【美高梅娱乐gsxia】1亿用户已泄露,雅虎10亿用户数据泄露企业和网民应该怎么办

178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)

mail.ru 2亿明文数据泄露

背景

【美高梅娱乐gsxia】1亿用户已泄露,雅虎10亿用户数据泄露企业和网民应该怎么办。最近有关国内外互联网企业的密码安全问题受到了严峻的挑战和社区的广泛关注。腾讯安全团队的技术专家介绍了有关暴库和社工库扫描的内容。

常见密码存储方式对于用户来讲,用户密码信息显然是非常重要的,我们当然有必要了解社区管理者是如果保存我们的机密信息的。目前网站中主流存放用户名和密码的方式有三种:

  1. 明文存放。这种网站的用户数据特别危险,网站被黑客拿下,用户数据直接那走。
  2. 可逆加密存放。你的密码会被加密一次存放在网站的数据库中,可逆加密也是非常危险的。
  3. 不可逆加密。密码通过MD5等不可逆加密算法加密后存放在网站数据库中,比上述2种密码加密方式安全。(如果md5加密后的密码泄漏,明文密码仍有通过查找表的方式反查出来的可能)

从目前的情况看,有些网站过去是采用明文的方式存储密码的,那么对于一个账户信息未泄漏的网站,我们如何判断一个网站是采用什么样的密码存储方式呢?

一个很简单的方法,你通过密码找回功能操作,如果让你重设密码的,基本上是不可逆加密的,直接给你密码的,都是明文或可逆加密的,这种都非常危险。

12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G
资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.)

雅虎其实今年8月份就发现账户泄漏的事件,但是一直在隐瞒,直到确定被Verizon收购,才向外界公布了账户泄密一事。原因自然是不想因事故影响使得估值和其它权益受到削弱。如果Verizon早知此事,它对雅虎的收购价大概至少能少掏个1到2亿美元。由此可见数据泄漏会影响到企业的估值以及在业内的影响力。

攻击手法

【美高梅娱乐gsxia】1亿用户已泄露,雅虎10亿用户数据泄露企业和网民应该怎么办。下面我们了解一下,黑客针对后台数据库的入侵手法:

12月25日:知名婚恋网站5261302条帐户信息证实…

【美高梅娱乐gsxia】1亿用户已泄露,雅虎10亿用户数据泄露企业和网民应该怎么办。由于泄密数据频发,为了避免此类事情再次发生、危害更多用户,安全客再此给企业及普通用户一些建议

如何规避风险

我们能做什么来保护自己不被社工库扫描?或将损失降到最低?

推荐做法是:重要账户和普通账户分离。具体操作如下:

  1. 将帐号分类,公司帐号、有钱的帐号(支付宝等)、关系链帐号(朋友、人人等)和普通帐号。前2个为重要账户,关系链帐号较为重要。
  2. 每种账户至少对应一套密码,而且密码之间毫无关系。
  3. 【美高梅娱乐gsxia】1亿用户已泄露,雅虎10亿用户数据泄露企业和网民应该怎么办。每种账户对应的邮箱最好也能不通,因为密码找回往往依赖与注册邮箱。

梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。

美高梅娱乐gsxia 1
雅虎10亿用户数据泄露企业和网民应该怎么办

社工库

在现在爆库泛滥的年代,加之密码破解率很高,社工库扫描也红火起来。简单来说,你可能会在很多网站使用同样的邮箱和密码,社工库扫描就是利用这点,知道你一个账户后,就可以得到其他更有价值的帐号。哪怕密码不相同,这个密码作为暴力破解中的关键字,也能大大提高破解率。

有些网站泄露的密码经过测试,可以使用一个账户成功登陆其他网站,并且提示:“支付密码和登录密码一致,请更改…….”
这就是社工库的威力所在!

有人认为黑客这样做收效太小,没有意义,这点就搞错了。黑客并不是像我朋友那样逐一手工尝试的,而是用非常海量的数据批量扫描的,这样成本是非常低的,规模化的操作,甚至很多中招的人只是黑客意外收获,完全是没有成本的战利品。

对于社工库扫描,网站通常的做法就是验证码(防暴力破解也是这种方法)。但是简单的验证码是很容易识别的,网上流传很多验证码的识别源码。类似下面这些验证码都是可以识别的,源码和dll网上可以找到的。

美高梅娱乐gsxia 2

然而BT的验证码却会伤害用户体验,目前黑客也有应对BT验证码的方法。他们会将验证码集中传回到一个集中的地方,在网上请廉价的网络打工者填写。虽然这种方法成本有所提高,但是对于收益还是很低廉的。

他透露,其中有相当一部分网站采用明文方式存储用户密码,分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储,通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。

3.妥善保管——对于用户的敏感数据应当使用非常规的加密方式,并对内容进行分段存储,避免把鸡蛋放在一个篮子里,同时提提高黑客获取数据、解密数据难度。

爆库

爆库,在黑客的圈子叫做“拖库”,是指将网站的数据库被黑客下载到本地。按照安全技术圈的说法,国内有点影响力的网站,2/3都被爆过库(未证实),不要认为大的网站安全万无一失,防爆库是安全架构里非常重要的一点。

防爆库不仅仅是防止别人拿到你的库,还要做到让别人拿去也没用。

密码明文存储的,一定是死路,可逆加密的,只要黑客用点心,基本也不安全;不可逆的,类似md5
加密(Md5加密方式虽然被我国专家证明可逆,但是逆向的成本很高,基本无人使用)应该很多人认为比较安全,但是遇到碰撞也很无奈。类似于
cmd5.com这样的碰撞库,其规模已经非常巨大,常规的密码的破解几率大于95%,至少,我常用的密码,我断定都在碰撞库里,原因很简单,不在碰撞库
里的密码,就我的记忆力是没戏了。从下图是从一个md5加密过的库中随机挑了一个加密后的密码,可以看出,md5单次加密是很容易破解的。

美高梅娱乐gsxia 3

Md5加密的库

美高梅娱乐gsxia 4

Md5.com上查询结果

那么如何规避这样的行为呢?

一般的做法是两次md5或多次md5等加密保存方法,这种方法很好的避免了加密后的密码在类似cmd5.com这样庞大的碰撞库中出现。但是如果黑
客拿到的数据库够大时,比如1千万的用户数据。有心的黑客会发现加密逻辑,再用一天跑一个几千万乃至过亿常用密码的碰撞库,专门来对付你的数据库,对于黑
客来说不是什么难事。只要字典够好,破解率可以在60%以上。

Discuz就在使用一种低成本的安全密码保护策略,他们使用随机salt二次加密。这种方法会使黑客破解密码的成本大大提高。黑客如果像破解这样
的密码,需要为每一个用户(对应的随机salt)建立一个碰撞库,时间成本很高。对于大量用户的破解,黑客一般是选择放弃,投入产出比太低;但是对与单个
明确目标的话,他们还是会乐于尝试的。

不过得明确一点,爆库不等于密码泄漏。因为被爆库后,密码未必会被黑客破解。爆库+不正确的加密方式才叫密码泄露。

产业链解析

5.完善监控——关键流量、日志行为应当留存半年以上,确保发生安全事件后具有分析溯源的依据和能力,并设置可以及时有效发现黑客攻击、拖库、撞库、数据泄密等事件的感知规则、能力。

展望

被泄密的网站越来越多,下一个也许就是你最常用的网站。赶紧去修改关键账户的密码吧,要不下一个受伤的可能就是你!

12月24日:天涯全面沦陷 泄露多达900W帐户信息…

1.雅虎10亿账户泄漏事件

一个IP用户不同账号同时发了几次微博,那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过10个重复率,那你们之间一定有联系。还有更多的黑客分析算法,目的只有一个这将作为下一个产业链的开始,可以是诈骗,可以是敲诈。因为他知道网民背后所有的秘密。

4.完善制度——最小权限原则,即便是企业的内部员工也不应当可以随意接触到用户的敏感数据

12月25日:178第二次被拖库泄露数据110W条

企业:

12月27日:178.com彻底沦陷,共计泄露超出1100W+ 数据!

2016年5月,LinkedIn被曝出1.67亿个账户被黑客盗取,并以5比特币
(约合2200美元)价格兜售。

12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多….
一场席卷全中国的密码安全问题爆发了….

1.
提升密码强度——及时修改密码,不要使用弱密码,提升密码强度(如8位以上数字、字母和特殊符号组合)。

知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码

2.借助外力——自建或借助第三方漏洞平台征集企业自身无法发现的漏洞

塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱

个人:

12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露

4.数据泄露对企业的影响

12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次

2.
避免通用密码——对于存有不同用户数据的网站使用不同级别的密码,推荐三级或以上

多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称;

本次10亿数据泄密事件由雅虎官方自查发现,并主动告知用户,目前尚无数据公开下载,请勿听信谣言

12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!

包括上述事件在内,全球范围内的大规模泄密数据总量已经超过40亿,下图为某泄密查询网站近期更新的部分泄密数据量:

以下为本次账号泄露的基本时间表:

美高梅娱乐gsxia 5

谁是幕后的主谋?

第二级:使用8位以上数字+字母组合,用于存放少量用户数据、隐私的网站

12月28日:太平洋电脑泄露200W用户资料包含用户帐户

雅虎10亿用户数据泄露企业和网民应该怎么办?2016年对于雅虎公司来说,绝对是梦魇般的一年。今年9月,雅虎正式对外承认黑客曾窃取了至少五亿雅虎用户的账号密码以及个人信息。泄露的信息包括:姓名、电子邮件地址、电话号码和哈希密码。这一事件被定义为雅虎历史上最大的数据泄露事件之一。

相关文章