黑客教父详解账号泄露全过程:1亿用户已泄露
12月28日消息,2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发,其后的48小时,中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。
龚 蔚表示,本次黑客公布的用户账号约为1亿个用户账号及密码相关信息,预计地下黑客掌握了更多的互联网用户账号信息,本次泄露及公布的与实际被黑客掌握的用 户账号数相比只是冰山一角,预计有将近4到6亿的用户账号信息在黑客地下领域流传(2011年互联网数据统计,中国互联网网民为4.8亿),这次被黑客公 布爆库的网站数据信息只是黑客地下流传的极少一部分。
他透露,其中有相当一部分网站采用明文方式存储用户密码,分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储,通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。
以下为本次账号泄露的基本时间表:
12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露
12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多.... 一场席卷全中国的密码安全问题爆发了....
12月23日:经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露
12月23日:网友爆料 天涯沦陷...7K7K包中包含天涯帐户密码!!!互联网安全何在???
12月24日:178沦陷 UUU9沦陷 事态蔓延...
12月24日:天涯全面沦陷 泄露多达900W帐户信息...
12月24日:网易土木在线也沦陷,数据量惊人...
12月25日:百度疑因帐号开放平台泄露帐户信息...
12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露...
12月25日:UUU9.COM被黑客两次拖库..
12月25日:事态升级天涯疑泄露4000W用户资料
12月25日:178第二次被拖库泄露数据110W条
12月25日:木蚂蚁被爆加密密文用户数据,约13W数据
12月25日:知名婚恋网站5261302条帐户信息证实...
12月26日:myspace泄露,迅雷又成功离线3个泄露包!
12月26日:ispeak泄露帐户信息 已验证!请官方通知会员修改密码!
12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次
12月26日:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露数据不详
12月26日:塞班智能手机网校验准确率高达70%!!或塞班智能手机网沦陷
12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G 资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.)
12月27日:178.com彻底沦陷,共计泄露超出1100W+ 数据!
12月27日:766验证泄露,泄露数据十余万!
12月27日:ys168验证泄露,泄露数据三十余万!
12月27日:凡客20W 当当10W 卓越20W 用户资料验证泄露
12月28日:太平洋电脑泄露200W用户资料包含用户帐户
12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!
以下为本次账号泄露情况的基本信息表:
CSDN共计泄露640万个帐号,泄漏信息:帐号、明文密码、电子邮件;
多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称;
178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)
天涯:共计泄露4000万个帐号(预计超过4000W数据),泄漏信息:帐号、明文密码、电子邮件
人人网:共计泄露500万个帐号,泄漏信息:明文密码、电子邮件
UUU9.COM:共计泄露700万个帐号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称
网易土木在线:约4.3GB 137个文件,泄漏信息:帐号、MD5加密密码、其他相关数据
梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。
北京麒麟网信息科技有限公司:共计泄露9072966个帐号,泄漏信息:帐户、明文密码
知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码
Ispeak.CN:共计泄露1680271个帐号,泄漏信息:帐户、明文密码、昵称
木蚂蚁:共计泄露13W帐号,泄漏信息:帐户、加密密码、数据库排序ID、其他信息
塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱
766.COM:共计泄露约12W帐号,泄漏信息:帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、数据库排序ID
ys168:共计泄露约30W帐号,泄漏信息:帐户、明文、电子邮箱
当当:共计泄露约10W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话
凡客:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话
卓越:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、,电话
谁是幕后的主谋?
龚 蔚认为,从某种意义上说任何一个安全厂商都可能是事件之后直接的利益获得者,首次公布CSDN泄密信息为金山一个不知名的技术人员,但事件的第一个出场人 物不是这些数据的最早拥有者,且就算凭借他的一己之力也不可能掌握如此庞大的数据,面对事件带来的极大社会影响谁都可以预知,显然作为长期站在黑客对立面 的商业公司肯定不愿意搅这趟浑水。
他表示,从技术分析,一个或者几个联合体的黑客团队完全可能掌握这些庞大的地下信息,但是公布这些信息显然是对他们没有任何价值的,就目前来看还没有一个黑客团队公布对该事件的任何信息,公布近亿的用户数据就为了一个出名显然不可能。
他 认为这次得信息泄露就是一场蝴蝶效应,当一部分密码被泄露后,一方面用户首先会做的就是更改他所有网站的密码,而另一方面对于黑客来说,他以前掌握的这些 用户账号密码但来自于其他不同的网站,当黑客发现他们的密码将不再有任何的价值和意义时,随即娱乐大众拿出自己掌握的数据来与大家分享一下,用黑客那种独 有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反应。
产业链解析
龚 蔚称,黑客地下产业细分很明确,一旦获得用户账户信息(黑客们习惯称为刷库),将进行流水化的洗库工作,庞大的群体等待着这些账户密码(黑客俗称洗库), 下线洗库的首先判断是否可以登录其他所有的将近500个大型网站,然后分门别类的区分出不同的账号价值,比如短位QQ账号(5位6位的QQ号),带有虚拟 币的系统比如支付宝系统,网游系统,通过第一次的刷库将其最直接的虚拟币或游戏账号进行转移,第二梯队根据刷下的库对用户账户信息进行筛选,将用户的一些 基本信息进行保存,比如密码习惯,找回密码的答案,然后再根据这些信息去尝试用户其他的账户,同时进行二次刷库。
掌握某些网站的关键维护人员的用户账号信息后,他们的密码很可能就是某些网站的维护密码,这为刷库的黑客带来了更多的入侵机会,他们将会尝试这些管理员的密码扩大入侵的范围,(黑客俗称“社会工程学破解”)。
龚蔚表示,更多的产业链在等着这些刷库工作者,用户数、游戏运营商需要注册用户数,广告商要用户数,刷库的可以在短时间内将任何有需求的注册用户数提升上去,而且都是真实的用户。
他透露,更为可怕的是,根据数据库可以判断出账户的社会关系,如果一个密码数据库里只有5个人用,那就是马甲了。如果一个邮件后缀只有30个用户那你们就是某种特定关系的朋友或者是同事。
一个IP用户不同账号同时发了几次微博,那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过10个重复率,那你们之间一定有联系。还有更多的黑客分析算法,目的只有一个这将作为下一个产业链的开始,可以是诈骗,可以是敲诈。因为他知道网民背后所有的秘密。
他介绍,就算最后所有的价值都被榨取完了,这些账号还是有利用价值的,这些信息将被无情的低价倒卖给一些专门发送垃圾邮件,垃圾广告的群体,你的每一次点击将会给他带来1毛钱的收入。