- A+
热点事件传播的开端可能都大同小异了,无非是微博,QQ或是其他社交渠道发现了一则“12306用户数据泄露”的消息。一开始你只是在“互联网的那些事”等营销微博号上看到,接下来发现门户的官微转发了,再后来人民日报发了!最后,央视居然TMD也报道了!
随之而来的是,好事者和技术宅开始了搜索之旅,各种离线文件各种云盘各种存储渠道的链接向你袭来,于是你机智的下载了……伴随着间歇性转发,此时高傲的你面对着四处求种的人们还带着一丝优越感——哼,哥早就有了!
热点事件就是这样,要么不温不火,要么火到源头都控制不了局面。很多人开始在这14M的数据里开始挖掘了,有很多人开始在数据里查询自己活朋友的信息了,无论是否处于好意,但是这个时候你就会发现,数据没有想象中那么齐全:
然后,更多的人选择了继续寻找全的数据,这个时候,你就想着了魔或者是强迫症患者一样开始疯狂的寻找,你开始重新关注22G,32G…
于是12306第三方网站被黑的论调出现,分销商和分销网点数据泄露似乎是个不错的解释,可能性也极大。但是此刻立即有阴谋论者跳出来说:这是托词,是推诿,是12306在找临时工顶包!
另一种在我看来比较理智的是“撞库”说,我们随机抽出所谓“泄露数据库”中的100条数据,将他们的密码提取出来,然后尝试登录12306,你会发现:“花擦!居然都能用呢!”。
少量数据验证正确并不能代表这些数据就是12306网站流出的,而很有可能是黑客们将一些已经泄露的数据库(比如多年前的CSDN)很好的贯彻了数据整理的思想,通过12306进行了验证(俗称洗白)把能够成功登陆的账号密码汇总,并且将登陆后拿到的身份证信息,电话信息和姓名信息一并汇总,也就是俗称的“撞库”。
2、多方联合的炒作事件——懂的人骗不懂的。然而炒作都是有利益关系的,这大家自己YY下就好了
3、自我“逼格”的提升,干了这么“惊天动地的”事情人,想低调都觉得对不起自己
... ...
好吧,这些暂且不说了,至此12306事件与跟当年被翻炒了多少遍的冷饭“开房数据泄露”如出一辙,却彻底被炒火了甚至失控了。有些小伙伴也是相当有才,分分钟连专用的查询社工库都出现了,我只能说你太机智了,手速也真是快啊:
于是“安全圈”流出了很多的截图,说12306的服务器已经被入侵了,甚至给出了截图的证明:
重磅炸弹,貌似一瞬间推翻了之前证据确凿的“撞库”论,恩,这次事件开始有意思了,高潮来了一浪又一浪!这个时候,甚至有人将12306服务器的控制权限(webshell和连接密码)都丢出来了,也就是说,谁都可以直接使用12306服务器的控制权限。
是啊,真正事件的过程中,信息量太大了,事件源本身似乎也并非漏洞?都来不及去看看技术相关的东西了
好了,我们先来看看网上公布的入侵证据:
这一张和第一张重磅炸弹一样,黑客使用struts漏洞(曾于2013年爆发)拿到了服务器控制权限,原图还不打马赛克,把包含漏洞网站域名清晰的展现给大家,仿佛就是说“欢迎来搞!”
所以,一旦你看到截图,联想到这个漏洞,那么想测试这个漏洞实在是太简单了,所以一大波入侵者和好事者正在来袭,比如这样:
有几个值得我们思考的地方,就是真正入侵12306服务器或者说发现这些漏洞的人究竟在什么时候就开始了呢?Struts2漏洞爆发也是longlongago了,并且该漏洞在2013年集中地爆发过。当时状况惨不忍睹,各种知名、大型网站纷纷落马。
2、当时struts2漏洞爆发的时候,漏洞被批量利用,但是12306官网并不存在该漏洞,或者说当时大家没有发现12306的子域名和子站(这次6~7存在struts2漏洞的均为12306的子站)。所以得以幸免。
3、都是中国人,年年春运都实属不易,没有人忍心干掉12306(这一条可以忽略,但我要传播正能量!)
第一种可能性上文我们详细阐述过了,至于第二种,我觉得,那这次漏洞被发现可能是因为很多辅助的原因,因为当struts2漏洞爆发的时候,大家寻找存在漏洞的目标去利用一般使用google的语法,所以很可能那个时候真没找到12306这些存在漏洞的分站。
所以笔者判断,最初的14M13万数据还是一次“撞库”的成果总结,这也就能解释为什么数据中的密码全是明文了。
对12306来说,漏洞什么时候都该修补,漏洞爆发时要补,不管别人能不能找到你,不要存在侥幸心理,漏洞爆发的风头过去后产品才上线也要补,坏人总在角落盯着或等着你。
而笔者认为,信息安全从业者做的是让大家了解事件的危害,警觉起来,提高意识,几时修改密码什么的,而不是一味的吓唬大众来炒热整个行业,吓唬得到的是恐惧,而不是尊敬。
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
