本文講的是<b>深度!近期所謂“優酷資料洩露事件”的客觀事實還原</b>,17日網絡爆出疑似優酷上億資料洩漏的新聞,标題為《優酷賬号密碼瘋狂洩露!》,威脅獵人團隊通過近期的黑産監控資料給大家客觀的展現這次洩露出的資料在各次元情況,還原此次事件。
資料最早洩露于今年一月份
1)已知的洩漏源
對于這類地下資訊,新聞的時效性往往相對較慢。據我們的資料監控,這份資料至少在2017年1月份就已經在暗網的地下市場 HANSA Market 流通,可見銷量在20多份,價格300美金,随後又出現過多個版本的不同賣家。
從原始資料來看,洩漏量确實在1億條以上,資料以“明文賬号+md5密碼”的形式儲存,但該資料是否真實優酷資料未經過驗證。
實際上,在 HANSA Market 上還有一份被另一個黑客 doubleflag 還原過的同一份資料,md5加密被還原了大約8000萬明文密碼。可以看到銷量100多份,價格400美金。其危害比暴露出來的要更嚴重。
2)資料内容及格式分析
此次曝光出的資料的賬戶名全是電子郵箱格式。
郵箱服務商分布
黑産資料曆史重合度
通過抽查部分資料和曆史黑産資料進行比對,大約有73%的資料存在曆史洩漏資料中已經存在。
異常資料
通過資料分析,還發現存在不少賬号對應多個密碼,以及郵箱字尾多次拼接的痕迹,資料來自黑産拼湊的痕迹明顯。
3)廠商應對
在事件曝光後,我們發現優酷已經增加了基于這份資料的風控邏輯,針對這批帳号強制要求更換密碼,讓這批已曝光的帳号密碼進一步走身份驗證流程,把帳号還到好人手裡。這也是應對該類事件最好方式之一,因為存在長期“多人騎”的情況,通過使用者日志資料已難以明确好人畫像。
該資料早已活躍在撞庫攻擊黑産
我們翻開今年的監控資料,發現所謂的“優酷洩露資料”其實早已活躍在黑産的撞庫攻擊行為中。并且對這份資料在黑産中的行為以及危害做了客觀的統計和分析。
1)此次洩露的資料在撞庫黑産中一直存在
我們分析了最近半個月全球的撞庫攻擊黑産流量,其中來自此次洩露資料的攻擊平均占比在1.04%,并且在可尋的半年内一直存在。
2)此次資料洩露直接危害
版權類網站一直是黑産的主要攻擊對象之一,在之前的報告中,我們曾分析過國内被撞庫攻擊的公司類型,如圖:
由于近年來網速的增長,以前大家習慣通過下載下傳最新電影電視劇,現在則更願意線上直接看。是以許多尋找種子的使用者變成了低價購買視訊網站會員的使用者。版權類網站最直接的黑産鍊條便是從第三方購買“共享賬号“會員,相關行情,筆者在相關QQ群對“業内”報價進行了調查(價格僅供參考):
從該份資料近期的二次攻擊流向上看,主要流向是幾家遊戲類公司,與前面撞庫攻擊的行業分析結論比較比對。
重新思考這次事件
最後,我們認為這并不是一起因黑客攻入核心伺服器導緻的突發安全問題,而是由于長期持續的撞庫攻擊導緻的密碼洩露問題。
從CSDN資料洩露事件之後,整個國内網際網路企業已經把資料加密存儲認知成基礎安全重要一項任務。從這個角度來說,對拖庫給企業帶來的影響在帳号安全方面正在降低,反而是其他的商業及個人身份資訊資料,因為直接的變現路徑,成為資料洩露主要的影響。
原文釋出時間為:2017年4月19日
本文作者:威脅獵人
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/observation/4408.html" target="_blank">原文連結</a>