所谓“优酷数据泄露事件”的客观事实还原

17日网络爆出疑似优酷上亿数据泄漏的新闻,标题为《优酷账号密码疯狂泄露!》,威胁猎人团队通过近期的黑产监控数据给大家客观的展现这次泄露出的数据在各维度情况,还原此次事件。

1. 数据最早泄露于今年一月份

1)已知的泄漏源

对于这类地下信息,新闻的时效性往往相对较慢。据我们的数据监控,这份数据至少在2017年1月份就已经在暗网的地下市场 HANSA Market 流通,可见销量在20多份,价格300美金,随后又出现过多个版本的不同卖家。

从原始数据来看,泄漏量确实在1亿条以上,数据以“明文账号+md5密码”的形式保存,但该数据是否真实优酷数据未经过验证。

实际上,在 HANSA Market 上还有一份被另一个黑客 doubleflag 还原过的同一份数据,md5加密被还原了大约8000万明文密码。可见销量100多份,价格400美金。其危害比暴露出来的要更严重。

2)数据内容及格式分析

此次曝光出的数据的账户名全是电子邮箱格式。

邮箱服务商分布

黑产数据历史重合度

通过抽查部分数据和历史黑产数据进行比对,大约有73%的数据存在历史泄漏数据中已经存在。

异常数据

通过数据分析,还发现存在不少账号对应多个密码,以及邮箱后缀多次拼接的痕迹,数据来自黑产拼凑的痕迹明显。

3)厂商应对

在事件曝光后,我们发现优酷已经增加了基于这份数据的风控逻辑,针对这批帐号强制要求更换密码,让这批已曝光的帐号密码进一步走身份验证流程,把帐号还到好人手里。这也是应对该类事件最好方式之一,因为存在长期“多人骑”的情况,通过用户日志数据已难以明确好人画像。

2. 该数据早已活跃在撞库攻击黑产

我们翻开今年的监控数据,发现所谓的“优酷泄露数据”其实早已活跃在黑产的撞库攻击行为中。并且对这份数据在黑产中的行为以及危害做了客观的统计和分析。

1)此次泄露的数据在撞库黑产中一直存在

我们分析了最近半个月全球的撞库攻击黑产流量,其中来自此次泄露数据的攻击平均占比在1.04%,并且在可寻的半年内一直存在。

2)此次数据泄露直接危害

版权类网站一直是黑产的主要攻击对象之一,在之前的报告中,我们曾分析过国内被撞库攻击的公司类型,如图:

由于近年来网速的增长,以前大家习惯通过下载最新电影电视剧,现在则更愿意在线直接看。因此许多寻找种子的用户变成了低价购买视频网站会员的用户。版权类网站最直接的黑产链条便是从第三方购买“共享账号“会员,相关行情,笔者在相关QQ群对“业内”报价进行了调查(价格仅供参考):

爱奇艺: 临时会员2.9元(质保2天) 临时会员4.9元(质保7天) 稳定会员9.9元(质保一个月) 优酷: 会员普通 3.9元(质保2天) 会员稳定8.9元(质保一月) 一年会员40.9元(质保200天) 腾讯视频: 好莱坞会员9.9元(质保一月)

3)其他公司受影响

从该份数据近期的二次攻击流向上看,主要流向是几家游戏类公司,与前面撞库攻击的行业分析结论比较匹配。

3. 重新思考这次事件

最后,我们认为这并不是一起因黑客攻入核心服务器导致的突发安全问题,而是由于长期持续的撞库攻击导致的密码泄露问题。

从CSDN数据泄露事件之后,整个国内互联网企业已经把数据加密存储认知成基础安全重要一项任务。从这个角度来说,对拖库给企业带来的影响在帐号安全方面正在降低,反而是其他的商业及个人身份信息数据,因为直接的变现路径,成为数据泄露主要的影响。

我们是谁:威胁猎人(ThreatHunter)团队,专注安全多年,致力于为互联网公司解决业务安全风控问题。团队第一个产品「帐号宝」(https://zhanghaobao.net),全国首家风险账号检测即服务平台(CADaaS),致力于解决撞库风险和高危帐号审计。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

小米上市股价大涨,造就了这些亿万富翁!谷歌正式开源Jib;财富中国500强:京东夺魁互联网

9 日,港股市场上的一件大事,就是明星新股小米正式登陆港交所挂牌交易。 尽管该股以招股价区间下限 17 港元开盘,但仍未能逃过破发的厄运,最终以 16.8 港元...

15740
来自专栏罗超频道

GMAIL教会我们:互联网服务不牢靠

GMAIL彻底无法访问,包括WEB和客户端。在Google退出中国之后的4年里,GMAIL每天都在抽风,过去也曾短暂地因为Google自身故障在几天之内连续无法...

29290
来自专栏阮一峰的网络日志

每周分享第 1 期

15320
来自专栏云计算D1net

新的隐私保护对于云业务可能意味着什么

想象一下,如果IT人员或所在的公司在云端或其他SaaS(存储即服务)平台上存储有争议的信息,并且突然之间,美国联邦调查局或警方因此将其扣押。一夜之间,其或其所在...

31640
来自专栏FreeBuf

又来?微软爆料俄罗斯黑客对美国中期选举候选人发起攻击

微软的一位高层管理人员在近日举办的ASPEN安全论坛上公开表示,他们发现俄罗斯黑客正在尝试对至少三名即将参与美国2018年国会中期选举的候选人进行攻击,但微软成...

7940
来自专栏FreeBuf

十几万Android手机组成的僵尸网络正在活跃,你中招了吗?

你相信只要从官方应用商店下载一个 App 就能保护自己免受恶意软件攻击吗? 你要是信了,就得好好想想了。 来自 Akamai、Cloudflare,、Flash...

31760
来自专栏安恒信息

网络不良言论在各国被关注情况一览

1本周热点话题:网络不良言论备受各国关注 I. 网络涉军违法犯罪和不良信息举报平台正式上线运行 为深入贯彻落实党的十九大精神,充分发挥广大人民群众的参与监督作用...

43590
来自专栏安恒信息

“黑手阅读”潜伏后台大肆掠夺,手机信息安全岌岌可危

近日,手机信息安全侦测中心发现一款名为“黑手阅读”手机恶意软件, 该恶意软件伪装成“百部经典小说下载阅读”,一经安装后即会长期寄居在用户手机后台...

282100
来自专栏FreeBuf

美中不足的IoT:物联网必须要有“网”吗

物联网(IoT)设备正在变得越来越普遍,但并非所有对物联网的努力都以成功告终。 IoT一直是科技界的热门话题,Gartner表示,在2020年全世界将有超过20...

29030
来自专栏阮一峰的网络日志

Unix版权史

1. 这几天,我在读《Unix编程艺术》。 ? 书中介绍了Unix的发展历史。我发现,这是一个很好的例子,说明现行版权制度具有阻碍社会发展的负面作用。 2. U...

35440

扫码关注云+社区

领取腾讯云代金券