北京時間 6 月 13 日凌晨,A 站發佈公告稱網站遭遇黑客攻擊,近千萬條用戶數據外洩。
不過,在 A 站發佈的公告中,宅客頻道還發現一些待考究的細節,比如,公告中說洩漏的是 A 站已經加密存儲的密碼,那既然不是明文密碼,洩漏之後會被黑客破解嗎?A站所說的更強的密碼策略,到底是什麼?拖庫的部分數據已經能在 github 上看到,A站到底是什麼時候知道用戶的數據洩漏的?摩拜真的被拖庫了?已在暗網上售賣的網站 shell 和 內網權限究竟會對用戶和A站產生什麼樣的影響?
帶著這些疑問,編輯找到了知道創宇雲安全負責人西盟。
1.洩漏的是已經加密存儲的密碼,並不是明文,後果嚴重嗎?
在公告中,AcFun 表示洩露的數據包括用戶 ID、暱稱以及加密存儲的密碼。
也就是說,黑客拿到的並不是你的明文密碼,那這些加密存儲的密碼是否會被很快破解?
西盟告訴宅客頻道,一般而言,網站對密碼的存儲都是加密存儲,真實密碼是多少,A站也不知道。
比如,你的密碼是345678,但在 A 站中,可能是下圖紅框中的16位或32位的一串數字。
▲某MD5加密算法密碼破解網站
只是,加密算法有容易破解的,也有難度較大相對不容易破解的。目前市面上最常見的加密算法是 MD5,由於使用的範圍比較廣,所以也“成功”吸引了黑客的注意,目前,針對這類加密算法,已經有很多在線的破解網站,而且破解的能力可能有點超出你的想象。
如果你的密碼是六位以內的密碼,而且你所登錄的網站還用的是MD5的加密算法,那麼,不用懷疑,只要這家網站被黑客盯上,你的密碼一掃一個準(上圖中寫的是100%)。
2、更強的密碼策略是什麼?普通用戶怎麼辦?
在公告中,我們看到A站說自2017年7月7日之後,用了更強的加密算法策略,那這種策略是什麼?
西盟猜測,A站此次被拖庫,不僅僅是密碼的問題,在拖庫之前,黑客一定是已經通過SQL或者XSS等漏洞攻擊手段入侵了網站,才能被拖庫,所以網站本身是有漏洞的,要先堵住漏洞。
而後,再談真被入侵了,再採取哪些措施。公告中所說的更強的加密策略,西盟猜測應該是升級了加密算法,比如捨棄 MD5,採用了 sha256 等破解難度更高的加密算法。
所以,我們看到公告中說,7月7號他們升級了加密算法,但這隻針對用戶再次輸入密碼時才能升級,不輸入的話,A站不知道你的原有密碼,它數據庫中存儲的是不可逆的加密數據(雖然部分可能可以通過上面的破解網站破解),也就沒有辦法直接對原始密碼進行重新加密,除非用戶重新登錄時才可以重新加密存儲。而很多用戶沒有重新登錄的話,最後的結果就是,東窗事發,黑客拖庫獲得了大量的較容易破解的加密數據,上千萬用戶人心惶惶。
那高危用戶現在該怎麼辦?西盟給出了三點常規建議:
1、重要網站不要和普通 網站用一個密碼。
2、密碼儘量複雜點。
3、儘量訪問https的網站等。
3.拖庫的部分數據已經能在 github 上看到?A站到底是什麼時候知道用戶的數據洩漏的?
今天,在 A 站發表聲明和暗網兜售數據的截圖之外,編輯還看到了部分在 github 上已經公佈的數據,這意味著,黑產不用費勁去弄比特幣在暗網上購買,直接點進去就能得到部分用戶的洩漏數據。
話說,黑客不打算拿這個賣錢了?
緊接著,編輯又看到了底下的這張截圖,大意就是黑客早已把安全漏洞報給A站,但是對方不理他們,後來他們被惹毛了~
黑客揚言,6月13日,會在 Github 上公佈300條,如果還沒有回覆,15號會緊接著公佈3000條,如果再沒有回覆,18號就是10000條,還會包括 admin 用戶。。。
所以A站選擇今天發公告,並不是因為它今天才知道有嚴重的數據洩漏的!
4.摩拜真的被拖庫了嗎?如果屬實,會有哪些後果?
在網上流傳的暗網售賣截圖中,與A站並肩出現的還有摩拜。
對於摩拜是否中招的問題,西盟回應,目前他還沒有看到有實錘的數據出來,所以不能百分之百肯定。
不過目前,已有售賣的截圖在圈內流傳。
西盟認為,如果屬實,那麼,摩拜用戶的個人信息,住址、騎行記錄(從哪到哪,是不是經常去騎車去酒店開房)、手機、郵箱等數據也可能被洩漏。
此前,csdn也遭遇過明文密碼洩漏,更恐怖!聯通也中過招,有漏洞可以查到一個手機號的通話記錄,比如經常和哪個手機號聯繫(簡直是抓小三神器)。
5.獲得 shell 後會產生哪些後果?
除了用戶的數據洩漏,暗網中兜售的還有網站 SHELL 和內網權限,這會造成哪些後果?
一般來說,shell 是黑客入侵網站服務器後,給網站服務器植入的後門,方便日後面對服務器進行控制,獲取數據。那如果被黑客拿到權限,會有哪些後果?
西盟以敏感數據舉例,在公司裡面一般都會有自己的內網,公網是不能直接訪問的,比如內網文件服務器、內網 OA 等,如果黑客拿了網站權限 ,就能知道這家公司真正有多少用戶、活躍率如何,平時公關時對外公佈的數字是否真實?如果虛假,會直接影響公司融資,然後。。。狗帶?
他還總結了一波各類網站被黑客獲得 shell 的過程和後果,大家可以感受一下。
1、很多網站拖庫後,可以拿到用戶的手機號和密碼,然後再去試下你的支付寶、微信是不是用的同一個密碼之類,或者是把你們網站的用戶聯繫方式賣給其它公司,比如貸款的、賣房的。
2、一些媒體網站被入侵後,被黑客直接用來發博彩廣告。(我要把這個例子告訴老闆)
3、修改公益網站的捐款網站,偷偷把對外公佈的捐款銀行帳號改成自己的,反正都是數字一般人也看不懂。
4、入侵電商網站,偷偷給自己充值,或者把1萬塊錢的東西改成1塊錢的,自己一買,然後再把原價改回去。
5、入侵遊戲公司,有自己研發的,偷了你們代碼,去建私服或者賣掉。
6、把公司合同數據偷回來,然後賣給競爭對手挖牆腳。
閱讀更多 宅客 的文章
