12月25日,當人們還沉浸在聖誕的喜悅中無法自拔的時候,烏雲漏洞平台率先爆出大量12306使用者資料洩露,有公安部門介入調查,已知公開洩露的資料庫及使用者數已經超過了13萬條。随後12306通過微信等多個管道表示,“洩露資訊全部含有使用者明文密碼。我網站資料庫所有使用者密碼均為多次加密的非明文轉換碼,網上洩露的使用者資訊系經其他網站或管道流出。”
然而資料洩露誰之過?随着12306的官方聲明“事不關己”和攜程發表的聲明“與我無關”,那麼資料怎麼洩露的?12306的安全機制在哪裡?
還原真相:
當此事發生後,記者第一時間連線烏雲平台的相關負責人,據悉,本次漏洞爆出實屬偶然。一名白帽子在自己的圈子裡突然發現了大量資料,随後通過驗證均無一例外均可登入,是以才給了整個安全屆這昂貴的“聖誕禮物”。
此次事件造成恐慌的原因在51cto記者看來,有一個非常關鍵的地方:明文的資料庫,這其實意味着,所洩露的資料庫沒有做審計和資料庫隔離,并且沒有做資料庫關鍵字段的加密,是以導緻洩露的所有資訊都是明文的,這非常可怕。
事實上,今天被曝出的12306資料庫,能夠看到明文的有13萬條左右,大概14m左右。以下為51cto記者頗費周折得到的資料資訊,圖檔經過處理,如下:
明文資料庫
部分洩露的資料
據知道創宇公司的“evi1m0”說:在三個小時内,已經“傳”出各種有關資料庫大小的版本:14m、18g、20g、37g。“evi1m0”說,其實明眼人還是很多的,當然你說個138g讓“大v”推推,也是能成為傳露:目前還無法确認此次事件是從12306官網直接洩露的,但是通過一些白帽子的集體調查結果顯示似乎更像是通過撞庫得到的資料,但是被人惡意提取并整理了該平台上的使用者身份等資訊。
但是這下午三點,已經正式确認12306使用者資料洩露是由撞庫(利用現有網際網路洩露資料庫,進行密碼碰撞)導緻,并非12306以及第三方搶票洩露。也更加證明了白帽子們的調查結果
其實這類事情,每天都在發生。那麼我們脆弱的密碼和安全保護意識真的無能為力麼?
避免“脫褲”的方法
owasp中國北京主負責人子明告訴記者,其實是有辦法改變這種“脫褲”悲劇的。他介紹說:現在我們都是将個人資訊和密碼等重要敏感資料放在伺服器裡,無論怎麼加密,如何處理,隻要黑客能夠成功提權,如提取資料庫權限,就非常容易洩露敏感資訊,這是很無奈的事情,但換個思路,如果把密碼和敏感資料放在自己手裡,要拿到破解就非常難,因為你的密碼和敏感資料硬體化了,與你自己的終端裝置綁定,動态的二維碼認證加密,就避免了資料集中的情況,這顯然是一條未來可能會受到業界關注和認可的方案,而且現在國内已經有公司這樣做了。
芸芸衆聲:
另外,也有對此事持不同意見的網友,id為“shotgun”的網友在知乎上表示:我之是以說目前這個流出來的庫沒太大價值,是因為所有評價社工庫品質和數量的都是基于去重(去掉重複的資料)後的,現在這個庫既然是撞庫出來的(用現有的庫裡的賬号密碼去嘗試新的網站),那就等于隻是驗證了有十三萬人在某些網站和12306上使用了相同的密碼而已。
51cto.com記者發現,id為“李海”的網友對于這次12306洩露使用者賬号資訊分析了三種原因:
◆悲觀論:由于12306有21個分站www.12306.cn-子域名查詢--查詢啦,可能是某個分站存在sql注入或者getshell漏洞,導緻黑客直接脫褲,但是這樣脫褲下來的使用者密碼應該是加密的,黑客可能是通過md5逆向查找還原得到密碼。烏雲也有這樣的先例,比如12306分站指令執行(可getshell)
◆無良論:某些“無良”廠家的搶票軟體存在問題。比如,把本應該隻是使用者本地存儲的12306登陸賬号資訊,發送到自己啊伺服器,而自家伺服器安全性能過低,黑客端了“無良”廠家的伺服器進而獲得了所有存儲着的12306賬号資訊。
◆偶然論:純粹的利用之前洩露的大量使用者名、密碼進行撞庫。這個前提是找到了12306不需要驗證碼驗證使用者賬号的接口。
該網友認為第二種可能性更大,危害性也更廣,因為要是因為第一種原因造成的賬号洩露,那麼隻要你的密碼足夠複雜而且沒有洩露過,那麼黑客最多隻能得到你密碼加密後的密文,無法找到密碼明文是什麼。此外,該網友表示沒用過搶票軟體,他的12306賬号密碼是獨立的(不同于他在其他網站使用的密碼),也沒有洩露過,是以我就不改密碼了。
12306的事件這段事件肯定還會繼續,51cto也将持續關注事件發展,第一時間給大家帶來更有價值的新聞和技術内容。
原文釋出時間為:2014-12-26
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号