喧嚣背后的真相:12306数据泄露事件深度分析

恰逢春运前,铁道部12306网站“13万用户数据泄露”“快去改密码!”“32G用户数据库下载”瞬间刷爆了网络。一时间很多猜测,很多言论,很多“谣言”,很多“真相”……它们充斥着我们的视线。

莫让迷雾遮望眼——作为一个信息安全从业者和技术人,是时候冷静的坐下来看看究竟发生了点什么了。

起因

热点事件传播的开端可能都大同小异了,无非是微博,QQ或是其他社交渠道发现了一则“12306用户数据泄露”的消息。一开始你只是在“互联网的那些事”等营销微博号上看到,接下来发现门户的官微转发了,再后来人民日报发了!最后,央视居然TMD也报道了!年末这么多媒体不可能一起来炒作忽悠大众吧!网民们的第一反映——这绝对是大事件!12306被入侵了,数据库被黑客泄露了……

随之而来的是,好事者和技术宅开始了搜索之旅,各种离线文件各种云盘各种存储渠道的链接向你袭来,于是你机智的下载了……伴随着间歇性转发,此时高傲的你面对着四处求种的人们还带着一丝优越感——哼,哥早就有了!

下载下来一看,我们得到的不是传说中的22G,18G,32G或37G!(以大小来标记数据貌似也是从下载动作片开始...已经越来越像炒作了!)而我们看到的是14M,约13万的用户数据。就像这样:

看到这里,只是个起因而已,是的没错,大多数人都做到了这一步,如果这个你都没做到的话,恩,只能说看热闹不怕事儿大,你连热闹都没认真看啊!

升温

热点事件就是这样,要么不温不火,要么火到源头都控制不了局面。很多人开始在这14M的数据里开始挖掘了,有很多人开始在数据里查询自己活朋友的信息了,无论是否处于好意,但是这个时候你就会发现,数据没有想象中那么齐全:

然后,更多的人选择了继续寻找全的数据,这个时候,你就想着了魔或者是强迫症患者一样开始疯狂的寻找,你开始重新关注22G,32G...

那么好吧,很多人开始消耗那些在我国实属不便宜的宽带费用,甚至第一次开启了下载软件的VIP会员,就是不能沦为人后,这是一个数据的时代!大数据的时代,什么数据价值还能大过12306吗?

笔者也不能免俗,但是总有不详的预感,整个事件发展到这里,跟一些桃色事件、XX门太像了!果不其然,在2014的这个圣诞节,我等屌丝们再次怀着无比激动的心情,打开下载文件,再次重温了儿时经典《葫芦娃》!

失控

当人们还在沉醉于朋友圈转发和找种子的激情时,一些明眼人或着保持理智的人开始意识到——被央视转发的新闻就是真事吗?新闻的源头会不会有问题?12306真被黑了?

于是12306第三方网站被黑的论调出现,分销商和分销网点数据泄露似乎是个不错的解释,可能性也极大。但是此刻立即有阴谋论者跳出来说:这是托词,是推诿,是12306在找临时工顶包!

另一种在我看来比较理智的是“撞库”说,我们随机抽出所谓“泄露数据库”中的100条数据,将他们的密码提取出来,然后尝试登录12306,你会发现:“花擦!居然都能用呢!”。

FreeBuf小科普:什么是“撞库”

少量数据验证正确并不能代表这些数据就是12306网站流出的,而很有可能是黑客们将一些已经泄露的数据库(比如多年前的CSDN)很好的贯彻了数据整理的思想,通过12306进行了验证(俗称洗白)把能够成功登陆的账号密码汇总,并且将登陆后拿到的身份证信息,电话信息和姓名信息一并汇总,也就是俗称的“撞库”。

那么这样费劲撞库得来的数据,为什么会泄露出来呢?以下是一些猜想:

1、没有买卖就没有杀害,数据被买卖,货卖多家导致扩散开来
2、多方联合的炒作事件——懂的人骗不懂的。然而炒作都是有利益关系的,这大家自己YY下就好了
3、自我“逼格”的提升,干了这么“惊天动地的”事情人,想低调都觉得对不起自己
... ...

好吧,这些暂且不说了,至此12306事件与跟当年被翻炒了多少遍的冷饭“开房数据泄露”如出一辙,却彻底被炒火了甚至失控了。有些小伙伴也是相当有才,分分钟连专用的查询社工库都出现了,我只能说你太机智了,手速也真是快啊:

高潮

当门户、“业内人士”“专家”联手将12306话题推向高潮的时候(据说专家们还要把2014称为漏洞之年)……一群人坐不住了,他们急于证明黑客不只能做“撞库”这种毫无技术含量的事!

于是“安全圈”流出了很多的截图,说12306的服务器已经被入侵了,甚至给出了截图的证明:

重磅炸弹,貌似一瞬间推翻了之前证据确凿的“撞库”论,恩,这次事件开始有意思了,高潮来了一浪又一浪!这个时候,甚至有人将12306服务器的控制权限(webshell和连接密码)都丢出来了,也就是说,谁都可以直接使用12306服务器的控制权限。

终于可以聊聊漏洞了

是啊,真正事件的过程中,信息量太大了,事件源本身似乎也并非漏洞?都来不及去看看技术相关的东西了

好了,我们先来看看网上公布的入侵证据:

这一张和第一张重磅炸弹一样,黑客使用struts漏洞(曾于2013年爆发)拿到了服务器控制权限,原图还不打马赛克,把包含漏洞网站域名清晰的展现给大家,仿佛就是说“欢迎来搞!”

所以,一旦你看到截图,联想到这个漏洞,那么想测试这个漏洞实在是太简单了,所以一大波入侵者和好事者正在来袭,比如这样:

漏洞危害我就不说了,一目了然,但是漏洞毕竟不是不重要,安全也绝对不是吓唬大众,该有节操还是要有,说到这里,到底如何,旁观者心中明白,搞技术的这个时候一定不能添油加醋...

都说是“撞库”,但12306真有漏洞

有几个值得我们思考的地方,就是真正入侵12306服务器或者说发现这些漏洞的人究竟在什么时候就开始了呢?Struts2漏洞爆发也是long long ago了,并且该漏洞在2013年集中地爆发过。当时状况惨不忍睹,各种知名、大型网站纷纷落马。

但为什么当时没有人说12306被黑了呢?或者说那个时候12306奇迹般的存活了下来?

那么可能性就只有三种了:

1、12306在struts2漏洞爆发的时候,已经被人入侵,只是一直潜伏,这次事件太热,才浮出水面
2、当时struts2漏洞爆发的时候,漏洞被批量利用,但是12306官网并不存在该漏洞,或者说当时大家没有发现12306的子域名和
  子站(这次6~7存在struts2漏洞的均为12306的子站)。所以得以幸免。
3、都是中国人,年年春运都实属不易,没有人忍心干掉12306(这一条可以忽略,但我要传播正能量!)

第一种可能性上文我们详细阐述过了,至于第二种,我觉得,那这次漏洞被发现可能是因为很多辅助的原因,因为当struts2漏洞爆发的时候,大家寻找存在漏洞的目标去利用一般使用google的语法,所以很可能那个时候真没找到12306这些存在漏洞的分站。

服务器是入侵了,但数据呢?

事情理到这里也差不多了,但是大家有没有发现,这些入侵截图都没有连接数据库的截图,也就是说是不是这些分站都没有12306数据,与此次泄露毫无关联?

虽说攻击者可以利用struts2漏洞入侵服务器,获取最高权限,但即使最高权限你也不能获取到服务器上本就没有的东西……

所以笔者判断,最初的14M 13万数据还是一次“撞库”的成果总结,这也就能解释为什么数据中的密码全是明文了。

结语

对12306来说,漏洞什么时候都该修补,漏洞爆发时要补,不管别人能不能找到你,不要存在侥幸心理,漏洞爆发的风头过去后产品才上线也要补,坏人总在角落盯着或等着你。

而笔者认为,信息安全从业者做的是让大家了解事件的危害,警觉起来,提高意识,几时修改密码什么的,而不是一味的吓唬大众来炒热整个行业,吓唬得到的是恐惧,而不是尊敬。

对大众而言,立即修改你的密码(买票了的话),没买票的,直接删除所有人名和身份证信息吧。春运在即,实属不易。另外,总今天起,你可以也需要关注信息安全了。

[FreeBuf专栏作者/黑客叔叔p0tt1,本文属FreeBuf黑客与极客(FreeBuf.COM)专栏文章,未经许可禁止转载]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-12-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏老九学堂

8种网络黑灰产作案工具... 你都了解吗?

9月17日,2018国家网络安全宣传周——网络安全博览会揭幕。本次展会集中展示网络安全领域的新技术和新理念等内容。而且,在博览会上,有展馆展示了多种网络黑灰产作...

3.1K30
来自专栏大数据文摘

专访“新世界黑客组织”成员Kapustkiy

19660
来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

386100
来自专栏腾讯数据中心

助力天蝎,重磅干货!——Open rack V2 整机柜架构供电介绍

随着IT业务的快速发展,数据中心的用电成为企业的沉重负担。国内某运营商仅2009年的耗电量就高达98亿度,为能源消耗支付近100亿元。采用市电直供,同时做好停电...

52360
来自专栏FreeBuf

防范社会工程学攻击的简单技巧与姿势

互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环,因此也成为了攻击进入任何组织电脑网络最简单...

25880
来自专栏大数据文摘

Xkeyscore是什么?德国竟然愿意拿国民数据与之交换!

17930
来自专栏FreeBuf

漏洞告诉你:商家为什么都乐于提供免(diao)费(yu)WiFi?

作为一名小微商户,每天我除了要为经营小店忙得焦头烂额,还要想方设法地寻求提升用户体验。于是,我用了号称“营销神器”的某商用WiFi系统...... 然后不可...

23090
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

23850

网络分段如何网络系统帮助企业家应对勒索软件风险

几个月前,我们的孩子所在的南卡罗来纳州最大的学区之一的,网络系统受到了携带病毒的勒索软件的攻击,这个“ 勒索软件”是一种恶意软件,攻击者通过加密获取访问权限的数...

9100
来自专栏FreeBuf

耸人听闻还是真相?简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称,著名医疗器械公司圣犹达(St. Jude Medical...

21370

扫码关注云+社区

领取腾讯云代金券