【導(dǎo)讀】12306網(wǎng)站突然爆發(fā)13萬(wàn)用戶(hù)資料泄露事件,究其根本原因在于網(wǎng)站上線(xiàn)后出現(xiàn)的系統(tǒng)崩潰、卡死、頁(yè)面無(wú)響應(yīng)等網(wǎng)絡(luò)技術(shù)問(wèn)題。正值2015年春運(yùn)搶票之際,12306網(wǎng)站卻爆出這種網(wǎng)絡(luò)安全技術(shù)問(wèn)題,這背后隱藏著什么秘密呢?
數(shù)據(jù)如何泄露?
瑞星公司針對(duì)12306網(wǎng)站約13萬(wàn)用戶(hù)關(guān)鍵隱私信息被泄露事件進(jìn)行調(diào)查后發(fā)現(xiàn),12306網(wǎng)站主域名下共有6個(gè)分站存在嚴(yán)重的Strust2框架的遠(yuǎn)程執(zhí)行漏洞,黑客可利用該漏洞控制分站服務(wù)器,進(jìn)而攻擊整個(gè)12306網(wǎng)站,并竊取所有數(shù)據(jù)庫(kù)中的信息。因此,本次信息泄露事件有可能還會(huì)繼續(xù)升溫發(fā)酵。
專(zhuān)家介紹,12306網(wǎng)站主域名下,共6個(gè)分站存在Strust2框架的遠(yuǎn)程執(zhí)行漏洞,黑客可使用專(zhuān)業(yè)工具直接對(duì)網(wǎng)站進(jìn)行攻擊,遙控網(wǎng)站服務(wù)器下載惡意文件,獲取最高控制權(quán)限,進(jìn)行跳板攻擊,進(jìn)而對(duì)12306整個(gè)網(wǎng)站進(jìn)行入侵,從而獲取所有數(shù)據(jù)庫(kù)中的信息。
針對(duì)此次的12306用戶(hù)信息泄露問(wèn)題,有白帽子專(zhuān)家分析認(rèn)為,數(shù)據(jù)疑似黑客撞庫(kù)后整理得到,而并非12306直接泄漏,請(qǐng)用戶(hù)及時(shí)修改密碼,同時(shí)慎用搶票工具。
所謂“撞庫(kù)”,是一種針對(duì)數(shù)據(jù)庫(kù)的攻擊方式,通過(guò)攻擊者所擁有數(shù)據(jù)庫(kù)的數(shù)據(jù)通攻擊目標(biāo)數(shù)據(jù)庫(kù),可以理解為使用在A網(wǎng)站盜取的賬戶(hù)密碼來(lái)登陸B(tài)網(wǎng)站,因?yàn)楹芏嘤脩?hù)在不同網(wǎng)站使用的是相同的賬號(hào)密碼。
再打個(gè)比方,就是你從大樓保安那里復(fù)制了一大串鑰匙,然后跑到隔壁同一家建筑公司、同一批設(shè)計(jì)人員造的樓里,一把把試著去開(kāi)不同的門(mén)。
最近還有個(gè)“拖庫(kù)”經(jīng)常出現(xiàn),它是指從數(shù)據(jù)庫(kù)中直接導(dǎo)出數(shù)據(jù),更加嚴(yán)重,因?yàn)檫@意味著數(shù)據(jù)庫(kù)本身存在很大的漏洞。
也有人懷疑是第三方搶票軟件泄露所致,目前還沒(méi)有證據(jù)可以證明,但無(wú)論如何,搶票的心情可以理解,但一定要注意保護(hù)自己的安全,并強(qiáng)烈建議12306用戶(hù)更改密碼,最好是和其他網(wǎng)站不同的密碼。
因?yàn)椋@些數(shù)據(jù)已經(jīng)在網(wǎng)上公然叫賣(mài)了,如果被黃牛拿到,把我們辛辛苦苦訂的票退掉倒騰給別人,豈不是太郁悶了!
雖然知道了密碼可能的泄露方式,但是我們都有一個(gè)巨大的疑問(wèn)。對(duì)每個(gè)用戶(hù)來(lái)說(shuō)至關(guān)重要的用戶(hù)名和密碼等關(guān)鍵信息,網(wǎng)站為什么會(huì)采用明碼保存,難道是技術(shù)屏障?還是另有原因?
[page]
網(wǎng)站為什么明文保存密碼?
1、明文密碼應(yīng)付檢查。大家知道互聯(lián)網(wǎng)審查,有時(shí)往往會(huì)一個(gè)電話(huà)過(guò)來(lái),要XX用戶(hù)的密碼。如果你沒(méi)法給出,上頭就認(rèn)為你不配合,事情各種難搞。作為審查機(jī)構(gòu)的老板,當(dāng)然沒(méi)必要知道明文密碼的危害。他們只知道,我要密碼,為什么不行。所以,悲崔的程序員們就往往會(huì)得到一條死命令,保存明文密碼。
2、壓根不知道明文密碼有什么問(wèn)題。中國(guó)的互聯(lián)網(wǎng)有太多的沒(méi)基礎(chǔ)的新人,從石頭的縫隙中頑強(qiáng)的生長(zhǎng)出來(lái)。這不是壞事,壞事的是這些人往往會(huì)在一些基礎(chǔ)問(wèn)題上出現(xiàn)奇怪的毛病。例如有些程序員,寫(xiě)程序很快,但是居然從來(lái)不知道密碼明文存放會(huì)導(dǎo)致什么問(wèn)題。
3、自信暴棚的混帳。有些人的自信總比別人強(qiáng),而且強(qiáng)在莫名其妙的地方。例如:我的服務(wù)器肯定是沒(méi)問(wèn)題的,所以我的密碼一定要明文存放。如果不,就是質(zhì)疑我的技術(shù)。實(shí)話(huà)說(shuō),這種人真是少數(shù)中的少數(shù)。
4、遺留系統(tǒng)。很多系統(tǒng)設(shè)計(jì)的時(shí)候因?yàn)槟硞€(gè)其他理由,使用了明文密碼。等后來(lái)這個(gè)理由不存在了,密碼系統(tǒng)升級(jí)成了一個(gè)困難。因?yàn)槊艽a系統(tǒng)太重要了,所以在沒(méi)有太大利益的情況下,總是傾向于不修改系統(tǒng)。但是有什么足夠利益來(lái)推動(dòng)系統(tǒng)修改呢?用戶(hù)安全問(wèn)題在發(fā)現(xiàn)前不是一個(gè)問(wèn)題——好比這次的 CSDN,不是被暴出來(lái)的話(huà)就根本不會(huì)被當(dāng)作一個(gè)問(wèn)題。系統(tǒng)的管理者,每個(gè)人都沒(méi)有足夠的動(dòng)力去修改系統(tǒng)。
5、世界的陰暗角落。有的時(shí)候,程序員/老板明文存放的理由,是為了方便盜竊用戶(hù)其他網(wǎng)站資料。例如我所知的某釣魚(yú)案例,你注冊(cè)網(wǎng)站,就提供很多免費(fèi)服務(wù),網(wǎng)站看起來(lái)也很靠譜——除了后來(lái)突然爆出這家網(wǎng)站其實(shí)暗地中用你的生日/密碼猜解信用卡/銀行卡密碼,大家才突然發(fā)現(xiàn),這家網(wǎng)站其實(shí)根本沒(méi)有在美國(guó)注冊(cè),而是一個(gè)聽(tīng)都沒(méi)聽(tīng)說(shuō)過(guò)的國(guó)家。而且很多網(wǎng)站提供從其他網(wǎng)站導(dǎo)入之類(lèi)的功能,更加的危險(xiǎn)。以前經(jīng)常爆出twitter密碼被竊取,主要就是因?yàn)镺Auth開(kāi)放以前,twitter上的第三方應(yīng)用需要提供原生密碼,導(dǎo)致很多小應(yīng)用的目的其實(shí)就是收集密碼…
6、為了給用戶(hù)提供方便。這個(gè)理由和上一個(gè)很類(lèi)似,不過(guò)不是為了某些險(xiǎn)惡的目的。而是客戶(hù)經(jīng)常要求——為什么我不能做XX事,為什么我不能blahblah。好吧,為了讓你能,我們就必須保存明文密碼。
這個(gè)揭秘來(lái)源于一個(gè)程序員的爆料,不說(shuō)爆料的可信度是百分之百,至少他所說(shuō)的內(nèi)容中很多是值得我們思考的。明文保存密碼,既有政策和管理這樣外在的人為原因,同樣也有技術(shù)的問(wèn)題,更有利益的驅(qū)使。可見(jiàn)明文密碼的原因背后是錯(cuò)綜復(fù)雜的。在這樣錯(cuò)綜復(fù)雜因素的背后,我們應(yīng)該加強(qiáng)自己的密碼保護(hù)意識(shí)。
如何保護(hù)自己的密碼安全?
一、增強(qiáng)網(wǎng)絡(luò)安全意識(shí)
在互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全意識(shí)應(yīng)該像日常交通安全意識(shí)一樣,作為常識(shí)被確立。以CSDN為例,作為國(guó)內(nèi)權(quán)威的技術(shù)論壇,該社區(qū)的用戶(hù)在技術(shù)方面堪稱(chēng)專(zhuān)業(yè),但流出的CSDN密碼卻顯示,大批用戶(hù)使用的竟是“12345678”“11111111”這樣超簡(jiǎn)單的密碼。所以我們首先要有一個(gè)較強(qiáng)的網(wǎng)絡(luò)安全意識(shí)。
二、設(shè)置較為安全的密碼
安全密碼基本準(zhǔn)則:8位以上、密碼采用三種或以上組合。各關(guān)鍵網(wǎng)站密碼不同,防止黑客使用撞庫(kù)的方式進(jìn)行信息盜取。
三、盡量避免使用第三方軟件
由于第三方軟件的安全性不高,所以請(qǐng)謹(jǐn)慎使用離線(xiàn)搶票功能。像離線(xiàn)搶票這樣的第三方服務(wù)托管服務(wù),必須明文存密碼,且沒(méi)法加密。所以一旦泄露就是明文。
四、經(jīng)常更改密碼
如果發(fā)現(xiàn)密碼被盜,立即更改密碼。同時(shí)對(duì)于安全性要求比較高的密碼,定時(shí)更改密碼也是一個(gè)有效的保護(hù)信息安全的手段。
針對(duì)12306的密碼泄露,針對(duì)性的補(bǔ)救方法:
1、立刻修改12306登錄密碼;不過(guò)由于新密碼同步到所有服務(wù)器需要時(shí)間,部分用戶(hù)修改密碼后,或不能立刻登錄;
2、盡快修改登錄12306時(shí)使用的郵箱密碼,郵箱服務(wù)和12306網(wǎng)站服務(wù)一定不要使用相同的登錄密碼;
3、由于12306數(shù)據(jù)泄露的數(shù)據(jù)還包含手機(jī)號(hào)、身份證號(hào),除了自己的信息之外,還會(huì)泄露親友的身份信息。建議受信息泄露影響的所有人小心處理可能的詐騙電話(huà)和短信。同時(shí),與銀行轉(zhuǎn)帳匯款有關(guān)的業(yè)務(wù),務(wù)必電話(huà)確認(rèn)身份;
4、謹(jǐn)慎使用搶票軟件。
網(wǎng)絡(luò)給我們的生活帶來(lái)了許多的便利,同時(shí)我們的網(wǎng)絡(luò)生活也面臨著諸多的挑戰(zhàn)。而網(wǎng)絡(luò)安全也日益受到網(wǎng)民的關(guān)注,特別是在一次次的爆出信息泄露之后,更加加重了網(wǎng)民的擔(dān)心。文章中我們也分析了網(wǎng)站明文保存密碼的錯(cuò)綜復(fù)雜的原因,在我們無(wú)法確認(rèn)網(wǎng)站是否安全的前提下,擁有一個(gè)良好的網(wǎng)絡(luò)安全意識(shí),謹(jǐn)慎保管好自己的密碼,當(dāng)發(fā)生問(wèn)題的時(shí)候及時(shí)使用正確的方法進(jìn)行補(bǔ)救是十分有必要的。
