烏云白帽眼中不為人知的“12306事件”
昨天烏云的一個漏洞報告大量12306用戶數據在互聯網瘋傳包括用戶帳號、明文密碼、身份證郵箱等(泄漏途徑目前未知) 引起關注。對此,烏云的白帽子默默無聞的尋找線索,最大化了解影響的范圍,一起看下收獲:
首先,這份13w數據最原始的文件名應該是醬的:
啥還有售后群?難不成還提供更新與不滿意退貨服務?但不管怎樣,這群號是個非常關鍵的線索,于是我們的白帽子偽裝成買家,在群里還真聯系上了一位賣家(數量過于龐大,無法驗證真偽,所以模糊處理了)
此人直接扔來7條數據,而且格式與互聯網上傳播的13w一致,但只有一條與那13w數據中的重合其他的都未能查到,似乎13w數據的完整性證明充滿了疑點
嗯,嘴很嚴(最有價值的黑客獲取方式套取失敗,所以不能隨意下結論)
白帽子想了個好辦法,不如取要一些與自己同姓用戶的數據,在看看重合率與真實性
結果這些數據在13w數據中一條也沒查到(并且經過測試的確可以登錄12306)這特么究竟還有多少我們不知道的數據被售賣著?烏云君知情后尿了一下午。。。遺憾的是,這個時間點恰好趕上外界媒體的報道。該賣家似乎嗅到了危險突然下線消失,再也不見了,不見了(今天發現QQ資料也清空了,感謝媒體!感謝XXTV!!)
最終,烏云君將白帽子提供的這些13w數據外的用戶敏感數據再次提供給12306(因為這關鍵的差異數據,恰巧可能會幫助官方定位日志中的關鍵線索,哪些人第一次得到手,又有哪些人可能買了!)
同時烏云君也希望沒在那13w數據中的用戶,也盡量定期修改密碼。到底有多少我們的密碼被泄漏與交易,這個沒人能說的清楚。
怕各位說烏云君自己演了一出戲,所以留下這些用戶登錄帳號的HASH防止無意義的扯蛋,感興趣的黃姓朋友可以MD5下自己登錄帳號,萬一在這些證明數據里呢。
52756d1668dd14c1e33a63621477c584
0f8d1248c84d20aad702128ae971b276
a3e6e52a651199a9c6b711bd3a144928
51db1240829c66ee23ad55b9a5fec1d1
becd24f6163450e4cc701287f0b2a70c
4076fb754d18fadba7110ab4f2263a97
e9608120662cfaf91fd25c046439cf3d => 這條是對比13W唯一重復的登錄名
6425d54303515197442050bf0437d47e
0f7e29afa557dc52521d1aa5c218a165
77238d3221eaeae50fb1d8ec29ad253c
f24095592060f77f833a045308106bd6
68f7b000cbf818b0043a72e22eee4215
d1755335f4197cd587102d6323b184b7
65c946fe68b6c2e7aa43c0ece1343a2f
04e55fb5a707d157c59c84f699daf007
cefa8782f7d544c8f3b0c112d1898454
cb218a652e29ee22ad64ddbc85071709
b4b2fe87df032d1e7d3861a96e0aa783
9dd044cd6e38d31670bcf321fa3b4ad5
211bc27264346a7c2c3edd68a19829d5
9ceab1e1bda8334bd33eaf60965d831d
c908b6680c56fec6749aa08070d2de8a
關于這13w數據,很多機構組織都在說是撞庫,信息來自哪里沒說清楚很含糊。不過烏云社區有白帽子給出了自己的一些分析,僅供參考吧(這些已經泄漏并流傳多年的數據功不可沒啊)
13w的數據民間分析就到此為止,相信官方可以通過日志等信息查出事件的原由,并且給用戶一個滿意的答案。
這次事件我們看到了官方的積極響應,看到了用戶的警惕,也看到了黑產對12306帳號數據的垂涎與掌握程度。如果大家能在平時對自己的帳號安全多付出一些(常改密碼,放棄現有密碼,因為漏的差不多都可能被人掌握了),企業監控再給力一些(如果是撞庫,這么多數據不能靜悄悄的撞完吧,總有點動靜),就不會發生這次的事情。安全不能總靠救火,還要靠平時的積累。
最后,烏云君在給大家八一八大家所關心的其他信息點吧,分別是:
1)12306官方安全意識
對于12306官方的安全意識如何,大家從烏云歷史報告自行體會 廠商信息_中國鐵道科學研究院漏洞列表其實這次12306響應與手段都很及時,據微博用戶反饋說很多泄漏的帳號迅速被鎖定了。但無論因誰的責任,這波數據明顯是針對12306購票平臺的。希望官方調查最后即使不便公開受影響用戶量,也至少能給涉及用戶一個提醒或強制的密碼變更,他們才是最大的受害者需要保護。最后,如果官方確實存在一個可以撞庫的帳號接口漏洞,也希望告知是否發現并且進行了處理,別還可以繼續撞庫盜竊用戶數據。
這里有個槽要吐:在得知泄密后,烏云君第一想法也是改密碼,然后刪掉帳號內保存的親友身份證信息,以后需要時在填入。結果發現12306就不!允!許!刪!似乎證件在帳號內需要一段時間后才允許刪除,就納悶兒我的數據憑什么不讓我刪……但能否別明文顯示啊(互聯網公司做的就很好,敏感信息都有星號保護)
2)第三方搶票泄密可能性
就在這次泄密事件之前,烏云君也在想,這些第三方搶票機構會不會在未告知的前提下記錄俺們的信息呢?真的是不太敢用啊。
結果就在前兩天,一個漏洞報告似乎印證了這個懷疑 UC瀏覽器功能性插件“搶票幫”設計不當可能導致搶票者名字/身份證等隱私信息泄漏 (漏洞目前得到了修復)。該漏洞沒有記錄用戶明文密碼,所以跟本次泄密無關,但的確要給第三方搶票機構敲響警鐘了。要不是官方平臺限制太多不好搶,沒人會拋棄正規渠道偏要選擇第三方購票平臺,所以既然選擇了咱們就要對得起用戶的信任!
3)撞庫
原理不提了,很多媒體進行了解釋,再逼逼叨就有點像老和尚念經了。
撞庫攻擊在國內外黑產圈都搞的風風火火,一片繁榮熱鬧之相。每當有企業的數據庫被拖,影響的不僅僅是其本身,還間接的威脅到了這些用戶在其他企業下服務!所以撞庫的影響與責任至今都捋不清,沒人承認。如今泄密多樣化:帳號、密碼、手機、身份證、住址、好友關系等信息皆可泄漏……看微博一些用戶對身份信息泄漏已經習慣了,但此類信息是某些安全機制依賴的核心部分,這不是好事兒需要警惕。
希望互聯網企業與多方機構共同努力,對泄密責任方進行追究,令其重視用戶信息安全,別在嘴上功夫。并且帳號等泄密事件需要讓受害者知情,并且提前做好防范。但是,這可能么?這不可能么??這,可能么……
