网络安全技术解析:12306网站用户资料泄露背后的秘密
品慧电子讯12306网站突然爆发13万用户资料泄露事件,究其根本原因在于网站上线后出现的系统崩溃、卡死、页面无响应等网络技术问题。正值2015年春运抢票之际,12306网站却爆出这种网络安全技术问题,这背后隐藏着什么秘密呢?
数据如何泄露?
瑞星公司针对12306网站约13万用户关键隐私信息被泄露事件进行调查后发现,12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞,黑客可利用该漏洞控制分站服务器,进而攻击整个12306网站,并窃取所有数据库中的信息。因此,本次信息泄露事件有可能还会继续升温发酵。
专家介绍,12306网站主域名下,共6个分站存在Strust2框架的远程执行漏洞,黑客可使用专业工具直接对网站进行攻击,遥控网站服务器下载恶意文件,获取最高控制权限,进行跳板攻击,进而对12306整个网站进行入侵,从而获取所有数据库中的信息。
针对此次的12306用户信息泄露问题,有白帽子专家分析认为,数据疑似黑客撞库后整理得到,而并非12306直接泄漏,请用户及时修改密码,同时慎用抢票工具。
所谓“撞库”,是一种针对数据库的攻击方式,通过攻击者所拥有数据库的数据通攻击目标数据库,可以理解为使用在A网站盗取的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码。
再打个比方,就是你从大楼保安那里复制了一大串钥匙,然后跑到隔壁同一家建筑公司、同一批设计人员造的楼里,一把把试着去开不同的门。
最近还有个“拖库”经常出现,它是指从数据库中直接导出数据,更加严重,因为这意味着数据库本身存在很大的漏洞。
也有人怀疑是第三方抢票软件泄露所致,目前还没有证据可以证明,但无论如何,抢票的心情可以理解,但一定要注意保护自己的安全,并强烈建议12306用户更改密码,最好是和其他网站不同的密码。
因为,这些数据已经在网上公然叫卖了,如果被黄牛拿到,把我们辛辛苦苦订的票退掉倒腾给别人,岂不是太郁闷了!
虽然知道了密码可能的泄露方式,但是我们都有一个巨大的疑问。对每个用户来说至关重要的用户名和密码等关键信息,网站为什么会采用明码保存,难道是技术屏障?还是另有原因?
12下一页>
- 第一页:数据如何泄露?;
- 第二页:如何保护自己的密码安全?
网站为什么明文保存密码?
1、明文密码应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。
2、压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。
3、自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。实话说,这种人真是少数中的少数。
4、遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的 CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。
5、世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说过的国家。而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码…
6、为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能,我们就必须保存明文密码。
这个揭秘来源于一个程序员的爆料,不说爆料的可信度是百分之百,至少他所说的内容中很多是值得我们思考的。明文保存密码,既有政策和管理这样外在的人为原因,同样也有技术的问题,更有利益的驱使。可见明文密码的原因背后是错综复杂的。在这样错综复杂因素的背后,我们应该加强自己的密码保护意识。
如何保护自己的密码安全?
一、增强网络安全意识
在互联网时代,网络安全意识应该像日常交通安全意识一样,作为常识被确立。以CSDN为例,作为国内权威的技术论坛,该社区的用户在技术方面堪称专业,但流出的CSDN密码却显示,大批用户使用的竟是“12345678”“11111111”这样超简单的密码。所以我们首先要有一个较强的网络安全意识。
二、设置较为安全的密码
安全密码基本准则:8位以上、密码采用三种或以上组合。各关键网站密码不同,防止黑客使用撞库的方式进行信息盗取。
三、尽量避免使用第三方软件
由于第三方软件的安全性不高,所以请谨慎使用离线抢票功能。像离线抢票这样的第三方服务托管服务,必须明文存密码,且没法加密。所以一旦泄露就是明文。
四、经常更改密码
如果发现密码被盗,立即更改密码。同时对于安全性要求比较高的密码,定时更改密码也是一个有效的保护信息安全的手段。
针对12306的密码泄露,针对性的补救方法:
1、立刻修改12306登录密码;不过由于新密码同步到所有服务器需要时间,部分用户修改密码后,或不能立刻登录;
2、尽快修改登录12306时使用的邮箱密码,邮箱服务和12306网站服务一定不要使用相同的登录密码;
3、由于12306数据泄露的数据还包含手机号、身份证号,除了自己的信息之外,还会泄露亲友的身份信息。建议受信息泄露影响的所有人小心处理可能的诈骗电话和短信。同时,与银行转帐汇款有关的业务,务必电话确认身份;
4、谨慎使用抢票软件。
网络给我们的生活带来了许多的便利,同时我们的网络生活也面临着诸多的挑战。而网络安全也日益受到网民的关注,特别是在一次次的爆出信息泄露之后,更加加重了网民的担心。文章中我们也分析了网站明文保存密码的错综复杂的原因,在我们无法确认网站是否安全的前提下,拥有一个良好的网络安全意识,谨慎保管好自己的密码,当发生问题的时候及时使用正确的方法进行补救是十分有必要的。
