请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 立即注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 1632|回复: 2

[ISO27001管理体系实践] 黑客刷库谁来保护用户信息安全

  [复制链接]
发表于 2011-12-30 11:03:22 | 显示全部楼层 |阅读模式
黑客刷库谁来保护用户信息安全

 “黑”入网站服务器、窃取用户资料库的行为,在网络安全领域被形象地称为“刷库”。   时至岁末,一场本年度最大互联网安全事件密码泄露风暴席卷而来。12月25日下午消息,天涯社区密码泄露,这是继21日CSDN的用户数据库泄露,多家SNS、游戏网站遭泄露之后,又爆出的一批名单。这两天,各大网站纷纷通知自己的用户修改密码。26日凌晨,有人爆料新浪微博用户密码也遭泄露,随后一天,此消息被删除,但用户不禁噤若寒蝉。
  如今,包括CSDN、人人网、多玩游戏、7K7K小游戏和天涯社区等大批网站的用户资料已经泄露。据初步评估,目前网上公开暴露的网络账户密码有超过1亿个。黑客究竟掌握了自己多少秘密?下一份名单什么时候被释放出来?无人能给出答案。
  ●刷库:获取网民的账号密码数据
  此前报道显示,今年,Groupon、世嘉、宏 ,甚至是国际货币基金组织(IMF)等知名机构都曾遭遇入侵,并造成上千万的客户资料泄露。其中,索尼被“黑”引发了有史以来最为严重的数据泄露。
  除刷库外,还有一种黑客手法叫“撞库”,指黑客用刷库所得的海量注册邮箱和密码,在电子支付、微博、聊天、购物等不同平台上试探登录,如果有人习惯使用相同的注册邮箱和密码,很容易会被黑客撞库盗号。
  25日,新浪认证的企业微博“乌云-漏洞报告平台”爆料:“天涯社区4000W用户明文密码泄漏”,随后,加V用户宁财神在自己的微博写道:“我在天涯的账号已经被黑,无法登录”。此前,从12月21日开始,有黑客陆续在网上公开了知名程序员网站CSDN的用户数据库,600万个明文的注册邮箱账号和密码遭曝光外泄,成为今年我国一次重大的网络安全事故。这份名为“CSDN-中文IT社区-600万.rar”的文件已在网上传播。据悉,被“刷库”网站包括多家SNS网站和游戏网站等。
  业内人士表示,通过技术验证,初步评估目前网上公开暴露的网络账户密码有1亿个。除此之外,预计还有许多已被盗取但尚未被公开传播的网络用户信息。
  ●明文密码:被盗资料数据包可卖上百万元
  近期遭泄密的账号对应的都是明文密码,也就是说是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候,填写密码时都用“*”号代替并没有直接显示,而且网站还都宣称在后台会高度加密。据悉,CSDN网站会员囊括了中国地区90%以上的优秀程序员,那这份明文密码文件该如何解释呢?目前该网站还未作出回应。
  按照惯例,网站应使用不可逆算法对用户密码进行处理,加密存储在网站数据库中,其作用仅限于当用户登录账号时验证密码是否输入正确。这样即便有人查看网站数据库中的用户密码,看到的也是处理后的字符串,而不是明文密码。
  专家分析,网站数据库泄密有两种情况,第一种是被黑客攻击入侵,在国内外各种网站的用户注册协议中,通常会把这种因素写在免责条款中,只是很少有用户在注册网络服务时会关注这份协议;第二种是网站管理者有意泄露甚至出卖用户数据,这种情况应担负刑事责任。中国著名黑客、中国CAD/CAM协会会员徐小榕日前在做客开心访谈时称,攻击者可能会整理出有价值的账户,如VIP账户,借机扰乱网站秩序,传播虚假、欺诈信息,甚至直接进行网络诈骗等等。也可能利用社会工程学反查用户邮箱密码,进一步窃取用户隐私。
  有安全领域人士猜测,目前泄密的资料可能只是一小部分,更多的数据或已被黑客转手卖钱。该人士透露,这些数据在黑客圈中所谓的“黑市”里销售,一个打包“产品”甚至可以叫价上百万元。
  ●“一号通”:用户喜欢但最不安全
  信息安全专家、安天实验室技术发言人苗得雨认为,中国国内最主要的安全问题是大家的安全意识较差。大量用户数据被公开后,据统计结果显示,有239万人的密码和别人存在重复。在所有密码中,最简单好记的“9”使用率最高,有23.5万人在使用;其次为“”有21万多人使用;“11111111”有7万多人使用。
  由于很多网民为各种网站设置了相同的账号密码,只要其中一个失窃,黑客就等于得到了一把万能钥匙。而据透露,国内一些黑客已开始利用从论坛上窃得的资料,在第三方支付平台发起“一元订单”交易,从而试探出哪些账号密码恰好能进入受害者的支付账户,之后就会将其中的余额盗取。
  针对当前情况,多家安全厂商推出紧急应对服务。金山网络紧急推出了密码是否泄露的快速查询服务。同时,金山毒霸“百宝箱”中新增了鉴定用户密码安全性的功能“密码专家”。金山网络安全专家李铁军表示,不少网民在众多网站中均使用相同的账号和密码,一旦一家网站用户数据被暴露,网民的邮箱、社交网站、微博等个人私密性很强的信息极易被泄露,因此建议网民尽快修改为安全性更高的上网密码,同时应有意识地对密码进行分级管理,常用邮箱、聊天软件、网上支付等重要账号分别单独设置密码,并定期更换。
  文/靳荣
  制图/姜楠
  多款安卓手机管理软件存WiFi漏洞
  ●链接●
  就在CSDN泄密事件还未平息之时,金山网络发布橙色安全预警称,多款安卓(Android)手机管理软件存在安全漏洞,并提醒广大安卓用户尽快升级软件程序修复漏洞。
  金山网络安全专家李铁军介绍,这类软件主要通过FTP服务来管理手机文件,但如果技术实现存在漏洞,就会导致在同一网络下的计算设备均能够登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中,攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息,包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。
  由于影响较大,该风险引发了安全机构的极大重视,金山安全中心对此进行了专门的技术分析并发布了研究报告。报告显示,360手机精灵、豌豆荚、腾讯手机助手这三款软件均存在安全漏洞。目前,这三款软件在发现漏洞之后均进行了升级。但金山安全中心分析发现,即使升级之后,新解决方案仍然存在较大的安全风险。金山网络提醒安卓手机用户尽快升级软件,或者更换更为安全的手机管理软件。同时建议软件厂商在做技术方案时要充分考虑用户数据安全问题。
  截至2011年第三季度,中国网民拥有的安卓手机总量约2500万台。上述三款手机管理软件覆盖国内约80%的安卓用户,因此该WiFi漏洞可能影响数千万安卓用户。








房孝强






上一篇:ISO
下一篇:CSDN泄密原理剖析与破解攻略
发表于 2012-1-4 15:52:35 | 显示全部楼层
深有体会,我的邮箱被盗了:'(
发表于 2020-11-25 16:41:58 | 显示全部楼层
超赞的资料,学习中
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

参加 ITIL 4 基础和专家认证、长河ITIL实战沙盘、DevOps基础级认证、ITSS服务经理认证报名

QQ|ITIL先锋论坛 ( 粤ICP备11099876号 )|appname

GMT+8, 2022-7-2 21:53 , Processed in 0.093994 second(s), 29 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表