显示,2014 年 12 月 15 日至2014 年 12 月 21 日,国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞 144 个。上述漏洞中,可利用来实施远程攻击的漏洞有 128 个。截至报告发布时间,已有 119 个漏洞由厂商提供了修补方案。

音符

P为所有的明文空间

猎豹移动安全专家李铁军指出,中国的互联网化进程非常快,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理、安全人才储备不足,很容易被攻击,造成信息泄露。“所以,有的客户刚刚订了机票,就收到机票相关的诈骗电话、短信。”

**『互联网时代,人人都在裸奔』 **

H为加密算法

北京银库副总裁杜占源对21世纪经济报道记者表示,对于绝大多数的数据泄露来讲是因为网站自身存在安全漏洞引起的。目前很多非金融类的网站也进行实名制,但这些网站未必采取了很好的安全措施,一旦这类网站存在漏洞,用户身份证的关键信息必然泄露。

当越来越多的网站APP需注册个人信息,越来越多的账户需要管理,懒癌患者比如我就习惯用一个账户名和密码来登录不同的网站,最后才发现黑客撞库撞的就是我这样的~

M为密文

据央行制定的《银行卡收单业务管理办法》规定,“收单单位不得以任何形式储存银行卡的敏感信息”,但一些网站往往突破此规定。在携程网“漏洞门”事件中,携程网坚持没有过度搜集用户信息,其理由是:“未扣款成功的CVV码信息会被暂存7天,目的是协助用户便捷支付。”

在每一次的撞库事件发生之后,不管是百度网盘也好还是阿里也好,官方都在提醒我们要做到不同网站尽量不同账户名和不同密码,还有定时更新密码,不乱装第三方小插件;在12306撞库事件发生的时候,12306提醒我们不要用第三方刷票软件购票,因为第三方有漏洞;在网易邮箱被攻击的时候,说的是其乌云平台有漏洞,连安全平台都有被随时攻击的危险的时候,我们有没有想过:为何我们得利于互联网,却又轻易地被互联网致于裸奔中?

然后将计算得到的M和待破解的密文进行比较,如果匹配成功,则对应的明文P即为待破解密文的明文。值得注意的是,这个枚举P和比较M的过程往往是在内存中进行的,也即在计算的过程中一边产生,一边比较,这次破解结束后,下一次破解又要重新开始从头枚举,效率不太高。

12306泄露事件发生至今,尚未暴出泄露的个人信息中包括用户购票的银行卡信息。

因为,我们的个人数据,存在于你停留的每一个网站里,每一个手机APP里,存在于你用过的每一个手里,你淘宝下单的每一笔订单里,存在于注册过的每一个邮箱里... ...

(2)字典破解

泄露事件同样引起了对网络实名制的讨论。“韩国网络实名制半途而废的原因,就是无法解决大规模个人信息泄露问题”,中国政法大学传播法研究中心研究员朱巍说。他建议,我国网络实名制实行过程中,可以考虑规定商业网站无权保管个人核心信息,转由安保等级更高的公安部平台管理。

在电脑的领域里,科学技术无好坏,它能带给你便捷,也能带给你利刃。然而,获取我们的个人数据信息,对于“他们”(黑帽黑客)轻而易举。

字典破解本质上还是"暴力破解"的一种,在字典破解中,攻击者是对所有的明文(M)进行预计算,将所有的明文的HASH都事先计算好,并保存起来。典型的MD5字典如下:

侵权责任如何划分?

加上大数据全民化时代的迅速发展,云计算,数据集群储存,大数据等专用名词的出现的频率,我们早已耳濡目染。

....

2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,网络个人信息保护有了法律依据。今年3月15日施行的新《消费者权益保护法》也增加了保护消费者个人信息的规定。

网站空间存储逐渐被云平台取而代之,于是云平台的安全就变得难以防范了,网速的越来越快,数据库可能几秒钟时间都能被攻击几百次,成千上万的用户数据被盗取利用,甚至被用来作为谋取利益的交易。

password5f4dcc3b5aa765d61d8327deb882cf99

最新的司法依据是10月9日,最高法院公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中首次列举了个人隐私的范围。

所以,有了无法来用好与坏来评判的黑白帽黑客,加上科学技术这把双刃剑,互联网黑产业链的无形发展壮大,用户数据的价值早已超乎了想象。

admin21232f297a57a5a743894a0e4a801fc3

“泄露个人信息者一定要承担相应的侵权责任,问题是谁来承担”,朱巍告诉记者。

所以,避免撞库导致个人信息泄露所带来的伤害,首先要珍爱个人信息,拒绝互联网黑产从多重网络身份做起!

cnblogefbc3548e65e7225dcf43d3918d94e6f

“如果是12306泄露,要区分为故意泄露还是过失泄露,故意泄露毫无疑问要承担侵权责任”,朱巍说,“在国外,故意泄露还可以区分为出于商业目的还是非商业目的,如果是商业目的要加大处分力度,但国内司法没有这样的区分”。

图片 19

....

如果12306是出于过失导致信息泄露,司法实践中会采用过错推定原则确定侵权责任,“即先推定12306存在过错,然后由12306举证,证明自己尽到了安保责任”,朱巍说。

图片 20

在进行破解的时候,破解程序将字典映射Mapping到内存中,然后将HASH和待破解的密文进行逐条比较(这点和暴力破解是一样的),直到找到某条HASH和待破解的密文相同为止。

朱巍认为,如果存在12306作为开放平台,通过开放端口与第三方平台进行授权合作的情况,即使信息是经第三方泄露,12306也应承担连带责任。

想跟脉八君一对一聊天吗?想跟脉油门群里分享工作经验谈谈合作跟业内大咖取取经吗?来加脉八君个人微信(maibj111),就可以和脉友愉快滴玩耍啦~

值得注意的是,基于字典的暴力破解时间上比单纯的内存计算型暴力破解更有效率,只要一次的"字典生成"花费一定的时间,后续的多次破解都可以重复使用这个字典。

“这几乎是整个互联网产业的‘通病’,比如用户注册了一家互联网服务,结果发现自己的信息被授权给了这家网站的合作方”,朱巍说。

图片 21

注意,这里说的"字典"指的对应某个算法的字典: MD5 Directory、SHA1 Directory、NTLM Directory等等。

他认为,哪怕用户在注册互联网服务时,对方已经提醒其个人信息可以授权转让给合作方,这也不能成为用户信息泄露时其免责的理由,“因为这是格式合同,用户如果拒绝就不能完成注册”,朱巍说。


总的来说,字典攻击是对单纯的内存型暴力破解的一个改进,它引入了预处理的思想,但缺点也很明显,需要占用及其庞大的磁盘空间,以至于对于长度16以上的密码字典,完整存储根本不可能。

只不过,承担连带责任的网站,可以按照和第三方网站的内部责任划分约定,向直接泄露信息的第三方追偿。

黑是什么的黑,
白又是什么白。

(3)彩虹表

“最后一种情况是12306根本不知情,信息泄露源于不可抗力,但12306也要证明自己尽到了安保义务”,朱巍说。

这是对暴力破解和字典破解的一种折中的破解技术,在2003年瑞典的Philippe Oechslin 在Making a Faster Cryptanalytic Time-Memory Trade-Off一文中首次被提出,它有效的利用了预处理的优点,同时又克服了字典破解消耗太大磁盘空间的缺点,在这两者中找到了一个平衡点。(具体实现技术请读者自行百度)

五,黑客怎样利用得到的数据:

除了贩卖数据得到金钱上的利益之外,黑客还会把得到的数据进行整理,制作成社工库。利用社工库对其他网站进行撞库攻击。撞库攻击实质上就是,以大量的用户数据位基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。

图片 22

随着社工库的日益庞大,越来越多的用户和网站受到来自撞库攻击的威胁。(现在网上流传的数据库已经超过千万级别,不过这和某些黑客手中所掌握的数据比较起来只不过是冰山一角,详情参见“道哥的黑板报:中国黑客传说:游走在黑暗中的精灵”)

不单单是账户密码的泄露,在庞大的社工库面前,用户的个人隐私也是岌岌可危。比如如家宾馆2000w数据泄露事件,导致众多会员开房记录曝光于互联网。

QQ群用户信息的泄露,也影响到了几乎所有QQ用户的隐私。

图片 23

再来看最近的京东撞库事件,网上流传了一张所谓的京东数据被泄露的图片,其中涉及到少量京东用户名密码。

图片 24

网上的白帽子分析了其中用户名密码的出处,发现图片中的用户名密码均在,之前别的网站泄露的数据库中存在。

图片 25

这也说明了,撞库攻击在本身拥有大量用户名密码的基础上,可以在不攻破目标系统的前提下,获取目标系统一定的用户信息。

六、用户怎样保护自己的隐私:

作为中国千万网民中的一个,你可能觉得,我不用网银,打游戏不充钱,我没有什么被黑的价值,所以黑客是不会来光顾我的。其实不然,每一个使用互联网服务的用户,在享受快捷方便的时候,都把自己暴漏在了风险之下。不是黑客会不会值得黑你,而是你有没有可能被波及。下面是几条建议有利于你规避风险。

(1)重要网站/APP的密码一定要独立,猜测不到,或者用1Password这样的软件来帮你记忆;

(2)电脑勤打补丁,安装一款杀毒软件;

(3)尽量不使用IE浏览器

(4)支持正版,因为盗版的、破解的总是各种猫腻,后门存在的可能性很大;

(5)不那么可信的软件,可以安装到虚拟机里;

(6)不要在公共场合(如咖啡厅、机场等)使用公共无线,自己包月3G/4G,不差钱,当然你可以用公共无线做点无隐私的事,如下载部电影之类的;

(7)自己的无线AP,用安全的加密方式(如WPA2),密码复杂些;

(8)离开电脑时,记得按下Win(Windows图标那个键) L键,锁屏,这个习惯非常非常关键;

【编辑推荐】

本文由betway必威官网登陆发布于政治新闻,转载请注明出处:侵害超以后,从12306帐号泄漏谈用户密码安全

您可能还会对下面的文章感兴趣: