“秘密”内网被攻破 匿名APP死期将至?

鞭牛士  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
\

        文/牛智超

该来的终究还是来了。数据泄露,就像是匿名社交软件这个水桶底部的木塞,突然被拔了。

微博用户ringzero(安全从业者)曝出了两张截图,像是无密(秘密更名)的后台,并宣称——#秘密#细节咱们7月乌云见。

“秘密”内网被攻破 匿名APP死期将至?
“秘密”内网被攻破 匿名APP死期将至?
“秘密”内网被攻破 匿名APP死期将至?

这个ringzero就是此前“携程信用卡漏洞”的发现人。

上面“秘密Admin”的管理后台是不是秘密的后台,秘密(无秘)方面并没有回应。

自媒体“人生如戏“在文章中推测:

“这次爆料的动机有几种可能,其中一种是:某黑客早已拖库得手了,玩服务器也玩腻了,于是就公开让行业内震精一下。

最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。”

不过无秘否认被拖库。

无秘在微博声明:

无秘数据库里没有保存手机号,注册时的手机号是为了匹配朋友关系,会经过不可逆加密,同时密钥存放在客户端,即便内部人员也无法知道具体秘密的发布者,请放心使用。

超哥做了个实验,用了一部从未下载过无秘的手机测试,下载无秘后,可以用手机号正常登陆。

就有两种可能:要么存了手机号,要么登陆时经过相同的不可逆加密算法与数据库匹配。

此外,微博网友还有以下疑问:

既然是不可逆加密,为什么还会有密钥呢?

如果密钥保存在客户端,谁知道你和好友手机号被加密成了什么?这样一来,一条信息如何判断是否是你通讯里的好友?

秘密内网被攻破

昨日晚间,乌云漏洞平台上,ID“猪猪侠”,也就是微博上的ringzero发布漏洞:"安全诟病之一无秘网络边界可被绕过成功进入内网"。

“秘密”内网被攻破 匿名APP死期将至?
“秘密”内网被攻破 匿名APP死期将至?

具体细节为:

无觅网网络边界可被绕过,成功进入内网也就代表能够接触到大量的服务器和数据。

测试过程读了一些开发历史文档,发现用户的手机号码信息是被不可逆算法加密的,就算获取到数据库,也无法还原秘密究竟是出自哪个手机号。

貌似每个手机号都对应一个固定的加密值,给所有13*,15*,18*的手机号码段生成一个固定的彩虹表,毕竟手机号资源是有限的(也就几百亿条),找出秘密出自谁手又好像不是那么难,具体实现方法有兴趣的可自行研究。

(彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。

越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上。)

也就是说,秘密发布者存在被破译的可能性。



厂商回复:

无秘技术人员在获知消息后立即联系猪猪侠,并且于30分钟内完成修复。微博消息给部分用户造成误解,目前所知数据库没有泄漏,没有用户有受到影响。同时数据库敏感信息均经过不可逆加密,只有获取了用户的手机才能确切知道秘密的发布者。无秘对信息安全非常重视,如有进一步消息将持续更新。

匿名社交APP的拐点

安全是匿名类社交APP的根本,与电子商务网站的漏洞不一样,泄露地址等信息不算特别大的事。

而在秘密等软件上吐槽别人、炫耀自己约炮之类的被曝光,就是人格的问题了。各路仇家会找上门。

近期也有一大波匿名社交软件出来,秘密被攻破事件后,它们也许会出来大谈自家安全如何坚不可破。

猪猪侠公布的漏洞是“安全诟病之一”,这是一个系列,假如真到了“7月乌云见”,无论拖库是不是属实,匿名社交APP的死期就真的不远了。

随意打赏

提交建议
微信扫一扫,分享给好友吧。