產(chǎn)品列表 |
|
|
聯(lián)系方式 |
|
江蘇太田機械有限公司 手 機:13328070865 傳 真:0513-81804802 聯(lián)系人:張先生 地址:江蘇省海安李堡北工業(yè)園
|
|
|
|
新聞動態(tài) 您現(xiàn)在的位置:首頁--新聞動態(tài) |
|
A 站數(shù)據(jù)泄漏后,我們深究了這 5 個細節(jié) |
|
北京時間 6 月 13 日凌晨,A 站發(fā)布公告稱網(wǎng)站遭遇黑客攻擊,近千萬條用戶數(shù)據(jù)外泄。不過,在 A 站發(fā)布的公告中,宅客頻道還發(fā)現(xiàn)一些待考究的細節(jié),比如,公告中說泄漏的是 A 站已經(jīng)加密存儲的密碼,那既然不是明文密碼,泄漏之后會被黑客破解嗎?A站所說的更強的密碼策略,到底是什么?拖庫的部分數(shù)據(jù)已經(jīng)能在 github 上看到,A站到底是什么時候知道用戶的數(shù)據(jù)泄漏的?摩拜真的被拖庫了?已在暗網(wǎng)上售賣的網(wǎng)站 shell 和 內(nèi)網(wǎng)權(quán)限究竟會對用戶和A站產(chǎn)生什么樣的影響?
1.泄漏的是已經(jīng)加密存儲的密碼,并不是明文,后果嚴重嗎?
在公告中,AcFun 表示泄露的數(shù)據(jù)包括用戶 ID、昵稱以及加密存儲的密碼。也就是說,黑客拿到的并不是你的明文密碼,那這些加密存儲的密碼是否會被很快破解?西盟告訴宅客頻道,一般而言,網(wǎng)站對密碼的存儲都是加密存儲,真實密碼是多少,A站也不知道。
比如,你的密碼是345678,但在 A 站中,可能是紅框中的16位或32位的一串數(shù)字。只是,加密算法有容易破解的,也有難度較大相對不容易破解的。目前市面上最常見的加密算法是 MD5,由于使用的范圍比較廣,所以也“成功”吸引了黑客的注意,目前,針對這類加密算法,已經(jīng)有很多在線的破解網(wǎng)站,而且破解的能力可能有點超出你的想象。
如果你的密碼是六位以內(nèi)的密碼,而且你所登錄的網(wǎng)站還用的是MD5的加密算法,那么,不用懷疑,只要這家網(wǎng)站被黑客盯上,你的密碼一掃一個準。
2、更強的密碼策略是什么?普通用戶怎么辦?
在公告中,我們看到A站說自2017年7月7日之后,用了更強的加密算法策略,那這種策略是什么?西盟猜測,A站此次被拖庫,不僅僅是密碼的問題,在拖庫之前,黑客一定是已經(jīng)通過SQL或者XSS等漏洞攻擊手段入侵了網(wǎng)站,才能被拖庫,所以網(wǎng)站本身是有漏洞的,要先堵住漏洞。
而后,再談真被入侵了,再采取哪些措施。公告中所說的更強的加密策略,西盟猜測應該是升級了加密算法,比如舍棄 MD5,采用了 sha256 等破解難度更高的加密算法。
所以,我們看到公告中說,7月7號他們升級了加密算法,但這只針對用戶再次輸入密碼時才能升級,不輸入的話,A站不知道你的原有密碼,它數(shù)據(jù)庫中存儲的是不可逆的加密數(shù)據(jù)(雖然部分可能可以通過上面的破解網(wǎng)站破解),也就沒有辦法直接對原始密碼進行重新加密,除非用戶重新登錄時才可以重新加密存儲。而很多用戶沒有重新登錄的話,最后的結(jié)果就是,東窗事發(fā),黑客拖庫獲得了大量的較容易破解的加密數(shù)據(jù),上千萬用戶人心惶惶。
那高危用戶現(xiàn)在該怎么辦?西盟給出了三點常規(guī)建議:
1、重要網(wǎng)站不要和普通 網(wǎng)站用一個密碼。
2、密碼盡量復雜點。
3、盡量訪問https的網(wǎng)站等。
3.拖庫的部分數(shù)據(jù)已經(jīng)能在 github 上看到?A站到底是什么時候知道用戶的數(shù)據(jù)泄漏的?
今天,在 A 站發(fā)表聲明和暗網(wǎng)兜售數(shù)據(jù)的截圖之外,編輯還看到了部分在 github 上已經(jīng)公布的數(shù)據(jù),這意味著,黑產(chǎn)不用費勁去弄比特幣在暗網(wǎng)上購買,直接點進去就能得到部分用戶的泄漏數(shù)據(jù)。話說,黑客不打算拿這個賣錢了?
黑客揚言,6月13日,會在 Github 上公布300條,如果還沒有回復,15號會緊接著公布3000條,如果再沒有回復,18號就是10000條,還會包括 admin 用戶。。。
所以A站選擇今天發(fā)公告,并不是因為它今天才知道有嚴重的數(shù)據(jù)泄漏的!
4.摩拜真的被拖庫了嗎?如果屬實,會有哪些后果?
在網(wǎng)上流傳的暗網(wǎng)售賣截圖中,與A站并肩出現(xiàn)的還有摩拜。對于摩拜是否中招的問題,西盟回應,目前他還沒有看到有實錘的數(shù)據(jù)出來,所以不能百分之百肯定。
不過目前,已有售賣的截圖在圈內(nèi)流傳。
認為,如果屬實,那么,摩拜用戶的個人信息,住址、騎行記錄(從哪到哪,是不是經(jīng)常去騎車去酒店開房)、手機、郵箱等數(shù)據(jù)也可能被泄漏。
此前,csdn也遭遇過明文密碼泄漏,更恐怖!聯(lián)通也中過招,有漏洞可以查到一個手機號的通話記錄,比如經(jīng)常和哪個手機號聯(lián)系(簡直是抓小三神器)。
5.獲得 shell 后會產(chǎn)生哪些后果?
除了用戶的數(shù)據(jù)泄漏,暗網(wǎng)中兜售的還有網(wǎng)站 SHELL 和內(nèi)網(wǎng)權(quán)限,這會造成哪些后果?一般來說,shell 是黑客入侵網(wǎng)站服務器后,給網(wǎng)站服務器植入的后門,方便日后面對服務器進行控制,獲取數(shù)據(jù)。那如果被黑客拿到權(quán)限,會有哪些后果?
以敏感數(shù)據(jù)舉例,在公司里面一般都會有自己的內(nèi)網(wǎng),公網(wǎng)是不能直接訪問的,比如內(nèi)網(wǎng)文件服務器、內(nèi)網(wǎng) OA 等,如果黑客拿了網(wǎng)站權(quán)限 ,就能知道這家公司真正有多少用戶、活躍率如何,平時公關時對外公布的數(shù)字是否真實?如果虛假,會直接影響公司融資,然后。。。狗帶?
他還總結(jié)了一波各類網(wǎng)站被黑客獲得 shell 的過程和后果,大家可以感受一下。
1、很多網(wǎng)站拖庫后,可以拿到用戶的手機號和密碼,然后再去試下你的支付寶、微信是不是用的同一個密碼之類,或者是把你們網(wǎng)站的用戶聯(lián)系方式賣給其它公司,比如貸款的、賣房的。
2、一些媒體網(wǎng)站被入侵后,被黑客直接用來發(fā)博彩廣告。(我要把這個例子告訴老板)
3、修改公益網(wǎng)站的捐款網(wǎng)站,偷偷把對外公布的捐款銀行帳號改成自己的,反正都是數(shù)字一般人也看不懂。
4、入侵電商網(wǎng)站,偷偷給自己充值,或者把1萬塊錢的東西改成1塊錢的,自己一買,然后再把原價改回去。
5、入侵游戲公司,有自己研發(fā)的,偷了你們代碼,去建私服或者賣掉。
6、把公司合同數(shù)據(jù)偷回來,然后賣給競爭對手挖墻腳。
通過上文的介紹,相信大家對A 站數(shù)據(jù)泄漏后,我們深究了這 5 個細節(jié)也有了進一步的了解,希望大家一定要注意這五個細節(jié)哦。 | |
|