雷锋网按:本文作者乌云创始人fenggou。雷锋网所发乌云文章均获作者授权,转载请务必标明来源和作者,不得修改内容。
小时候看科幻故事,作者都喜欢把火星视为脾气暴躁的邻居,一言不合就要玩转地球。但每当地球将被推倒的关键时刻,火星人竟然批量扑街,原因是水土不服被地球细菌感染,最终场面变成人民群众哄抢散落在地上的八爪鱼温馨结尾。这些套路给我留下深刻印象,特别是那些因「水土不服」导致意想不到的转折更加令人着迷。
正文开始前先看一则近期非常火热的安全事件。
Facebook 是因各种打不开而闻名国内的社交网站,其 CEO 马克·扎克伯格是一位互联网传奇人物,倍受黑客关注:)一名为 “OurMine Team” 的 Twitter 账号 at 小扎称他们做了个安全测试,成功搞到了他的 Twitter 等账号密码,要求私信长夜漫漫聊~ 小扎回复:拉倒吧你们才没拿到,边儿凉快去… 然后 “OurMine Team” 愤怒了,直接登录了小扎的账号进行插旗行为:哼,我们在 Linkedin 的数据库中找到了你的常用密码 “dadada” !
Twitter 立刻进行了 VIP 洗地服务,这都是后话(整个事件总有种事先安排的赶脚)。黑客利用人们多处使用相同密码的习惯,用 “dadada” 在各种网站尝试登录小扎的账号,结果就是这是这位大名鼎鼎的 CEO 也栽在这坑里,国内用户纷纷表示慰问 -_-
说到密码,在国内就是个杯具。初期明文存储密码(好点的也就是简单 hash 处理),这庞大的基数、经济价值的云端迁移、大量愿为黑产付费的需求方,共同造就了国内 “脱/撞库” 火热的现状。让数据既有商品、也有了创收工具的形态,令黑产对数据趋之若鹜。另大部分海外企业出现数据泄露或安全事故时,会尽可能主动告知用户影响细节做好应对,而国内企业在发现数据被窃后还处于遮羞避责心态,所以用户难以意识到自己已经身处风险之中。
扯远了,聊完 Twitter 再来看看跟我们生活非常贴近的外企影响案例。Uber 进入中国后给乌云君留下深刻影响的并不是简洁的 UI ,优质的服务,而是那令人担忧的扣款方式(目前滴滴也支持免密支付了)。无需用户进行确认交互,服务完毕司机直接就把钱扣走,将本还有一定限制的支付过程硬生的增加了一个风险等级。黑客不用再攻破复杂的支付限制,只要拿下用户的 Uber 账号就可以躲避信用卡与支付业务严格的风控机制。
乌云白帽子提交多个 Uber 的安全报告,比如 Uber优步客户端接口设计不当可导致撞库攻击、我是如何尝试登陆别人的uber的,发现 Uber 缺乏对中国本土的撞库风气进行考虑,这也是很多洋企的通病:Twitter推特登陆接口可撞库 ,导致的后果就如小扎一样被黑客花样虐待!因为 Uber 的账号是手机号码,所以 Uber 的撞库以及爆破搞起来简直如鱼得水。
图为通过手机号遍历爆破得到的结果,登录破解成功的 Uber 账号,可以成功看到他们的历史出行纪录,几乎每天的活动路线都摸索出来了,每天加班好晚。
当然,你会说这又能有啥?不知道一些 Uber 用户是不是有经历过自己账号被莫名消费的情况,实际上黑产早已经摸索出这种体验非常好的洗钱方式—— Uber 代叫 。他的模式是通过微信或者 QQ 进行线上沟通,你只需支付很低的价格(一般是20~30,随便坐车),告诉他你在哪,要去哪,和联系手机号,不一会车就到位,下车啥都不用管拍拍屁股走人。
你应该明白了,其实这个代叫方就是控制了大量 Uber 账号,通过代叫的方式给 Uber 内的钱洗出来,但不是等价的,正因为乘客能捞这么大便宜,所以代叫服务非常火爆。各种成熟的网店、QQ 群甚至公众号早已铺天盖地。成都商报的记者也曾就 Uber 用户绑定的支付被盗刷通过自己的方式做过一些多方位的调查解密“Uber 代叫”黑色产业链。
国内的 Uber 盗刷情况确实非常糟糕,海外也不见得好到哪儿去。乌云君在 Twitter 上的 #UberAccountHacked 话题中也发现了很多外国网友吐槽账号被盗刷,在中国消费被跑了好多长长长长途。正因这种产品的国际化基因,导致海外的碎片资源得以成功利用…
目前乌云君已经将这些本土化的安全问题反馈给了 Uber ,企业反馈确认问题存在会尽快修复。太多的事实证明,今后的安全挑战不在是单纯的技术漏洞,对于业务的恶意利用,我们落后黑产不知一点半点。因业务问题的爆发,让每个用户都成为专家进行自保是不可能的!用户将财产与数据交予企业保管,企业应当站在积极与黑产对抗的一方,而不是过于明确的划分责任。
对于企业,应该在自己的账户机制上做些主动的防范考虑,比如:
客户端多次登录错误弹出验证码,防止机器登录尝试;
对超出登录异常阈值的 IP 进行封锁;
收紧并尽量统一话碎片登录入口;
给出现异常登录的账号足够的安全提示;
……
还可以看看微软在用户安全上做出硬气的态度与手段,下车给微软司机个五星吧~
在1.17亿LinkedIn用户密码泄露之后,微软宣布它的 Microsoft Account 和Azure AD系统将动态的屏蔽常用密码。
微软称,当有大的密码库泄露,它的安全团队会和安全专家一样去分析其中最常用的密码, 然后将常用的密码加入到它的屏蔽清单中,阻止用户使用。
Microsoft Account系统已经启用了这套动态屏蔽系统,Azure AD系统将在未来几个月启用。