1212月25日,当人们仍然沉浸在圣诞节的喜悦中时,乌云漏洞平台率先披露了大量12306用户数据泄露。一些公安部门参与了调查已知的数据库和用户数量已超过13万。随后,12306通过微信等渠道表示,“所有泄露的信息都包含用户明文密码。我们网站数据库中的所有用户密码都是多次加密的非明文转换码,在线泄露的用户信息通过其他网站或渠道流出。”
但是谁曾经泄露过数据呢?随着12306的官方声明“事不关己”和携程发表声明“与我无关”,那么如何泄露数据呢?12306的安全机制在哪里?
还原真相:
事件发生后,记者***据报道,这个漏洞是偶然的。一顶白帽子突然在自己的圈子里发现了很多数据,然后通过验证无一例外地登录,所以它给了整个安全这个昂贵的“圣诞礼物”。
事件恐慌的原因是51CTO记者认为,有一个非常关键的地方:明确的数据库,这实际上意味着泄露的数据库没有审计和数据库隔离,也没有加密数据库的关键字段,所以泄露的所有信息都是明确的,这是非常可怕的。
事实上,今天曝光的12306数据库可以看到大约有13万个明文,大约是14M左右。以下是51CTO经处理,记者获得的数据信息如下:
明文数据库
部分泄露数据
据了解创宇公司“Evi1m0”说:已经三个小时了“传”数据库大小的各种版本:14M、18G、20G、37G。“Evi1m0”说,其实还是有很多明眼人的。当然,你说138G让“大V”推,也可以成为一个披露:目前不能确认事件直接从12306官方网站泄露,但通过一些白帽集体调查结果显示,它似乎更像是通过数据库,但恶意提取和整理平台上的用户身份和其他信息。
然而,在下午3点,12306用户数据泄露已正式确认是由碰撞库(利用现有互联网泄露数据库进行密码碰撞)造成的,而不是12306和第三方抢票泄露。这也证实了白帽子的调查结果
其实这种事情每天都在发生。那么我们脆弱的密码和安全保护意识真的无能为力吗?
避免“脱裤”的方法
OWASP中国北京主任子明告诉记者,有办法改变这一点“脱裤”悲剧。他说:现在我们把个人信息和密码等重要敏感数据放在服务器中,无论如何加密,如何处理,只要黑客能成功提取权利,如提取数据库权限,很容易泄露敏感信息,这是一件非常无助的事情,但另一方面,如果你把密码和敏感数据放在自己手中,很难解决,因为你的密码和敏感数据硬件,绑定到你自己的终端设备,动态二维码认证加密,避免数据集中,这显然是一个未来可能会得到行业的关注和认可的解决方案,现在一些国内公司已经这样做了。#p#
芸芸众声:
此外,也有网友对此事持不同意见,ID为“shotgun”的网友在知乎上表示:我之所以说目前这个流出来的库没太大价值,是因为所有评价社工库质量和数量的都是基于去重(去掉重复的数据)后的,现在这个库既然是撞库出来的(用现有的库里的账号密码去尝试新的网站),那就等于只是验证了有十三万人在某些网站和12306上使用了相同的密码而已。
51CTO.com记者发现,ID为“李海”网友分析了12306用户账号信息泄露的三个原因:
◆悲观主义:12306有21个分站www.12306.cn-子域名查询--查询啦,可能是某个分站存在SQL注入或者Getshell漏洞导致黑客直接脱裤,但脱裤用户密码应加密,黑客可以通过MD5逆向搜索恢复获取密码。乌云也有这样的先例,比如12306站命令(可以)执行getshell)
◆无良论:有些“无良”制造商的抢票软件存在问题。例如,将本应只存储在用户当地的12306登录账户信息发送到自己的服务器,而自己的服务器安全性能太低,黑客端“无良”然后,制造商的服务器获得了所有存储的12306账户信息。
◆偶然论:纯粹利用之前泄露的大量用户名和密码进行碰撞。这个前提是找到了12306不需要验证码验证用户账证。
网友认为第二种可能性更大,危害更大,因为如果是因为***由于各种原因导致的账户泄露,只要您的密码足够复杂且未泄露,黑客最多只能在您的密码加密后获得密码,找不到密码明文。此外,该网友表示,他从未使用过抢票软件。他的12306账户密码是独立的(不同于他在其他网站上使用的密码),没有泄露,所以我不会更改密码。
12306这一事件肯定会继续,51CTO继续关注事件的发展,***时间给你带来更有价值的新闻和技术内容。