中文
新闻动态
首页  >  公司新闻  >  石盾科技关于12306密码泄漏事件的分析报告
石盾科技关于12306密码泄漏事件的分析报告
作者:石盾科技    发布于:2014-12-26 09:05:29    来源:

 昨日,中国铁路客户服务中心12306网站密码数据泄漏事件,再一次触发公众的神经。其实,对于我们这些网络安全从业人员来说,这种事情早已习以为常了。但此事发生的时间点十分凑巧,就在几天前我们刚刚发布了能够替代密码的二维令产品。由于此前有过多次此类事件的应急处置和调查取证经验,我们也汇总分析了相关情况,供业界分享。 

 首先我们一起来还原一下此次事件的发展过程,2014年12月25日10:59国内著名漏洞共享平台乌云发布了一条信息“大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等”。此消息一经发布,迅速在微博、微信、QQ群等各渠道广泛传播,随后各官方微博开始转发,紧接着各大官方媒体也开始报道。 

 石盾科技也迅速跟进此事,通过互联网公开渠道获得到了泄漏的数据文件,为一个14MB的txt文本文件,共13万多条数据,含有用户名、密码、邮箱、姓名、身份证号、手机号的全部明文信息,如图:

 随后,互联网上各种真假消息开始扩散,传说中的18G、22G、32G、37G各种版本的数据开始流传,但经过多方核实,目前实际上泄漏出来的有效数据只有上述13万条,约14MB,同时有很多人都重温了经典动画片葫芦娃。 

 当天下午,12306官方网站发布公告,声称自己没有保存明文密码,不是官方数据库泄漏,同时建议大家不要使用第三方抢票软件。 

 石盾科技安全团队对此次获得的数据进行初步分析,随机抽取数十用户均可成功登录,数据质量远高于以往的此类泄漏事件。而这批全明文的信息,不太像原始数据库泄漏出来的,根据经验判断,此次为第三方抢票软件造成的数据泄漏或撞库所得的可能性较大。

 此时,石盾科技合作伙伴、业内知名安全厂商知道创宇也第一时间发布分析结果。知道创宇通过随机联系部分用户沟通,确认此次泄漏的用户中很多都从未使用过第三方抢票软件,很多人甚至近期都没有购买过车票。这个结论非常重要,基本可以排除第三方抢票软件的因素,那么撞库的可能性进一步增大。 

 我们继续分析了这些泄漏用户的车票购买情况,发现一个重要线索,其中有部分用户,近3年都没有过订单记录,而有些用户,前几天还使用过。这样的结果基本可以排除第三方抢票软件、病毒木马等因素造成的从用户角度泄漏密码的可能性,剩下的只有12306本身泄漏和撞库。

 而12306网站是2011年6月第一次上线的,2013年12月还进行过一次重大改版,这个时代新建设一个这样专业的平台,是不太可能采用明文方式存储密码的,这已经是一个基本常识,我们可以相信12306在建设之初,就没有采用过明文存储密码,也充分考虑到了系统安全要求,并采取了一定的安全防护措施。12306系统出现漏洞可以理解,数据库被拖也并非完全不可能,但是不至于拖下来明文的密码。因此这样一个13万条记录的含有明文密码的文件,可能性最大的就是撞库了。 

 大家知道,近几年数据库泄漏事件几乎每天都在发生,至少数十亿的帐号密码信息已经广为流传,大多数业内人士都或多或少接触过这些数据,更不要说专门从事地下黑产的那些个人或集团。

 根据相关数据,2014年中国网民数量已达到6.32亿,每个网民都至少拥有几十个帐号密码(可能重复)。而泄漏出来的数据,特别是一些热门网站的数据,占全体网民的比例是相当高的,从数十亿的数据中,碰撞出13万条有效数据,是完全有可能的。

 此外,12306网站的验证码较弱(之前用过比较强的引发了一片批评),从各类抢票软件和插件的成功就能看出来,12306已经被刷烂了,同样的方式用来撞库,也不是难事。撞库成功之后,可以很容易从网站上爬取到姓名、身份证号、手机号这些用户信息。特别是这些撞库请求淹没在最近春运的大量购票请求中,网站方面难以察觉,所以为什么这个时间点会泄漏出如此“新鲜和高质量”的数据。建议12306或CNCERT方面分析近一段时间的网站登录日志,有可能发现撞库的线索,从而分析出撞库攻击来源。

 最后,再次提醒大家,尽量不要使用第三方抢票软件或插件,不排除有恶意的抢票软件在帮助用户抢票的同时,大量收集了用户密码信息。如果一定需要用,那么至少每次使用以后都要修改密码。

 事情还没有结束,今天乌云再次爆出12306多个子站存在Struts2漏洞,该漏洞2013年集中爆发,引起互联网上各大网站纷纷中招。虽然目前还没有12306被利用Struts2漏洞拿到服务器权限的证据,但谁知道下一个漏洞又是什么呢?所有系统都存在这样的风险,采用传统密码技术,发生密码泄漏或被撞库是迟早的事。

 因此,要从根本上解决密码安全问题,最好的办法就是不要用密码了,关注一下二维令吧。

(转载请注明出处 石盾科技)

参考信息:

http://www.12306.cn/mormhweb/zxdt/201412/t20141225_2448.html

http://www.wooyun.org/bugs/wooyun-2014-088532

http://www.wooyun.org/bugs/wooyun-2014-088626

http://www.freebuf.com/news/special/55093.html

http://security.zdnet.com.cn/security_zone/2014/1225/3042887.shtml