zz黑客教父详解账号泄露全过程

2011 年 12 月 19 日有着中国黑客教父之称的 goodwell 龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发，其后的 48 小时，中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。　　龚蔚表示，本次黑客公布的用户账号约为 1 亿个用户账号及密码相关信息，预计地下黑客掌握了更多的互联网用户账号信息，本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角，预计有将近 4 到 6 亿的用户账号信息在黑客地下领域流传（2011 年互联网数据统计，中国互联网网民为 4.8 亿），这次被黑客公布爆库的网站数据信息只是黑客地下流传的极少一部分。　　他透露，其中有相当一部分网站采用明文方式存储用户密码，分析预计约有 2 亿的用户密码为明文存储。其余 90% 以上的网站采用公开的 MD5 算法对用户密码进行存储，通过简单的彩虹表碰撞（一种加密密码破解的方法）可以在数秒钟内破解加密存储的密码。　　以下为本次账号泄露的基本时间表：　　12 月 21 日：CSDN 640W 用户帐户，密码，邮箱遭到黑客泄露　　12 月 22 日：中国各大知名网站全面沦陷。涉及范围甚广，泄露信息涉及用户相关业务甚多.... 一场席卷全中国的密码安全问题爆发了.... 　　12 月 23 日：经过确认 CSDN 泄露多玩泄露梦幻西游帐户通过木马泄露人人网部分泄露　　12 月 23 日：网友爆料天涯沦陷...7K7K 包中包含天涯帐户密码！！！互联网安全何在？？？　　12 月 24 日：178 沦陷 UUU9 沦陷事态蔓延... 　　12 月 24 日：天涯全面沦陷泄露多达 900W 帐户信息... 　　12 月 24 日：网易土木在线也沦陷，数据量惊人... 　　12 月 25 日：百度疑因帐号开放平台泄露帐户信息... 　　12 月 25 日：北京麒麟网信息科技有限公司疑泄露百度与 PPLive 帐户与密码。并且自身帐户信息全部泄露... 　　12 月 25 日：UUU9.COM 被黑客两次拖库.. 　　12 月 25 日：事态升级天涯疑泄露 4000W 用户资料　　12 月 25 日：178 第二次被拖库泄露数据 110W 条　　12 月 25 日：木蚂蚁被爆加密密文用户数据，约 13W 数据　　12 月 25 日：知名婚恋网站 5261302 条帐户信息证实... 　　12 月 26 日：myspace 泄露，迅雷又成功离线 3 个泄露包！　　12 月 26 日：ispeak 泄露帐户信息已验证！请官方通知会员修改密码！　　12 月 26 日：网络流传包 17173.7z 中 17173.0 为 178 帐户信息，178 惨被拖库 3 次　　12 月 26 日：网络流传包 17173.7z 中 17173.3 为 UUU9.COM 帐户信息，泄露数据不详　　12 月 26 日：塞班智能手机网校验准确率高达 70%！！或塞班智能手机网沦陷　　12 月 27 日：网易土木论坛通过碰撞分析密码，用户资料全部属实！共计 135 文件，4.31G 资料泄露时间疑为 2011-07-09 15：09：11 (已论坛发帖通知，厂商未回应.) 　　12 月 27 日：178.com 彻底沦陷，共计泄露超出 1100W+ 数据！　　12 月 27 日：766 验证泄露，泄露数据十余万！　　12 月 27 日：ys168 验证泄露，泄露数据三十余万！　　12 月 27 日：凡客 20W 当当 10W 卓越 20W 用户资料验证泄露　　12 月 28 日：太平洋电脑泄露 200W 用户资料包含用户帐户　　12 月 28 日：大学数据库泄露，身份证信息泄露，更为敏感内容糟骇客泄露，泄露数据不详，只能靠截图揣摩！　　以下为本次账号泄露情况的基本信息表：　　CSDN 共计泄露 640 万个帐号，泄漏信息：帐号、明文密码、电子邮件；　　多玩：共计泄露 800 万个帐号，泄漏信息：帐号、MD5 加密密码、部分明文密码，电子邮件，多玩昵称；　　178.COM：共计泄露 188 万个账号，泄漏信息：帐号、MD5 加密密码、全部明文密码、电子邮件、178 昵称 (178 账户通用 NGA) 　　天涯：共计泄露 4000 万个帐号 (预计超过 4000W 数据)，泄漏信息：帐号、明文密码、电子邮件　　人人网：共计泄露 500 万个帐号，泄漏信息：明文密码、电子邮件　　UUU9.COM：共计泄露 700 万个帐号，泄漏信息：帐号、MD5 加密密码、全部明文密码、电子邮件、U9 昵称　　网易土木在线：约 4.3GB 137 个文件，泄漏信息：帐号、MD5 加密密码、其他相关数据　　梦幻西游：约 1.4G (木马盗取)，泄漏信息：帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆 IP。　　北京麒麟网信息科技有限公司：共计泄露 9072966 个帐号，泄漏信息：帐户、明文密码　　知名婚恋网站：共计泄露 5261302 个帐号，泄漏信息：帐户、明文密码　　Ispeak.CN：共计泄露 1680271 个帐号，泄漏信息：帐户、明文密码、昵称　　木蚂蚁：共计泄露 13W 帐号，泄漏信息：帐户、加密密码、数据库排序 ID、其他信息　　塞班论坛：共计泄露约 140W 帐号泄漏信息：帐户、明文密码、电子邮箱　　766.COM：共计泄露约 12W 帐号，泄漏信息：帐户、md5 (md5 (pwd).salt) 密码、salt、电子邮箱、数据库排序 ID 　　ys168：共计泄露约 30W 帐号，泄漏信息：帐户、明文、电子邮箱　　当当：共计泄露约 10W 用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、电话　　凡客：共计泄露约 20W 用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、电话　　卓越：共计泄露约 20W 用户资料，泄漏信息：真实姓名、电子邮件、家庭住址、，电话　　谁是幕后的主谋？　　龚蔚认为，从某种意义上说任何一个安全厂商都可能是事件之后直接的利益获得者，首次公布 CSDN 泄密信息为金山一个不知名的技术人员，但事件的第一个出场人物不是这些数据的最早拥有者，且就算凭借他的一己之力也不可能掌握如此庞大的数据，面对事件带来的极大社会影响谁都可以预知，显然作为长期站在黑客对立面的商业公司肯定不愿意搅这趟浑水。　　他表示，从技术分析，一个或者几个联合体的黑客团队完全可能掌握这些庞大的地下信息，但是公布这些信息显然是对他们没有任何价值的，就目前来看还没有一个黑客团队公布对该事件的任何信息，公布近亿的用户数据就为了一个出名显然不可能。　　他认为这次得信息泄露就是一场蝴蝶效应，当一部分密码被泄露后，一方面用户首先会做的就是更改他所有网站的密码，而另一方面对于黑客来说，他以前掌握的这些用户账号密码但来自于其他不同的网站，当黑客发现他们的密码将不再有任何的价值和意义时，随即娱乐大众拿出自己掌握的数据来与大家分享一下，用黑客那种独有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反应。　　产业链解析　　龚蔚称，黑客地下产业细分很明确，一旦获得用户账户信息（黑客们习惯称为刷库），将进行流水化的洗库工作，庞大的群体等待着这些账户密码（黑客俗称洗库），下线洗库的首先判断是否可以登录其他所有的将近 500 个大型网站，然后分门别类的区分出不同的账号价值，比如短位 QQ 账号（5 位 6 位的 QQ 号），带有虚拟币的系统比如支付宝系统，网游系统，通过第一次的刷库将其最直接的虚拟币或游戏账号进行转移，第二梯队根据刷下的库对用户账户信息进行筛选，将用户的一些基本信息进行保存，比如密码习惯，找回密码的答案，然后再根据这些信息去尝试用户其他的账户，同时进行二次刷库。　　掌握某些网站的关键维护人员的用户账号信息后，他们的密码很可能就是某些网站的维护密码，这为刷库的黑客带来了更多的入侵机会，他们将会尝试这些管理员的密码扩大入侵的范围，（黑客俗称 “社会工程学破解”）。　　龚蔚表示，更多的产业链在等着这些刷库工作者，用户数、游戏运营商需要注册用户数，广告商要用户数，刷库的可以在短时间内将任何有需求的注册用户数提升上去，而且都是真实的用户。　　他透露，更为可怕的是，根据数据库可以判断出账户的社会关系，如果一个密码数据库里只有 5 个人用，那就是马甲了。如果一个邮件后缀只有 30 个用户那你们就是某种特定关系的朋友或者是同事。　　一个 IP 用户不同账号同时发了几次微博，那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过 10 个重复率，那你们之间一定有联系。还有更多的黑客分析算法，目的只有一个这将作为下一个产业链的开始，可以是诈骗，可以是敲诈。因为他知道网民背后所有的秘密。　　他介绍，就算最后所有的价值都被榨取完了，这些账号还是有利用价值的，这些信息将被无情的低价倒卖给一些专门发送垃圾邮件，垃圾广告的群体，你的每一次点击将会给他带来 1 毛钱的收入。　　注：产业链部分可参考腾讯科技系列独家稿件《黑客揭秘帐号泄露：隐私被多次售卖》　　鸣谢 COG 论坛组织者，黑客元老龚蔚 goodwill 接受腾讯科技专访。