科技猎顶级黑客验证12306用户资料外泄因“撞库”
昨天的 12306 事件赚足了眼球,知道创宇安全研究团队是第一个给出最靠谱推理分析的团队,当然也有人质疑我们的结论,那也是理解的,毕竟我们又不是幕后黑手,我们可不知道具体过程细节,但,推理总会吧?相比那些没依据的猜测我们是不是靠谱多了?
下面是我们的结论:
知道创宇确认12306数据泄露事件为“撞库攻击”
2014
年12月25日上午10点59分,乌云平台有某网友发表一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知)》的帖子,称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。该文章立即引起了大量媒体、相关技术人员的关注及疯狂
转发。
知道创宇安全研究团队第一时间验证了该消息的准确性,并获取到了该文中提到的样本数据,文件标题为《12306 邮箱-密码-姓名-身份证-手机(售后群:31109xxxx).txt》,共计131653条记录、文件大小14M。
经过初步推测该批数据的来源有三种可能性:黑客直接攻击网站;散播刷票软件等木马程序;利用现有用户数据进行“撞库攻击”。
知道创宇安全研究团队针对该批数据进行了紧急调查:
1、随机抽取了一批帐号(约50个)均成功登陆12306,证明了该批数据是准确的;
2、随机联系了该批数据中的多个QQ用户,均反馈没有使用过抢票软件且近期没有购票行为;
3、经与群中人员进行交流,并未有人见过该批18G的全部数据,普遍认为该批数据为撞库所得,并不存在18G的12306全部数据;
4、安全人员搜索以往互联网上的数据进行了匹配,从某些网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。
经过3个小时的调查,知道创宇安全研究团队经过仔细分析获得如下结论:
1、该批131653条的12306用户数据是真实的。
2、该批数据基本确认为黑客通过“撞库攻击”所获得。
3、当前网上并无18G的12306数据的流转迹象。
大家可以知道:这个结论是基于我们尽可能获取的情报而推理得到的。在我看来已经很靠谱了。
但是,这个结论能反向推理 12306 没漏洞吗?能反向推理 12306 真的就没被拖库吗?能反向推理那些抢票插件就没问题吗?当然都不能!这个结论只适用于目前公布的那些情报。
我们不打算放出我们分析的技术细节。我们会对我们的结论负责,也会不断进化我们的结论,至少目前来看这是一种靠谱的结论,比那些恐吓来着踏实。
我们需要明白:这个互联网是那样的脆弱,又是那样的顽强,如同我们人类。
(以下内容为小编所加)
名词解释:拖库和撞库
黑客入侵有价值的网站,把注册用户的资料数据库全部盗走,俗称“拖库”。收集到用户名+密码信息后,黑客再尝试用这些用户名+密码批量登陆其他网站,也就是进行“撞库”,由此获得可以登陆的用户。如果用户在多个网站用相同的用户名+密码,一旦在其中一个网站遭“拖库”泄密,则会在其他网站有被“撞库”泄密的风险。
事件背景:12306用户信息大规模泄露
据媒体报道,12月25日上午,漏洞报告平台乌云网出现一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。
这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径目前还不知道。
对此,中国铁路客户服务中心回应称,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。
中国铁路客户服务中心还提醒,不要使用第三方抢票软件购票,或委托第三方网站购票。