zz黑客教父詳解帳號洩露全過程

2011 年 12 月 19 日，被稱為中國黑客教父的 goodwell 龔蔚在他的騰訊微博上發表了一篇微博，再次指出互聯網信任危機即將爆發。在接下來的 48 小時內，中國互聯網遭遇了有史以來最大的災難性安全事件。騰訊科技特邀龔蔚從專業角度對本次事件進行深度解析。龔蔚表示，黑客公布的用戶帳號約有 1 億個，預計地下黑客掌握了更多的互聯網用戶帳號信息，本次洩露和公布的帳號數量只是冰山一角，預計有將近 4 到 6 億的用戶帳號信息在黑客地下流傳（2011 年互聯網數據統計，中國互聯網用戶為 4.8 億），這次被黑客公布的網站數據信息只是黑客地下流傳的極少一部分。他透露，其中有相當一部分網站採用明文方式存儲用戶密碼，分析預計約有 2 億的用戶密碼為明文存儲。其餘 90% 以上的網站採用公開的 MD5 算法對用戶密碼進行存儲，通過簡單的彩虹表碰撞（一種加密密碼破解的方法），可以在數秒內破解加密存儲的密碼。以下是本次帳號洩露的基本時間表：12 月 21 日：CSDN 640 萬用戶帳戶、密碼、郵箱遭到黑客洩露；12 月 22 日：中國各大知名網站全面沦陷，涉及範圍甚廣，洩露信息涉及用戶相關業務甚多... 一場席卷全中國的密碼安全問題爆發了...12 月 23 日：經過確認，CSDN 洩露，多玩洩露，夢幻西遊帳戶通過木馬洩露，人人網部分洩露；12 月 23 日：網友爆料，天涯沦陷...7K7K 包中包含天涯帳戶密碼！互聯網安全何在？？？12 月 24 日：178 沦陷，UUU9 沦陷，事態蔓延...12 月 24 日：天涯全面沦陷，洩露多達 900 萬帳戶信息...12 月 24 日：網易土木在線也沦陷，數據量驚人...12 月 25 日：百度疑因帳號開放平台洩露帳戶信息...12 月 25 日：北京麒麟網信息科技有限公司疑洩露百度與 PPLive 帳戶與密碼，並且自身帳戶信息全部洩露...12 月 25 日：UUU9.COM 被黑客兩次拖庫...12 月 25 日：事態升級，天涯疑洩露 4000 萬用戶資料...12 月 25 日：178 第二次被拖庫洩露數據 110 萬條...12 月 25 日：木螞蟻被爆加密密文用戶數據，約 13 萬條數據...12 月 25 日：知名婚戀網站 5261302 條帳戶信息證實...12 月 26 日：myspace 洩露，迅雷又成功離線 3 個洩露包！12 月 26 日：ispeak 洩露帳戶信息，已驗證！請官方通知會員修改密碼！12 月 26 日：網絡流傳包 17173.7z 中 17173.0 為 178 帳戶信息，178 慘被拖庫 3 次；12 月 26 日：網絡流傳包 17173.7z 中 17173.3 為 UUU9.COM 帳戶信息，洩露數據不詳；12 月 26 日：塞班智能手機網校驗準確率高達 70%！！或塞班智能手機網沦陷；12 月 27 日：網易土木論壇通過碰撞分析密碼，用戶資料全部屬實！共計 135 個文件，4.31G 資料洩露時間疑為 2011-07-09 15：09：11（已論壇發帖通知，廠商未回應）；12 月 27 日：178.com 彻底沦陷，共計洩露超出 1100 萬 + 數據！12 月 27 日：766 驗證洩露，洩露數據十餘萬！12 月 27 日：ys168 驗證洩露，洩露數據三十餘萬！12 月 27 日：凡客 20 萬，當當 10 萬，卓越 20 萬用戶資料驗證洩露；12 月 28 日：太平洋電腦洩露 200 萬用戶資料，包含用戶帳戶；12 月 28 日：大學數據庫洩露，身份證信息洩露，更為敏感內容糟駭客洩露，洩露數據不詳，只能靠截圖揣摩！以下是本次帳號洩露情況的基本信息表：CSDN 共計洩露 640 萬個帳號，洩漏信息：帳號、明文密碼、電子郵件；多玩：共計洩露 800 萬個帳號，洩漏信息：帳號、MD5 加密密碼、部分明文密碼、電子郵件、多玩暱稱；178.COM：共計洩露 188 萬個帳號，洩漏信息：帳號、MD5 加密密碼、全部明文密碼、電子郵件、178 暱稱（178 帳戶通用 NGA）；天涯：共計洩露 4000 萬個帳號（預計超過 4000W 數據），洩漏信息：帳號、明文密碼、電子郵件；人人網：共計洩露 500 萬個帳號，洩漏信息：明文密碼、電子郵件；UUU9.COM：共計洩露 700 萬個帳號，洩漏信息：帳號、MD5 加密密碼、全部明文密碼、電子郵件、U9 暱稱；網易土木在線：約 4.3GB，137 個文件，洩漏信息：帳號、MD5 加密密碼、其他相關數據；夢幻西遊：約 1.4G（木馬盜取），洩漏信息：帳號、郵箱、明文密碼、角色名稱、所在伺服器、最後登陸時間、最後登陸 IP；北京麒麟網信息科技有限公司：共計洩露 9072966 個帳號，洩漏信息：帳戶、明文密碼；知名婚戀網站：共計洩露 5261302 個帳號，洩漏信息：帳戶、明文密碼；Ispeak.CN：共計洩露 1680271 個帳號，洩漏信息：帳戶、明文密碼、暱稱；木螞蟻：共計洩露 13 萬帳號，洩漏信息：帳戶、加密密碼、數據庫排序 ID、其他信息；塞班論壇：共計洩露約 140 萬帳號，洩漏信息：帳戶、明文密碼、電子郵箱；766.COM：共計洩露約 12 萬帳號，洩漏信息：帳戶、md5 (md5 (pwd).salt) 密碼、salt、電子郵箱、數據庫排序 ID；ys168：共計洩露約 30 萬帳號，洩漏信息：帳戶、明文、電子郵箱；當當：共計洩露約 10 萬用戶資料，洩漏信息：真實姓名、電子郵件、家庭住址、電話；凡客：共計洩露約 20 萬用戶資料，洩漏信息：真實姓名、電子郵件、家庭住址、電話；卓越：共計洩露約 20 萬用戶資料，洩漏信息：真實姓名、電子郵件、家庭住址、電話。誰是幕後的主謀？龔蔚認為，從某種意義上說，任何一個安全廠商都可能是事件之後直接的利益獲得者，首次公布 CSDN 洩密信息的是金山一個不知名的技術人員，但事件的第一個出場人物並不是這些數據的最早擁有者，且就算憑藉他的一己之力也不可能掌握如此龐大的數據，面對事件帶來的極大社會影響，任何商業公司肯定不願意捲入這場風波。他表示，從技術分析來看，一個或者幾個聯合體的黑客團隊完全可能掌握這些龐大的地下信息，但是公布這些信息對他們沒有任何價值，就目前來看還沒有一個黑客團隊公布對該事件的任何信息，公布近億的用戶數據只為了出名顯然不可能。他認為，這次的信息洩露就是一場蝴蝶效應，當一部分密碼被洩露後，一方面用戶首先會做的就是更改他所有網站的密碼，而另一方面對於黑客來說，他以前掌握的這些用戶帳號密碼來自於其他不同的網站，當黑客發現他們的密碼將不再有任何的價值和意義時，隨即娛樂大眾拿出自己掌握的數據來與大家分享一下，用黑客那種獨有的桀驁不馴的性格愚弄和嘲諷這些所謂的門戶網站。這是一種連鎖反應。產業鏈解析，龔蔚稱，黑客地下產業細分很明確，一旦獲得用戶帳戶信息（黑客們習慣稱為刷庫），將進行流水化的洗庫工作，龐大的群體等待著這些帳戶密碼（黑客俗稱洗庫），下線洗庫的首先判斷是否可以登錄其他所有將近 500 個大型網站，然後分門別類地區分出不同的帳號價值，比如短位 QQ 帳號（5 位 6 位的 QQ 號），帶有虛擬幣的系統比如支付寶系統，網遊系統，通過第一次的刷庫將其最直接的虛擬幣或遊戲帳號進行轉移，第二梯隊根據刷下的庫對用戶帳戶信息進行篩選，將用戶的一些基本信息進行保存，比如密碼習慣，找回密碼的答案，然後再根據這些信息去嘗試用戶其他的帳戶，同時進行二次刷庫。掌握某些網站的關鍵維護人員的用戶帳號信息後，他們的密碼很可能就是某些網站的維護密碼，這為刷庫的黑客帶來了更多的入侵機會，他們將會嘗試這些管理員的密碼擴大入侵的範圍（黑客俗稱 “社會工程學破解”）。龔蔚表示，更多的產業鏈在等著這些刷庫工作者，用戶數、遊戲運營商需要註冊用戶數，廣告商要用戶數，刷庫的可以在短時間內將任何有需求的註冊用戶數提升上去，而且都是真實的用戶。他透露，更為可怕的是，根據數據庫可以判斷出帳戶的社會關係，如果一個密碼數據庫裡只有 5 個人用，那就是馬甲了。如果一個郵件後綴只有 30 個用戶，那你們就是某種特定關係的朋友或者是同事。一個 IP 用戶不同帳號同時發了幾次微博，那你一定離得很近。如果一個密碼找回的問題有著同樣的答案且不多過 10 個重複率，那你們之間一定有聯系。還有更多的黑客分析算法，目的只有一個，這將作為下一個產業鏈的開始，可以是詐騙，可以是敲詐。因為他知道網民背後所有的秘密。他介紹，就算最後所有的價值都被榨取完了，這些帳號還是有利用價值的，這些信息將被無情的低價倒賣給一些專門發送垃圾郵件、垃圾廣告的群體，你的每一次點擊將會給他帶來 1 毛錢的收入。注：產業鏈部分可參考騰訊科技系列獨家稿件《黑客揭秘帳號洩露：隱私被多次售賣》。鳴謝 COG 論壇組織者，黑客元老龔蔚 goodwill 接受騰訊科技專訪。