“秘密”內網被攻破 匿名APP死期將至?
責編:admin |2014-06-30 12:25:57該來的終究還是來了。數據泄露,就像是匿名社交軟件這個水桶底部的木塞,突然被拔了。
微博用戶ringzero(安全從業者)曝出了兩張截圖,像是無密(秘密更名)的后臺,并宣稱——#秘密#細節咱們7月烏云見。
這個ringzero就是此前“攜程信用卡漏洞”的發現人。
上面“秘密Admin”的管理后臺是不是秘密的后臺,秘密(無秘)方面并沒有回應。
自媒體“人生如戲“在文章中推測:
“這次爆料的動機有幾種可能,其中一種是:某黑客早已拖庫得手了,玩服務器也玩膩了,于是就公開讓行業內震精一下。
最近匿名社交打得很厲害,于是黑客成為了競爭中的兵器,在已拖庫的前提下,爆料漏洞,可以起到公關上震懾的效果,如果是這個可能性的話,黑客可能掌握了非常多的商業機密和用戶隱私,很可能有很多后續問題。無秘不認真處理的話,還會有更多問題爆料出來。”
不過無秘否認被拖庫。
無秘在微博聲明:
無秘數據庫里沒有保存手機號,注冊時的手機號是為了匹配朋友關系,會經過不可逆加密,同時密鑰存放在客戶端,即便內部人員也無法知道具體秘密的發布者,請放心使用。
超哥做了個實驗,用了一部從未下載過無秘的手機測試,下載無秘后,可以用手機號正常登陸。
就有兩種可能:要么存了手機號,要么登陸時經過相同的不可逆加密算法與數據庫匹配。
此外,微博網友還有以下疑問:
既然是不可逆加密,為什么還會有密鑰呢?
如果密鑰保存在客戶端,誰知道你和好友手機號被加密成了什么?這樣一來,一條信息如何判斷是否是你通訊里的好友?
秘密內網被攻破
昨日晚間,烏云漏洞平臺上,ID“豬豬俠”,也就是微博上的ringzero發布漏洞:"安全詬病之一無秘網絡邊界可被繞過 成功進入內網 "。
具體細節為:
無覓網網絡邊界可被繞過,成功進入內網也就代表能夠接觸到大量的服務器和數據。
測試過程讀了一些開發歷史文檔,發現用戶的手機號碼信息是被不可逆算法加密的,就算獲取到數據庫,也無法還原秘密究竟是出自哪個手機號。
貌似每個手機號都對應一個固定的加密值,給所有13*,15*,18*的手機號碼段生成一個固定的彩虹表,畢竟手機號資源是有限的(也就幾百億條),找出秘密出自誰手又好像不是那么難,具體實現方法有興趣的可自行研究。
(彩虹表就是一個龐大的、針對各種可能的字母組合預先計算好的哈希值的集合,不一定是針對MD5算法的,各種算法的都有,有了它可以快速的破解各類密碼。
越是復雜的密碼,需要的彩虹表就越大,現在主流的彩虹表都是100G以上。)
也就是說,秘密發布者存在被破譯的可能性。就內網被攻破目前廠商還未回應。
匿名社交APP的拐點
安全是匿名類社交APP的根本,與電子商務網站的漏洞不一樣,泄露地址等信息不算特別大的事。
而在秘密等軟件上吐槽別人、炫耀自己約炮之類的被曝光,就是人格的問題了。各路仇家會找上門。
近期也有一大波匿名社交軟件出來,秘密被攻破事件后,它們也許會出來大談自家安全如何堅不可破。
豬豬俠公布的漏洞是“安全詬病之一”,這是一個系列,假如真到了“7月烏云見”,無論拖庫是不是屬實,匿名社交APP的死期就真的不遠了。