北京时间 6 月 13 日凌晨,A 站发布公告称网站遭遇黑客攻击,近千万条用户数据外泄,雷锋网今早对此事件进行了报道(点这里)。
不过,在 A 站发布的公告中,雷锋网还发现一些待考究的细节,比如,公告中说泄漏的是 A 站已经加密存储的密码,那既然不是明文密码,泄漏之后会被黑客破解吗?A站所说的更强的密码策略,到底是什么?拖库的部分数据已经能在 github 上看到,A站到底是什么时候知道用户的数据泄漏的?摩拜真的被拖库了?已在暗网上售卖的网站 shell 和 内网权限究竟会对用户和A站产生什么样的影响?
带着这些疑问,雷锋网编辑找到了知道创宇云安全负责人西盟。
在公告中,AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。
也就是说,黑客拿到的并不是你的明文密码,那这些加密存储的密码是否会被很快破解?
西盟告诉雷锋网,一般而言,网站对密码的存储都是加密存储,真实密码是多少,A站也不知道。
比如,你的密码是345678,但在 A 站中,可能是下图红框中的16位或32位的一串数字。
▲某MD5加密算法密码破解网站
只是,加密算法有容易破解的,也有难度较大相对不容易破解的。目前市面上最常见的加密算法是 MD5,由于使用的范围比较广,所以也“成功”吸引了黑客的注意,目前,针对这类加密算法,已经有很多在线的破解网站,而且破解的能力可能有点超出你的想象。
如果你的密码是六位以内的密码,而且你所登录的网站还用的是MD5的加密算法,那么,不用怀疑,只要这家网站被黑客盯上,你的密码一扫一个准(上图中写的是100%)。
在公告中,我们看到A站说自2017年7月7日之后,用了更强的加密算法策略,那这种策略是什么?
西盟猜测,A站此次被拖库,不仅仅是密码的问题,在拖库之前,黑客一定是已经通过SQL或者XSS等漏洞攻击手段入侵了网站,才能被拖库,所以网站本身是有漏洞的,要先堵住漏洞。
而后,再谈真被入侵了,再采取哪些措施。公告中所说的更强的加密策略,西盟猜测应该是升级了加密算法,比如舍弃 MD5,采用了 sha256 等破解难度更高的加密算法。
所以,我们看到公告中说,7月7号他们升级了加密算法,但这只针对用户再次输入密码时才能升级,不输入的话,A站不知道你的原有密码,它数据库中存储的是不可逆的加密数据(虽然部分可能可以通过上面的破解网站破解),也就没有办法直接对原始密码进行重新加密,除非用户重新登录时才可以重新加密存储。而很多用户没有重新登录的话,最后的结果就是,东窗事发,黑客拖库获得了大量的较容易破解的加密数据,上千万用户人心惶惶。
那高危用户现在该怎么办?西盟给出了三点常规建议:
1、重要网站不要和普通 网站用一个密码。
2、密码尽量复杂点。
3、尽量访问https的网站等。
今天,在 A 站发表声明和暗网兜售数据的截图之外,雷锋网编辑还看到了部分在 github 上已经公布的数据,这意味着,黑产不用费劲去弄比特币在暗网上购买,直接点进去就能得到部分用户的泄漏数据。
话说,黑客不打算拿这个卖钱了?
紧接着,雷锋网编辑又看到了底下的这张截图,大意就是黑客早已把安全漏洞报给A站,但是对方不理他们,后来他们被惹毛了~
黑客扬言,6月13日,会在 Github 上公布300条,如果还没有回复,15号会紧接着公布3000条,如果再没有回复,18号就是10000条,还会包括 admin 用户。。。
所以A站选择今天发公告,并不是因为它今天才知道有严重的数据泄漏的!
在网上流传的暗网售卖截图中,与A站并肩出现的还有摩拜。
对于摩拜是否中招的问题,西盟回应,目前他还没有看到有实锤的数据出来,所以不能百分之百肯定。
不过目前,已有售卖的截图在圈内流传。
西盟认为,如果属实,那么,摩拜用户的个人信息,住址、骑行记录(从哪到哪,是不是经常去骑车去酒店开房)、手机、邮箱等数据也可能被泄漏。
此前,csdn也遭遇过明文密码泄漏,更恐怖!联通也中过招,有漏洞可以查到一个手机号的通话记录,比如经常和哪个手机号联系(简直是抓小三神器)。
除了用户的数据泄漏,暗网中兜售的还有网站 SHELL 和内网权限,这会造成哪些后果?
一般来说,shell 是黑客入侵网站服务器后,给网站服务器植入的后门,方便日后面对服务器进行控制,获取数据。那如果被黑客拿到权限,会有哪些后果?
西盟以敏感数据举例,在公司里面一般都会有自己的内网,公网是不能直接访问的,比如内网文件服务器、内网 OA 等,如果黑客拿了网站权限 ,就能知道这家公司真正有多少用户、活跃率如何,平时公关时对外公布的数字是否真实?如果虚假,会直接影响公司融资,然后。。。狗带?
他还总结了一波各类网站被黑客获得 shell 的过程和后果,大家可以感受一下。
1、很多网站拖库后,可以拿到用户的手机号和密码,然后再去试下你的支付宝、微信是不是用的同一个密码之类,或者是把你们网站的用户联系方式卖给其它公司,比如贷款的、卖房的。
2、一些媒体网站被入侵后,被黑客直接用来发博彩广告。(我要把这个例子告诉老板)
3、修改公益网站的捐款网站,偷偷把对外公布的捐款银行帐号改成自己的,反正都是数字一般人也看不懂。
4、入侵电商网站,偷偷给自己充值,或者把1万块钱的东西改成1块钱的,自己一买,然后再把原价改回去。
5、入侵游戏公司,有自己研发的,偷了你们代码,去建私服或者卖掉。
6、把公司合同数据偷回来,然后卖给竞争对手挖墙脚。