经济观察报杨阳/
密码是这样失控的
当谁都能下载到几个最受欢迎网站的用户密码库时,中国互联网——这个看起来人们曾经可以说悄悄话、购物、存储照片、私人信件的虚拟世界正在揭开最后一层危险的面纱。
近半个月以来,CSDN、天涯等网站的用户密码库陆续被爆出被破解并在网上流传。一场公民个人信息的安全危机爆发。
这看上去只是一个偶然事件,但安全圈内人士判断,CSDN网站几年前就已被攻破,只是这种在“地下”流通的东西,现在普通的人就能够拿到而已。这可能拉出来一个更加复杂的链条。本报接触的国内安全圈的人士称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。
安全厂商奇虎360的一位程序员称,此次事件已经突破了以往黑客界的底线——只炫耀比技术或者挣点小钱,不流传不散播。
黑色圣诞
2011年的12月25日注定是一个不安的圣诞节。
中国开发者技术在线社区CS-DN数据库被泄露的消息爆出,用户的明文邮箱和密码被不加密地挂在网上,网民可以下载。
真正的爆发,是在圣诞节之前四天的12月21日上午10点左右,一个QQ用户在一个安全领域的相关QQ群称,自己掌握了CSDN的数据库,随后又发了一条链接——迅雷的共享链接。迅雷的这个链接是只有安装了迅雷软件的用户才能去下载。CSDN的数据库在迅雷里第一次传播。
奇虎360的一位程序员对本报称,起初他并没有太在意,以为是个玩笑,中午去吃饭之前试了一下,结果真的下载成功。他用程序统计了一下,共有600多万行,全部都是明文的邮箱和密码,是“泛ID”,即也可以用来登录京东、凡客或者任何什么用该邮箱做用户名的网站。
在检验这个库的真实性之后,该安全厂商程序员删除了密码库。
但令他震惊的是,金山公司的一位员工韩某,网名为“hzqedison”的却选择了另一种做法,在迅雷快盘上分享了完整数据包,该数据下载链接随即在各大黑客论坛和QQ群中迅速传开。
事态就此升级。“泄密门”当事者“hzqedison”于22日晚发表微博承认传播一事,并向广大网民致歉。
金山公司对此事的解释是,其间hzqedison将部分网上流传密码库分发给同事自查不慎被外人所获知,已迅速删除,仅被个别同事下载。
金山毒霸的一位反病毒工程师李铁军对本报称,其间韩某将部分网上流传密码库分发给同事自查不慎被外人所获知,且hzqedison在获知该链接已被外人获知后,迅速删除了该链接,据删除前统计,该链接仅被不超过5个同事下载,并未造成扩散——韩某并非传言中所谓黑客,不是元凶。
但在迅雷上,链接疯狂地被下载和传播。迅雷公司事后才开始全面清理泄密链接。
当然,中招的不只是CSDN,网上还爆出了天涯、世纪佳缘、珍爱网等知名网站也采用明文密码,用户数据资料被放到网上公开下载。
1月4日,《京华时报》第九版刊载了这样一条消息:从未参加网购的王先生同时接到了几大电子商务网站的货到付款快递,他没有下过订单,但他的名字、联系方式都是对的。问遍了周围的人,王先生也没有找到下单的人。
“臭小子”的帖子
在此次泄密事件中,CSDN、天涯以及很多小网站的明文密码库的总数已达七八千万。除此之外,还有很大一部分是密文数据库,比明文密码库要多很多。
此后,CSDN对此事的解释是,网站早期使用过明文密码(就是保存密码或网络传送密码的时候,用的是可以看到的明文字符,而不是经过加密后的密文),使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。
事实上,一直到2009年4月,CS-DN的程序员才修改了密码保存方式,改成加密密码。但部分老的明文密码未被清理,2010年8月底,CS-DN对账号数据库全部明文密码进行了清理。2011年元旦,CSDN升级改造了CSDN账号管理功能,使用了强加密算法,账号数据库从 Win-dowsServer上的SQL Server迁移到了Linux平台的MySQL数据库,才算初步解决了CSDN账号的各种安全性问题。
也就是说,2009年4月之前CS-DN上用户的信息都是明文密码库,2009年4月之后是加密的,但部分明文密码未清理。2010年8月底清理掉了所有明文密码——CSDN称,从2010年9月开始全部都是安全的,9月之前的有可能不安全。
本报接触的国内安全圈里很多人都称,这两年许多人私下都在交换、共享包括买卖各种地下的网站数据库。不过那时只是传言,不确定。这次,用户的密码库被下载后被证明大约有20%是真实的,其余则是很久以前的,很多账号和密码已经不再使用。
此后陆续被爆出的天涯、7k7k等众多公司的库也并非最新信息,早在12月4日时,这些就在“乌云网”上公布过。乌云网是为黑客向企业提交漏洞搭建的平台,很多黑客会在乌云网上提交漏洞。
一个自称“臭小子”的注册用户发布了一个漏洞标题为《中国各大站点数据库曝光(腾讯的也有)》的漏洞报告,描述为“用户资料大量泄露”,危害等级“高”。
“臭小子”的帖子一发出来没多久立刻就让乌云网的安全爱好者们炸了锅——10点半,网名为“zerack-er”的安全爱好者第一个对“臭小子”的行为进行了评论,并且贴出了《中华人民共和国刑法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》的相关规定。
安全爱好者“xsser”则认为“臭小子”的做法很必要——不放出来网络公司们就意识不到安全的重要性,企业会以为设置个强密码就安全了。“xsser”称企业的这种做法为“把脑袋放沙子里”的鸵鸟行为。
是的,安全爱好者们有的赞成“臭小子”,有的则认为没有必要贴出来,这样做是给自己找麻烦,也是太爱炫了。
不过,所有做安全的程序员都知道,网络世界没有绝对的安全!因为“道高一尺,魔高一丈”!
被抛弃的底线
CSDN的用户信息库被爆出泄露让乌云网负责人感觉这次实在“有点快”——按照他的经验,尽管CSDN网站几年前就已被攻破,但这种在“地下”流通的东西现在居然普通人就能拿到,也足以令他感到震惊——用户的密码库被泄露和扩散得这么快。
在他看来,在网络这个虚拟世界里,掌握了这些密码的人事实上拥有了至高无上的权力——在黑客面前,其实你早就是裸体的。“库这个东西就像内裤,你可以有,但不必在大庭广众之下证明你有”……而当内裤被公之于众时,互联网上最丑恶的一面也展露在公众面前。
被泄露密码库的网站名单中几乎没有出现大网站,但由于很多用户在各个网站注册时使用的都是同一个邮箱和密码,因此泄密事件让整个业界风声鹤唳——美团网在发现网络上有泄密的事件之后也给相关很多用户发去了提醒短信,告诉那些现在被泄露用户尽快修改美团的密码。
一位曾经做过黑客的资深人士透露,2005年,要攻破一个网站其实只需要10分钟。而今天,即便是采用一种号称无法被破解的加密方法——MD5方式,黑客们只要有时间和精力,两三个人花上两个星期也能破解。
一切看起来失控了。
这些被泄露出来的用户资料尽管大部分被证明已经不再使用——仅有20%有效,但如此大规模的泄露在中国互联网历史上还是首次。
乌云网负责人告诉本报,这次的密码事件传播得如此之快出乎他的意料。不过,在他看来,此次的泄露是“偶然中的必然”。
是的,众多网站的用户资料库被“拖”(拖走,黑客行话,即被拷贝)是早就发生的事情。这些被拖走的“库”有两种命运,一种是黑客只是为了炫耀技术而攻击,也不为了赚钱,只是自己做截图后与其他黑客比技术时用作证明。另一种则是被一些黑客用来“挣点小钱”——卖给需要这些用户联系方式的公司,或者自己窃取用户账户里的资产。
以前黑客界也有着一些最基本的游戏规则,他们中的一些人遵循“盗亦有道”的原则,包括不在公众场合描述网络攻击的细节,不向未成年人传授或培训黑客技术,妥善保存可能带来社会风险的用户资料等等。
但是现在,已经无法确定究竟前一种黑客人多,还是后一种黑客是主流。前者被称为“白帽子”——安全工程师、安全研究员和安全技术爱好者,这些“白帽子”大多有自己的工作,他们找到别的网站的漏洞,就提交到乌云网上去。
黑客和白帽子
一个简单的逻辑是,一份隐私库在最初被“拖”走的时候,黑客花的时间和精力最大,库的价值也越高越宝贵——除非他用这个东西获取到足够的资源和利益,否则他不会公开或泄露。慢慢地这个东西越来越多的人有了,人越多在小圈子里流动的就越多,也越不可控——当这个库最后被公布出来时,就意味着已经被卖得太广了。
此前,“白帽子”们提交的漏洞大多得不到网站管理员的重视,乌云网的创立初衷之一就有让他们与网站间建立一个沟通平台的意思。
现在,这些提交漏洞的白帽子已经渐渐开始得到网站的重视和尊重——他们甚至可以通过提交漏洞得到一些公司赠送的小礼物,大多是T恤衫、笔、水杯等等纪念品,是一种象征性的奖励。在乌云网站上,你可以看到的是,连腾讯都向白帽子赠送过“礼物”。
不过,乌云平台已经在2011年12月29日因“系统升级”而无法访问。
乌云网负责人称,最近频繁披露的安全事件及带来的影响表明,一方面企业的整体安全建设还不够完善,同时也反馈出乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。
而在深究此次密码泄露问题上,互联网资深分析师洪波称,不能排除是有个别黑客在针对实名制采取的一种方式。
不愿意透露姓名的中国最早期的黑客之一宋某估计,此次事件应该最少有三个人参与,其中至少有一个人是想试图提醒网民,如果真实的信息被泄露,将是多么可怕的一件事。
在乌云网负责人看来,此次泄密事件正在给人们一个教训:互联网不安全。
是的,只有做安全的人才知道网络世界多么的不安全。
泄密事件发生后,奇虎360公司对本报称,网站数据库泄露的主要原因在于网站漏洞被黑客利用,用户电脑再安全也无济于事。奇虎360通过该公司安全检测平台发现,国内仍有83%的网站存在漏洞,34%为高危漏洞。
20111228/黑客教父详解账号泄露全过程:1亿用户已泄露
腾讯科技/12月28日消息,2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发,其后的48小时,中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。
龚蔚表示,本次黑客公布的用户账号约为1亿个用户账号及密码相关信息,预计地下黑客掌握了更多的互联网用户账号信息,本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角,预计有将近4到6亿的用户账号信息在黑客地下领域流传(2011年互联网数据统计,中国互联网网民为4.8亿),这次被黑客公布爆库的网站数据信息只是黑客地下流传的极少一部分。
他透露,其中有相当一部分网站采用明文方式存储用户密码,分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储,通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。
以下为本次账号泄露的基本时间表:
12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露
12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多……一场席卷全中国的密码安全问题爆发
12月23日:经过确认CSDN泄露、多玩泄露、梦幻西游帐户通过木马泄露、人人网部分泄露
12月23日:网友爆料 天涯沦陷,7K7K包中包含天涯帐户密码
12月24日:178沦陷、UUU9沦陷,事态蔓延
12月24日:天涯全面沦陷,泄露多达900W帐户信息
12月24日:网易土木在线也沦陷,数据量惊人
12月25日:百度疑因帐号开放平台泄露帐户信息
12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露
12月25日:UUU9.COM被黑客两次拖库
12月25日:事态升级天涯疑泄露4000W用户资料
12月25日:178第二次被拖库泄露数据110W条
12月25日:木蚂蚁被爆加密密文用户数据,约13W数据
12月25日:知名婚恋网站5261302条帐户信息证实
12月26日:myspace泄露,迅雷又成功离线3个泄露包
12月26日:ispeak泄露帐户信息 已验证!请官方通知会员修改密码
12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次
12月26日:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露数据不详
12月26日:塞班智能手机网校验准确率高达70%,或塞班智能手机网沦陷
12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G
12月27日:178.com彻底沦陷,共计泄露超出1100W+数据
12月27日:766验证泄露,泄露数据十余万
12月27日:ys168验证泄露,泄露数据三十余万
12月27日:凡客20W 当当10W 卓越20W 用户资料验证泄露
12月28日:太平洋电脑泄露200W用户资料包含用户帐户
12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!
以下为本次账号泄露情况的基本信息表:
CSDN共计泄露640万个帐号,泄漏信息:帐号、明文密码、电子邮件;
多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称;
178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)
天涯:共计泄露4000万个帐号(预计超过4000W数据),泄漏信息:帐号、明文密码、电子邮件
人人网:共计泄露500万个帐号,泄漏信息:明文密码、电子邮件
UUU9.COM:共计泄露700万个帐号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称
网易土木在线:约4.3GB 137个文件,泄漏信息:帐号、MD5加密密码、其他相关数据
梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。
北京麒麟网信息科技有限公司:共计泄露9072966个帐号,泄漏信息:帐户、明文密码
知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码
Ispeak.CN:共计泄露1680271个帐号,泄漏信息:帐户、明文密码、昵称
木蚂蚁:共计泄露13W帐号,泄漏信息:帐户、加密密码、数据库排序ID、其他信息
塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱
766.COM:共计泄露约12W帐号,泄漏信息:帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、数据库排序ID
ys168:共计泄露约30W帐号,泄漏信息:帐户、明文、电子邮箱
当当:共计泄露约10W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话
凡客:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话
卓越:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话
谁是幕后的主谋?
龚蔚认为,从某种意义上说任何一个安全厂商都可能是事件之后直接的利益获得者,首次公布CSDN泄密信息为金山一个不知名的技术人员,但事件的第一个出场人物不是这些数据的最早拥有者,且就算凭借他的一己之力也不可能掌握如此庞大的数据,面对事件带来的极大社会影响谁都可以预知,显然作为长期站在黑客对立面的商业公司肯定不愿意搅这趟浑水。
他表示,从技术分析,一个或者几个联合体的黑客团队完全可能掌握这些庞大的地下信息,但是公布这些信息显然是对他们没有任何价值的,就目前来看还没有一个黑客团队公布对该事件的任何信息,公布近亿的用户数据就为了一个出名显然不可能。
他认为这次得信息泄露就是一场蝴蝶效应,当一部分密码被泄露后,一方面用户首先会做的就是更改他所有网站的密码,而另一方面对于黑客来说,他以前掌握的这些用户账号密码但来自于其他不同的网站,当黑客发现他们的密码将不再有任何的价值和意义时,随即娱乐大众拿出自己掌握的数据来与大家分享一下,用黑客那种独有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反应。
产业链解析
龚蔚称,黑客地下产业细分很明确,一旦获得用户账户信息(黑客们习惯称为刷库),将进行流水化的洗库工作,庞大的群体等待着这些账户密码(黑客俗称洗库),下线洗库的首先判断是否可以登录其他所有的将近500个大型网站,然后分门别类的区分出不同的账号价值,比如短位QQ账号(5位6位的QQ号),带有虚拟币的系统比如支付宝系统,网游系统,通过第一次的刷库将其最直接的虚拟币或游戏账号进行转移,第二梯队根据刷下的库对用户账户信息进行筛选,将用户的一些基本信息进行保存,比如密码习惯,找回密码的答案,然后再根据这些信息去尝试用户其他的账户,同时进行二次刷库。
掌握某些网站的关键维护人员的用户账号信息后,他们的密码很可能就是某些网站的维护密码,这为刷库的黑客带来了更多的入侵机会,他们将会尝试这些管理员的密码扩大入侵的范围,(黑客俗称“社会工程学破解”)。
龚蔚表示,更多的产业链在等着这些刷库工作者,用户数、游戏运营商需要注册用户数,广告商要用户数,刷库的可以在短时间内将任何有需求的注册用户数提升上去,而且都是真实的用户。
他透露,更为可怕的是,根据数据库可以判断出账户的社会关系,如果一个密码数据库里只有5个人用,那就是马甲了。如果一个邮件后缀只有30个用户那你们就是某种特定关系的朋友或者是同事。
一个IP用户不同账号同时发了几次微博,那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过10个重复率,那你们之间一定有联系。还有更多的黑客分析算法,目的只有一个这将作为下一个产业链的开始,可以是诈骗,可以是敲诈。因为他知道网民背后所有的秘密。
他介绍,就算最后所有的价值都被榨取完了,这些账号还是有利用价值的,这些信息将被无情的低价倒卖给一些专门发送垃圾邮件,垃圾广告的群体,你的每一次点击将会给他带来1毛钱的收入。
