12306警示錄：你的密碼在誰的手里

圣誕驚魂：12306用戶數(shù)據(jù)泄漏？

早上10點，某漏洞平臺上出現(xiàn)了一個嚴(yán)重的安全漏洞信息—12306用戶數(shù)據(jù)庫遭到泄露。為了驗證該信息的準(zhǔn)確性，我們團(tuán)隊對事件進(jìn)行了一次調(diào)查。

通過互聯(lián)網(wǎng)上的一些社工論壇，確實發(fā)現(xiàn)了12306被拖庫的一些蹤跡，下圖為某社工論壇上的截圖：

而且已經(jīng)在網(wǎng)上有了一定的流傳時間，目前已知最早的時間為12月16日。下圖為某論壇上大家對該時間的討論。

通過一些途徑，我們終于到找了一部分疑似泄露出來的數(shù)據(jù)，數(shù)據(jù)主要包括了12306的注冊郵箱、密碼、姓名、身份證、手機。下圖為泄露出來的部分?jǐn)?shù)據(jù)。

對泄露出來的賬號進(jìn)行了一些登錄嘗試，發(fā)現(xiàn)前面庫中10個賬號全部能夠登錄�？梢娏鞒龅拿艽a庫確實為真。

目前網(wǎng)絡(luò)上流傳有兩個版本，分別是14M，18G，已經(jīng)在地下黑產(chǎn)商中流傳，我們懷疑密碼泄露最大的可能性有兩種，一個是12306的網(wǎng)站被拖庫，另外一個是第三方搶票軟件的公司被入侵導(dǎo)致數(shù)據(jù)庫被拖。

由于12306上是進(jìn)行實名認(rèn)證的，且里面包含了大量的重要信息，包括身份證，手機號碼。

老文新推：你的密碼在誰的手里？

前幾天，身邊的很多朋友出現(xiàn)了密碼被盜的現(xiàn)象，而且盜走的時候都是批量地被盜走，自己注冊的很多個不同的網(wǎng)站密碼同時被盜，有感于普通人對密碼的意識比較淡薄，所以本篇文章將會剖析一下黑客盜號常用的手段以及普通人保護(hù)自己密碼安全所能做的安全措施。

密碼是怎樣被黑客盜取的？

首先，賬號被盜取，第一個懷疑的就是電腦被中木馬的問題，黑客通過在個人電腦中植入木馬，可以利用鍵盤記錄，釣魚等方式來實現(xiàn)對密碼的盜取。于是，作者檢查了身邊幾個被盜密碼朋友的電腦，并沒有發(fā)現(xiàn)任何木馬，很明顯通過木馬的方式盜取他們賬號的可能性不大。

既然不是自己的電腦有問題，那么很可能就是曾經(jīng)注冊過的網(wǎng)站被人“拖庫”，這里解釋下拖庫，所謂“拖庫”就是網(wǎng)站的用戶數(shù)據(jù)被人用SQL注入或者其它手段盜取，得到了這個網(wǎng)站的用戶名、密碼信息，很多知名網(wǎng)站都發(fā)過“拖庫”事件，如CSDN、天涯、小米等，黑客間將拖下來的庫進(jìn)行交換、集中，就形成了一個又一個所謂的“社工庫”，社工庫中存放了很多個被“拖庫”網(wǎng)站的帳號密碼信息，于是作者在一個黑客比較常用的的社工庫網(wǎng)站上搜索朋友的賬號信息，果然發(fā)現(xiàn)了泄露出的賬號密碼：

從截圖可以看出，朋友的密碼是從51CTO泄露出來的，密碼進(jìn)行了MD5加密，不過想要解出這個密碼，并非不可能，網(wǎng)上提供了很多可以查詢MD5原文的網(wǎng)站，如在CMD5上對密文進(jìn)行檢索，很快發(fā)現(xiàn)了密碼原文：

解密成功后，用密碼去登錄朋友的相關(guān)賬號，果然登錄成功�？磥砻艽a泄露的途徑已經(jīng)找到。那么，現(xiàn)在問題來了，黑客是如何入侵到朋友的多個網(wǎng)站的呢？

觸目驚心的地下數(shù)據(jù)庫

這時，就要祭出我們的又一個工具了（www.reg007.com）,因為很多人都有使用同一個郵箱注冊很多業(yè)務(wù)的習(xí)慣，而通過這個網(wǎng)站可以查詢到某個郵箱注冊過什么網(wǎng)站，第一次見過這個網(wǎng)站時，我和我的小伙伴們都驚呆了，下面是查詢某個郵箱時的情況，共查詢出21個注冊過的網(wǎng)站：

其實很多朋友還都有這樣一種習(xí)慣，就是為了方便記憶，都會把所有網(wǎng)站的賬號都用一個相同的賬號和密碼注冊，無論是小論壇，還是像京東，天貓這樣涉及財產(chǎn)的商城。這種做法是很不安全的，一旦其中一個網(wǎng)站淪陷，所有的帳號都將危險。特別是隨著2011年CSDN數(shù)據(jù)庫泄露事件之后，越來越多網(wǎng)站的數(shù)據(jù)庫出現(xiàn)泄露的事情，而且這些被泄露的數(shù)據(jù)庫都能夠在網(wǎng)站上隨意找得到。大家可以想一想，在你的賬號密碼都相同的情況下，通過以上的步驟，就可以輕易地知道你上過什么大學(xué)（學(xué)信網(wǎng)）、做的什么工作（前程無憂、智聯(lián)）、買了什么東西（京東、淘寶）、認(rèn)識什么人（云通訊錄）、說過什么話（QQ、微信）

下圖是一些地下網(wǎng)站交換的部分社工庫信息

上面所說，并非危言聳聽，因為現(xiàn)實中存在太多可以“撞庫”的網(wǎng)站，也存在很多黑產(chǎn)大規(guī)�！跋磶臁薄ⅰ白矌臁�、“刷庫”的例子。這里解釋下這幾個名詞，在通過“拖庫”取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價值的用戶數(shù)據(jù)變現(xiàn)，這通常被稱作“洗庫”，最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，“撞庫”往往收獲頗豐。

在漏洞提交平臺“烏云”上進(jìn)行搜索，可以發(fā)現(xiàn)很多網(wǎng)站都存在撞庫漏洞，同時，攻防雙方此消彼長，屢防不絕，“撞庫”這種攻擊手法在黑產(chǎn)圈也一直因“簡單”、“粗暴”、“有效”等特點而特別流行。

作者在項目中就曾經(jīng)遇到國內(nèi)某知名郵箱的大規(guī)模撞庫事件，以下是當(dāng)時往來郵件的部份節(jié)選：

異常分析

從今天上午約10點鐘開始，一直持續(xù)到晚上約21:10分結(jié)束，有明顯的異常登陸情況，基本可確定是黑客行為。黑客使用自動登陸程序，從同一IP短時間內(nèi)發(fā)起大量登陸請求，請求并發(fā)及請求頻率很高，最高每分鐘超過六百次登陸請求。今天全天，類似的異常登陸，共成功登陸22.5萬次，失敗登陸4.3萬次，涉及到的賬號約為13萬（每個賬號登陸2次）；

黑客從wap基礎(chǔ)版登陸，登陸成功后再切換至標(biāo)準(zhǔn)版，并在標(biāo)準(zhǔn)版關(guān)閉登陸通知，從而觸發(fā)了一條設(shè)置修改的短信提醒給到賬號綁定的手機號。從日志分析，暫未發(fā)現(xiàn)黑客修改登陸通知后還有其他行為，黑客登陸后未發(fā)送任何郵件。

初步分析結(jié)果如下：

從以上分析，基本可以看出，黑客手頭已經(jīng)有了這批用戶的用戶名及密碼信息，且絕大多數(shù)是正確的。密碼可能是之前各種網(wǎng)絡(luò)密碼信息泄露導(dǎo)致。

安全建議

最后，作者問一句，大家是希望自己的密碼是在別人手里呢，還是存在別人的數(shù)據(jù)庫里面？

為了保護(hù)大家的密碼，作者在這里給大家一些密碼的建議，

希望通過以上的內(nèi)容，能夠讓大家對密碼安全有一個更好的認(rèn)識，從而更好地保護(hù)自己的個人隱私和財產(chǎn)安全。