深度解析12306数据泄露之谜

摘自:51CTO

12月25日,当人们还沉浸在圣诞的喜悦中无法自拔的时候,乌云漏洞平台率先爆出大量12306用户数据泄露,有公安部门介入调查,已知公开泄露的数据库及用户数已经超过了13万条。随后12306通过微信等多个渠道表示,“泄露信息全部含有用户明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”

然而数据泄露谁之过?随着12306的官方声明“事不关己”和携程发表的声明“与我无关”,那么数据怎么泄露的?12306的安全机制在哪里?

还原真相:

当此事发生后,记者第一时间连线乌云平台的相关负责人,据悉,本次漏洞爆出实属偶然。一名白帽子在自己的圈子里突然发现了大量数据,随后通过验证均无一例外均可登录,因此才给了整个安全届这昂贵的“圣诞礼物”。

此次事件造成恐慌的原因在51CTO记者看来,有一个非常关键的地方:明文的数据库,这其实意味着,所泄露的数据库没有做审计和数据库隔离,并且没有做数据库关键字段的加密,因此导致泄露的所有信息都是明文的,这非常可怕。

事实上,今天被曝出的12306数据库,能够看到明文的有13万条左右,大概14M左右。以下为51CTO记者颇费周折得到的数据信息,图片经过处理,如下:

明文数据库

部分泄露的数据

据知道创宇公司的“Evi1m0”说:在三个小时内,已经“传”出各种有关数据库大小的版本:14M、18G、20G、37G。“Evi1m0”说,其实明眼人还是很多的,当然你说个138G让“大V”推推,也是能成为传露:目前还无法确认此次事件是从12306官网直接泄露的,但是通过一些白帽子的集体调查结果显示似乎更像是通过撞库得到的数据,但是被人恶意提取并整理了该平台上的用户身份等信息。

但是这下午三点,已经正式确认12306用户数据泄露是由撞库(利用现有互联网泄露数据库,进行密码碰撞)导致,并非12306以及第三方抢票泄露。也更加证实了白帽子们的调查结果

其实这类事情,每天都在发生。那么我们脆弱的密码和安全保护意识真的无能为力么?

避免“脱裤”的方法

OWASP中国北京主负责人子明告诉记者,其实是有办法改变这种“脱裤”悲剧的。他介绍说:现在我们都是将个人信息和密码等重要敏感数据放在服务器里,无论怎么加密,如何处理,只要黑客能够成功提权,如提取数据库权限,就非常容易泄露敏感信息,这是很无奈的事情,但换个思路,如果把密码和敏感数据放在自己手里,要拿到破解就非常难,因为你的密码和敏感数据硬件化了,与你自己的终端设备绑定,动态的二维码认证加密,就避免了数据集中的情况,这显然是一条未来可能会受到业界关注和认可的方案,而且现在国内已经有公司这样做了。

芸芸众声:

另外,也有对此事持不同意见的网友,ID为“shotgun”的网友在知乎上表示:我之所以说目前这个流出来的库没太大价值,是因为所有评价社工库质量和数量的都是基于去重(去掉重复的数据)后的,现在这个库既然是撞库出来的(用现有的库里的账号密码去尝试新的网站),那就等于只是验证了有十三万人在某些网站和12306上使用了相同的密码而已。

51CTO.com记者发现,ID为“李海”的网友对于这次12306泄露用户账号信息分析了三种原因:

◆悲观论:由于12306有21个分站www.12306.cn-子域名查询--查询啦,可能是某个分站存在SQL注入或者Getshell漏洞,导致黑客直接脱裤,但是这样脱裤下来的用户密码应该是加密的,黑客可能是通过MD5逆向查找还原得到密码。乌云也有这样的先例,比如12306分站命令执行(可getshell)

◆无良论:某些“无良”厂家的抢票软件存在问题。比如,把本应该只是用户本地存储的12306登陆账号信息,发送到自己啊服务器,而自家服务器安全性能过低,黑客端了“无良”厂家的服务器进而获得了所有存储着的12306账号信息。

◆偶然论:纯粹的利用之前泄露的大量用户名、密码进行撞库。这个前提是找到了12306不需要验证码验证用户账号的接口。

该网友认为第二种可能性更大,危害性也更广,因为要是因为第一种原因造成的账号泄露,那么只要你的密码足够复杂而且没有泄露过,那么黑客最多只能得到你密码加密后的密文,无法找到密码明文是什么。此外,该网友表示没用过抢票软件,他的12306账号密码是独立的(不同于他在其他网站使用的密码),也没有泄露过,所以我就不改密码了。

12306的事件这段事件肯定还会继续,51CTO也将持续关注事件发展,第一时间给大家带来更有价值的新闻和技术内容。

原文发布于微信公众号 - 大数据文摘(BigDataDigest)

原文发表时间:2014-12-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

解密伪造钓鱼WiFi:安恒信息支招如何让WiFi使用更安全

央视3·15晚会再次关注手机应用安全问题,在晚会上曝光了免费WiFi的安全问题,并在现场给大家演示了利用伪造钓鱼WiFi技术窃取了台下观众的上网内容。坦白的说,...

381100
来自专栏FreeBuf

微软:暴力破解面前,增强密码复杂性基本没用

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性...

28660
来自专栏黑白安全

快速想出一个好记又破解不了的密码

现在的网络不断发展,越来越多的人会注册一些网站或者软件的账户,但是注册的账号可是一个大学问,我们既要方便自己记忆,同时又可以不被别人破解,这本身就是一个会比较矛...

72150
来自专栏Web 开发

我也来刷到CM7.1

2011年10月10日,著名的的Android第三方ROM团队CyanogenMod发布了最新的稳定版CM7.1,同时提供大量机型的支持~

8300
来自专栏FreeBuf

一次对支付宝木马的分析溯源之旅

0x00 引子 与网络的黑暗面斗争中,我们看到太多的年轻人陷入黑产的陷井,少数人暴发横财及时收手还能全身而退,多数人身处产业链的底端所得不多却受牢狱之灾。年轻...

25360
来自专栏农夫安全

啥?Metasploit里面也有菜刀~~~

利用msf破解一句话木马 0x01 前言 本文为智者楚轩原创文章 事情要从下午说起,同学突然叫我说,xxx,我扫到一个老师在电脑上自己搭建的服务器,上面有他...

54790
来自专栏有趣的Python和你

抖音小姐姐视频爬虫

前段时间,创造101着实火了一把,问我pick哪位小姐姐,当然是唱歌老跑调,跳舞数拍子的杨超越了。其实在看创造101之前,就已经在抖音上关注了她,今天就来爬爬她...

22720
来自专栏安恒信息

警惕隐藏在购物狂欢节背后的黑客攻击

根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。 ? 但进一步对发件人的...

29380
来自专栏安智客

iPhone能用公交卡了,细节全在白皮书里!

昨天中午就开始网传iOS11.3版本会增加对北京和上海公交卡的支持! 安智客一直关注安全技术,对于iOS11,不想再似是而非了,不愿在网上搜索只言片语了,我们需...

390150

安全问题无处不在:从非托管桌面开始

未修补和不受监控的Windows桌面是一个开放的大门,可以让病毒和木马潜入您的网络。除了恶意软件,这些桌面还可以作为恶意用户窃取或删除关键公司数据的窗口。如果怀...

7430

扫码关注云+社区

领取腾讯云代金券