抽絲剝繭:浙江衛視就12306泄密事件采訪安恒白帽子
責編:admin |2014-12-29 14:50:2212月26日下午就在鐵路公安部門公布已經抓到了兩個嫌疑人,且官方也下了"撞庫"的結論之后,浙江衛視來到杭州安恒信息技術有限公司對"12306數據泄露"一事進行了相關采訪。安恒研究院也把對該事情的分析過程對記者做了講解。以下是分析的一些過程:
目前網上流傳的多個版本泄漏數據中,只有14M的文件被證實是真實數據, 而其他的版本都沒發現是12306的數據。在知乎上也有人發布了一篇文章,似乎還存在更多的數據:
這些信息的真假目前還無法考證。如果14M數據只是一小部分,后果非常嚴重。
在事情發生的當天中午安恒研究院安全研究人員對互聯網上流傳的14M數據進行了分析:
1. 文件的格式是通過多個減號進行分割,不像是數據庫中直接導出的數據,數據應該通過程序進行了處理,所以這些數據應該不太可能是直接數據庫中存儲的格式。
2. 從14M泄漏信息里抽查了大量郵箱,比照之前互聯網上泄露的數據庫發現,所有郵箱都在之前泄漏的數據庫中存在,并且存在明文的密碼字段, 而密碼的內容和泄漏信息相同,這可以說明這些明文密碼應該是通過之前泄漏的數據庫獲取的。
3. 泄漏的數據很有規律,相鄰的數據都是在同一個庫中出現,所以可以確定,生成泄漏數據文件的方式是通過已泄露的其它數據庫進行批量密碼碰撞或撞庫,并獲得的明文密碼信息。
4. 通過一些互聯網上已經泄露的數據庫的查詢分析,泄漏信息的密碼源主要包括了以下的數據庫:
這些數據庫的數據量大概超過6000萬條
5.對于"撞庫"結論的疑惑:
撞庫是利用其他泄漏的數據庫用戶密碼信息,對另外一個網站進行密碼的碰撞。如果要將6000萬條的數據跑完,每秒嘗試10次需要兩個多月時間才能完成(除非12306完全沒有請求數據限制,或者攻擊者利用了分布式的方式),也有可能只跑了一部分數據,真正能撞到的數據還有更多。
另外一個問題就是驗證碼,12306的PC端的驗證碼比較難識別,但登陸接口并非只有一個,手機APP也存在登陸接口,經過測試也沒有驗證碼。密碼只是md5進行了一次hash,這個接口登陸也不需要進行短信驗證。所以很容易利用這個接口進行撞庫攻擊。如果是撞庫,這是否也暴露出了12306對此類新型攻擊手段的防范意識與手段有待加強呢?
還有一個可能是數據庫信息之前已經泄漏了一部分,這次只是對密文密碼的碰撞所得,這樣12306日志中就監測不到相關的攻擊,目前公布的情況似乎不是這類,但是否真存在其他的地下數據庫就不得而知了。查看一下Web服務器的訪問日志應該就可以很容易確定,但在目前12306多子站安全問題頻發以及該站對撞庫攻擊應對不力的現狀來看,到底會不會存在更嚴重的數據泄露事件,還有待進一步觀察。