“秘密”内网被攻破 匿名APP死期将至?
文/牛智超
该来的终究还是来了。数据泄露,就像是匿名社交软件这个水桶底部的木塞,突然被拔了。
微博用户ringzero(安全从业者)曝出了两张截图,像是无密(秘密更名)的后台,并宣称——#秘密#细节咱们7月乌云见。
这个ringzero就是此前“携程信用卡漏洞”的发现人。
上面“秘密Admin”的管理后台是不是秘密的后台,秘密(无秘)方面并没有回应。
自媒体“人生如戏“在文章中推测:
“这次爆料的动机有几种可能,其中一种是:某黑客早已拖库得手了,玩服务器也玩腻了,于是就公开让行业内震精一下。
最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。”
不过无秘否认被拖库。
无秘在微博声明:
无秘数据库里没有保存手机号,注册时的手机号是为了匹配朋友关系,会经过不可逆加密,同时密钥存放在客户端,即便内部人员也无法知道具体秘密的发布者,请放心使用。
超哥做了个实验,用了一部从未下载过无秘的手机测试,下载无秘后,可以用手机号正常登陆。
就有两种可能:要么存了手机号,要么登陆时经过相同的不可逆加密算法与数据库匹配。
此外,微博网友还有以下疑问:
既然是不可逆加密,为什么还会有密钥呢?
如果密钥保存在客户端,谁知道你和好友手机号被加密成了什么?这样一来,一条信息如何判断是否是你通讯里的好友?
秘密内网被攻破
昨日晚间,乌云漏洞平台上,ID“猪猪侠”,也就是微博上的ringzero发布漏洞:"安全诟病之一无秘网络边界可被绕过成功进入内网"。
具体细节为:
无觅网网络边界可被绕过,成功进入内网也就代表能够接触到大量的服务器和数据。
测试过程读了一些开发历史文档,发现用户的手机号码信息是被不可逆算法加密的,就算获取到数据库,也无法还原秘密究竟是出自哪个手机号。
貌似每个手机号都对应一个固定的加密值,给所有13*,15*,18*的手机号码段生成一个固定的彩虹表,毕竟手机号资源是有限的(也就几百亿条),找出秘密出自谁手又好像不是那么难,具体实现方法有兴趣的可自行研究。
(彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。
越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上。)
也就是说,秘密发布者存在被破译的可能性。
厂商回复:
无秘技术人员在获知消息后立即联系猪猪侠,并且于30分钟内完成修复。微博消息给部分用户造成误解,目前所知数据库没有泄漏,没有用户有受到影响。同时数据库敏感信息均经过不可逆加密,只有获取了用户的手机才能确切知道秘密的发布者。无秘对信息安全非常重视,如有进一步消息将持续更新。
匿名社交APP的拐点
安全是匿名类社交APP的根本,与电子商务网站的漏洞不一样,泄露地址等信息不算特别大的事。
而在秘密等软件上吐槽别人、炫耀自己约炮之类的被曝光,就是人格的问题了。各路仇家会找上门。
近期也有一大波匿名社交软件出来,秘密被攻破事件后,它们也许会出来大谈自家安全如何坚不可破。
猪猪侠公布的漏洞是“安全诟病之一”,这是一个系列,假如真到了“7月乌云见”,无论拖库是不是属实,匿名社交APP的死期就真的不远了。