×
搜索
热搜词
ITIL培训
ITIL认证
ITIL课程
DevOps认证
ITSS培训
新手福利
ITIL考证
干货下载
ITIL沙盘实战
ITIL聚会
专家直播
开源ITIL软件
登录
注册
登录ITIL培训更精彩
下次自动登录
忘记密码
立即注册
登录
其他帐号登录:
扫描二维码登录本站
用户组:游客
主题
帖子
威望
我的帖子
我的收藏
我的好友
我的勋章
设置
退出
退出
ITIL培训
»
论坛交流
›
核心讨论区
›
IT服务管理体系与数字化转型专栏
›
黑客刷库谁来保护用户信息安全
黑客刷库谁来保护用户信息安全
Solo
2011-12-30
2442
0
2
IT服务管理体系与数字化转型专栏
/
倒序浏览
© 著作权归作者本人所有
标签:
暂无标签
黑客刷库谁来保护用户信息安全
“黑”入网站服务器、窃取用户资料库的行为,在网络安全领域被形象地称为“刷库”。 时至岁末,一场本年度最大互联网安全事件密码泄露风暴席卷而来。12月25日下午消息,天涯社区密码泄露,这是继21日CSDN的用户数据库泄露,多家SNS、游戏网站遭泄露之后,又爆出的一批名单。这两天,各大网站纷纷通知自己的用户修改密码。26日凌晨,有人爆料新浪微博用户密码也遭泄露,随后一天,此消息被删除,但用户不禁噤若寒蝉。
如今,包括CSDN、人人网、多玩游戏、7K7K小游戏和天涯社区等大批网站的用户资料已经泄露。据初步评估,目前网上公开 的网络账户密码有超过1亿个。黑客究竟掌握了自己多少秘密?下一份名单什么时候被释放出来?无人能给出答案。
●刷库:获取网民的账号密码数据
此前报道显示,今年,Groupon、世嘉、宏 ,甚至是国际货币基金组织(IMF)等知名机构都曾遭遇入侵,并造成上千万的客户资料泄露。其中,索尼被“黑”引发了有史以来最为严重的数据泄露。
除刷库外,还有一种黑客手法叫“撞库”,指黑客用刷库所得的海量注册邮箱和密码,在电子支付、微博、聊天、购物等不同平台上试探登录,如果有人习惯使用相同的注册邮箱和密码,很容易会被黑客撞库盗号。
25日,新浪认证的企业微博“乌云-漏洞报告平台”爆料:“天涯社区4000W用户明文密码泄漏”,随后,加V用户宁财神在自己的微博写道:“我在天涯的账号已经被黑,无法登录”。此前,从12月21日开始,有黑客陆续在网上公开了知名程序员网站CSDN的用户数据库,600万个明文的注册邮箱账号和密码遭曝光外泄,成为今年我国一次重大的网络安全事故。这份名为“CSDN-中文IT社区-600万.rar”的文件已在网上传播。据悉,被“刷库”网站包括多家SNS网站和游戏网站等。
业内人士表示,通过技术验证,初步评估目前网上公开 的网络账户密码有1亿个。除此之外,预计还有许多已被盗取但尚未被公开传播的网络用户信息。
●明文密码:被盗资料数据包可卖上百万元
近期遭泄密的账号对应的都是明文密码,也就是说是没有经过加密可以直接看懂的密码。而一般用户在网站注册的时候,填写密码时都用“*”号代替并没有直接显示,而且网站还都宣称在后台会高度加密。据悉,CSDN网站会员囊括了中国地区90%以上的优秀程序员,那这份明文密码文件该如何解释呢?目前该网站还未作出回应。
按照惯例,网站应使用不可逆算法对用户密码进行处理,加密存储在网站数据库中,其作用仅限于当用户登录账号时验证密码是否输入正确。这样即便有人查看网站数据库中的用户密码,看到的也是处理后的字符串,而不是明文密码。
专家分析,网站数据库泄密有两种情况,第一种是被黑客攻击入侵,在国内外各种网站的用户注册协议中,通常会把这种因素写在免责条款中,只是很少有用户在注册网络服务时会关注这份协议;第二种是网站管理者有意泄露甚至出卖用户数据,这种情况应担负刑事责任。中国著名黑客、中国CAD/CAM协会会员徐小榕日前在做客开心访谈时称,攻击者可能会整理出有价值的账户,如VIP账户,借机扰乱网站秩序,传播虚假、欺诈信息,甚至直接进行网络诈骗等等。也可能利用社会工程学反查用户邮箱密码,进一步窃取用户隐私。
有安全领域人士猜测,目前泄密的资料可能只是一小部分,更多的数据或已被黑客转手卖钱。该人士透露,这些数据在黑客圈中所谓的“黑市”里销售,一个打包“产品”甚至可以叫价上百万元。
●“一号通”:用户喜欢但最不安全
信息安全专家、安天实验室技术发言人苗得雨认为,中国国内最主要的安全问题是大家的安全意识较差。大量用户数据被公开后,据统计结果显示,有239万人的密码和别人存在重复。在所有密码中,最简单好记的“9”使用率最高,有23.5万人在使用;其次为“”有21万多人使用;“11111111”有7万多人使用。
由于很多网民为各种网站设置了相同的账号密码,只要其中一个失窃,黑客就等于得到了一把万能钥匙。而据透露,国内一些黑客已开始利用从ITIL培训基地上窃得的资料,在第三方支付平台发起“一元订单”交易,从而试探出哪些账号密码恰好能进入受害者的支付账户,之后就会将其中的余额盗取。
针对当前情况,多家安全厂商推出紧急应对服务。金山网络紧急推出了密码是否泄露的快速查询服务。同时,金山毒霸“百宝箱”中新增了鉴定用户密码安全性的功能“密码专家”。金山网络安全专家李铁军表示,不少网民在众多网站中均使用相同的账号和密码,一旦一家网站用户数据被 ,网民的邮箱、社交网站、微博等个人私密性很强的信息极易被泄露,因此建议网民尽快修改为安全性更高的上网密码,同时应有意识地对密码进行分级管理,常用邮箱、聊天软件、网上支付等重要账号分别单独设置密码,并定期更换。
文/靳荣
制图/姜楠
多款安卓手机管理软件存WiFi漏洞
●链接●
就在CSDN泄密事件还未平息之时,金山网络发布橙色安全预警称,多款安卓(Android)手机管理软件存在安全漏洞,并提醒广大安卓用户尽快升级软件程序修复漏洞。
金山网络安全专家李铁军介绍,这类软件主要通过FTP服务来管理手机文件,但如果技术实现存在漏洞,就会导致在同一网络下的计算设备均能够登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中,攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息,包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。
由于影响较大,该风险引发了安全机构的极大重视,金山安全中心对此进行了专门的技术分析并发布了研究报告。报告显示,360手机精灵、豌豆荚、腾讯手机助手这三款软件均存在安全漏洞。目前,这三款软件在发现漏洞之后均进行了升级。但金山安全中心分析发现,即使升级之后,新解决方案仍然存在较大的安全风险。金山网络提醒安卓手机用户尽快升级软件,或者更换更为安全的手机管理软件。同时建议软件厂商在做技术方案时要充分考虑用户数据安全问题。
截至2011年第三季度,中国网民拥有的安卓手机总量约2500万台。上述三款手机管理软件覆盖国内约80%的安卓用户,因此该WiFi漏洞可能影响数千万安卓用户。
房孝强
上一篇:
互联网支付管理细则即将出台 强行推账户实名制
下一篇:
黑客产业链浮出水面:上亿用户信息被泄露
Solo
写了 464 篇文章,拥有财富 18034,被 18 人关注
+ 关注
来生做一棵树 | 一半在土里安详 | 一半在风里飞扬 | 一半洒落阴凉 | 一半沐浴阳光
我要分享:
0
举报
收藏
转播
分享
淘帖
0
()
0
回复
评论
使用高级模式,上传图片!
您需要登录后才可以回帖
登录
|
立即注册
B
Color
Link
Quote
Code
Smilies
发表评论
回帖后跳转到最后一页
jlbsxh
当前离线
积分
255
jlbsxh
jlbsxh
发表于 2012-1-4 15:52:35
深有体会,我的邮箱被盗了:'(
回复
支持
反对
举报
東東
当前离线
积分
14146
東東
東東
发表于 2020-11-25 16:41:58
超赞的资料,学习中
回复
支持
反对
举报
ITIL培训
|
网站地图
粤ICP备17056641号
Powered by
ITIL
© 2001-2025
返回顶部