亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　昨天烏云的一個(gè)漏洞報(bào)告 大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳包括用戶帳號(hào)、明文密碼、身份證郵箱等（泄漏途徑目前未知） 引起關(guān)注，但對(duì)一個(gè)還未公開細(xì)節(jié)的漏洞報(bào)告做解讀其實(shí)是很不靠譜的行為。這事兒12306已經(jīng)知情，烏云也提供了白帽子發(fā)現(xiàn)的證據(jù)，所以到底是什么情況一起等官方最終的回復(fù)即可，其中不要胡亂猜測(cè)甚至誤導(dǎo)。既然這個(gè)漏洞還未公開并且官方處理調(diào)查中，今天就不聊它，聊一下這兩天流傳較多的13w帳號(hào)敏感數(shù)據(jù)。

　　這個(gè)數(shù)據(jù)一經(jīng)傳開，立刻導(dǎo)致各種機(jī)構(gòu)與媒體跟進(jìn)，迅速推出“靠譜”分析，或號(hào)稱比靠譜更“靠譜”的消息……在各家急著發(fā)出聲音的時(shí)候，烏云的白帽子卻還默默無聞的尋找線索，最大化了解影響的范圍，一起看下收獲：

　　首先，這份13w數(shù)據(jù)最原始的文件名應(yīng)該是醬的：

　　啥還有售后群？難不成還提供更新與不滿意退貨服務(wù)？但不管怎樣，這群號(hào)是個(gè)非常關(guān)鍵的線索，于是我們的白帽子偽裝成買家，在群里還真聯(lián)系上了一位賣家（數(shù)量過于龐大，無法驗(yàn)證真?zhèn)危阅：幚砹耍?/p>

　　此人直接扔來7條數(shù)據(jù)，而且格式與互聯(lián)網(wǎng)上傳播的13w一致，但只有一條與那13w數(shù)據(jù)中的重合其他的都未能查到，似乎13w數(shù)據(jù)的完整性證明充滿了疑點(diǎn)

　　嗯，嘴很嚴(yán)（最有價(jià)值的黑客獲取方式套取失敗，所以不能隨意下結(jié)論）

　　白帽子想了個(gè)好辦法，不如取要一些與自己同姓用戶的數(shù)據(jù)，在看看重合率與真實(shí)性

　　結(jié)果這些數(shù)據(jù)在13w數(shù)據(jù)中一條也沒查到（并且經(jīng)過測(cè)試的確可以登錄12306）這特么究竟還有多少我們不知道的數(shù)據(jù)被售賣著？烏云君知情后尿了一下午。。。遺憾的是，這個(gè)時(shí)間點(diǎn)恰好趕上外界媒體的報(bào)道。該賣家似乎嗅到了危險(xiǎn)突然下線消失，再也不見了，不見了（今天發(fā)現(xiàn)QQ資料也清空了，感謝媒體！感謝XXTV！！）

　　最終，烏云君將白帽子提供的這些13w數(shù)據(jù)外的用戶敏感數(shù)據(jù)再次提供給12306（因?yàn)檫@關(guān)鍵的差異數(shù)據(jù)，恰巧可能會(huì)幫助官方定位日志中的關(guān)鍵線索，哪些人第一次得到手，又有哪些人可能買了！）

　　同時(shí)烏云君也希望沒在那13w數(shù)據(jù)中的用戶，也盡量定期修改密碼。到底有多少我們的密碼被泄漏與交易，這個(gè)沒人能說的清楚。

　　怕各位說烏云君自己演了一出戲，所以留下這些用戶登錄帳號(hào)的HASH防止無意義的扯蛋，感興趣的黃姓朋友可以MD5下自己登錄帳號(hào)，萬一在這些證明數(shù)據(jù)里呢。

　　52756d1668dd14c1e33a63621477c584

　　0f8d1248c84d20aad702128ae971b276

　　a3e6e52a651199a9c6b711bd3a144928

　　51db1240829c66ee23ad55b9a5fec1d1

　　becd24f6163450e4cc701287f0b2a70c

　　4076fb754d18fadba7110ab4f2263a97

　　e9608120662cfaf91fd25c046439cf3d => 這條是對(duì)比13W唯一重復(fù)的登錄名

　　6425d54303515197442050bf0437d47e

　　0f7e29afa557dc52521d1aa5c218a165

　　77238d3221eaeae50fb1d8ec29ad253c

　　f24095592060f77f833a045308106bd6

　　68f7b000cbf818b0043a72e22eee4215

　　d1755335f4197cd587102d6323b184b7

　　65c946fe68b6c2e7aa43c0ece1343a2f

　　04e55fb5a707d157c59c84f699daf007

　　cefa8782f7d544c8f3b0c112d1898454

　　cb218a652e29ee22ad64ddbc85071709

　　b4b2fe87df032d1e7d3861a96e0aa783

　　9dd044cd6e38d31670bcf321fa3b4ad5

　　211bc27264346a7c2c3edd68a19829d5

　　9ceab1e1bda8334bd33eaf60965d831d

　　c908b6680c56fec6749aa08070d2de8a

　　關(guān)于這13w數(shù)據(jù)，很多機(jī)構(gòu)組織都在說是撞庫，信息來自哪里沒說清楚很含糊。不過烏云社區(qū)有白帽子給出了自己的一些分析，僅供參考吧（這些已經(jīng)泄漏并流傳多年的數(shù)據(jù)功不可沒啊）

　　13w的數(shù)據(jù)民間分析就到此為止，相信官方可以通過日志等信息查出事件的原由，并且給用戶一個(gè)滿意的答案。

　　這次事件我們看到了官方的積極響應(yīng)，看到了用戶的警惕，也看到了黑產(chǎn)對(duì)12306帳號(hào)數(shù)據(jù)的垂涎與掌握程度。如果大家能在平時(shí)對(duì)自己的帳號(hào)安全多付出一些（常改密碼，放棄現(xiàn)有密碼，因?yàn)槁┑牟畈欢喽伎赡鼙蝗苏莆樟耍髽I(yè)監(jiān)控再給力一些（如果是撞庫，這么多數(shù)據(jù)不能靜悄悄的撞完吧，總有點(diǎn)動(dòng)靜），就不會(huì)發(fā)生這次的事情。安全不能總靠救火，還要靠平時(shí)的積累。

　　最后，烏云君在給大家八一八大家所關(guān)心的其他信息點(diǎn)吧，分別是：

　　1）12306官方安全意識(shí)

　　對(duì)于12306官方的安全意識(shí)如何，大家從烏云歷史報(bào)告自行體會(huì) 廠商信息_中國鐵道科學(xué)研究院漏洞列表

　　其 實(shí)這次12306響應(yīng)與手段都很及時(shí)，據(jù)微博用戶反饋說很多泄漏的帳號(hào)迅速被鎖定了。但無論因誰的責(zé)任，這波數(shù)據(jù)明顯是針對(duì)12306購票平臺(tái)的。希望官 方調(diào)查最后即使不便公開受影響用戶量，也至少能給涉及用戶一個(gè)提醒或強(qiáng)制的密碼變更，他們才是最大的受害者需要保護(hù)。最后，如果官方確實(shí)存在一個(gè)可以撞庫的帳號(hào)接口漏洞，也希望告知是否發(fā)現(xiàn)并且進(jìn)行了處理，別還可以繼續(xù)撞庫盜竊用戶數(shù)據(jù)。

　　這 里有個(gè)槽要吐：在得知泄密后，烏云君第一想法也是改密碼，然后刪掉帳號(hào)內(nèi)保存的親友身份證信息，以后需要時(shí)在填入。結(jié)果發(fā)現(xiàn)12306就不！允！許！刪！ 似乎證件在帳號(hào)內(nèi)需要一段時(shí)間后才允許刪除，就納悶兒我的數(shù)據(jù)憑什么不讓我刪……但能否別明文顯示啊（互聯(lián)網(wǎng)公司做的就很好，敏感信息都有星號(hào)保護(hù)）

　　2）第三方搶票泄密可能性

　　就在這次泄密事件之前，烏云君也在想，這些第三方搶票機(jī)構(gòu)會(huì)不會(huì)在未告知的前提下記錄俺們的信息呢？真的是不太敢用啊。

　　結(jié)果就在前兩天，一個(gè)漏洞報(bào)告似乎印證了這個(gè)懷疑 UC瀏覽器功能性插件“搶票幫”設(shè)計(jì)不當(dāng)可能導(dǎo)致?lián)屍闭呙?身份證等隱私信息泄漏 （漏洞目前得到了修復(fù)）。該漏洞沒有記錄用戶明文密碼，所以跟本次泄密無關(guān)，但的確要給第三方搶票機(jī)構(gòu)敲響警鐘了。要不是官方平臺(tái)限制太多不好搶，沒人會(huì)拋棄正規(guī)渠道偏要選擇第三方購票平臺(tái)，所以既然選擇了咱們就要對(duì)得起用戶的信任！

　　3）撞庫

　　原理不提了，很多媒體進(jìn)行了解釋，再逼逼叨就有點(diǎn)像老和尚念經(jīng)了。

　　撞 庫攻擊在國內(nèi)外黑產(chǎn)圈都搞的風(fēng)風(fēng)火火，一片繁榮熱鬧之相。每當(dāng)有企業(yè)的數(shù)據(jù)庫被拖，影響的不僅僅是其本身，還間接的威脅到了這些用戶在其他企業(yè)下服務(wù)！所 以撞庫的影響與責(zé)任至今都捋不清，沒人承認(rèn)。如今泄密多樣化：帳號(hào)、密碼、手機(jī)、身份證、住址、好友關(guān)系等信息皆可泄漏……看微博一些用戶對(duì)身份信息泄漏 已經(jīng)習(xí)慣了，但此類信息是某些安全機(jī)制依賴的核心部分，這不是好事兒需要警惕。

　　希望互聯(lián)網(wǎng)企業(yè)與多方機(jī)構(gòu)共同努力，對(duì)泄密責(zé)任方進(jìn)行追究，令其重視用戶信息安全，別在嘴上功夫。并且?guī)ぬ?hào)等泄密事件需要讓受害者知情，并且提前做好防范。但是，這可能么？這不可能么？？這，可能么……