揭秘：深度解析12306數(shù)據(jù)泄露之謎

12月25日，當(dāng)人們還沉浸在圣誕的喜悅中無(wú)法自拔的時(shí)候，烏云漏洞平臺(tái)率先爆出大量12306用戶數(shù)據(jù)泄露，有公安部門(mén)介入調(diào)查，已知公開(kāi)泄露的數(shù)據(jù)庫(kù)及用戶數(shù)已經(jīng)超過(guò)了13萬(wàn)條。隨后12306通過(guò)微信等多個(gè)渠道表示，“泄露信息全部含有用戶明文密碼。我網(wǎng)站數(shù)據(jù)庫(kù)所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出?！比欢鴶?shù)據(jù)泄露誰(shuí)之過(guò)？隨著12306的官方聲明“事不關(guān)己”和攜程發(fā)表的聲明“與我無(wú)關(guān)”，那么數(shù)據(jù)怎么泄露的？12306的安全機(jī)制在哪里？還原真相：當(dāng)此事發(fā)生后，記者第一時(shí)間連線烏云平臺(tái)的相關(guān)負(fù)責(zé)人，據(jù)悉，本次漏洞爆出實(shí)屬偶然。一名白帽子在自己的圈子里突然發(fā)現(xiàn)了大量數(shù)據(jù)，隨后通過(guò)驗(yàn)證均無(wú)一例外均可登錄，因此才給了整個(gè)安全屆這昂貴的“圣誕禮物”。此次事件造成恐慌的原因在51CTO記者看來(lái)，有一個(gè)非常關(guān)鍵的地方：明文的數(shù)據(jù)庫(kù)，這其實(shí)意味著，所泄露的數(shù)據(jù)庫(kù)沒(méi)有做審計(jì)和數(shù)據(jù)庫(kù)隔離，并且沒(méi)有做數(shù)據(jù)庫(kù)關(guān)鍵字段的加密，因此導(dǎo)致泄露的所有信息都是明文的，這非?？膳?。事實(shí)上，今天被曝出的12306數(shù)據(jù)庫(kù)，能夠看到明文的有13萬(wàn)條左右，大概14M左右。以下為51CTO記者頗費(fèi)周折得到的數(shù)據(jù)信息，圖片經(jīng)過(guò)處理，如下：明文數(shù)據(jù)庫(kù)部分泄露的數(shù)據(jù)據(jù)知道創(chuàng)宇公司的“Evi1m0”說(shuō)：在三個(gè)小時(shí)內(nèi)，已經(jīng)“傳”出各種有關(guān)數(shù)據(jù)庫(kù)大小的版本：14M、18G、20G、37G。“Evi1m0”說(shuō)，其實(shí)明眼人還是很多的，當(dāng)然你說(shuō)個(gè)138G讓“大V”推推，也是能成為傳露：目前還無(wú)法確認(rèn)此次事件是從12306官網(wǎng)直接泄露的，但是通過(guò)一些白帽子的集體調(diào)查結(jié)果顯示似乎更像是通過(guò)撞庫(kù)得到的數(shù)據(jù)，但是被人惡意提取并整理了該平臺(tái)上的用戶身份等信息。但是這下午三點(diǎn)，已經(jīng)正式確認(rèn)12306用戶數(shù)據(jù)泄露是由撞庫(kù)（利用現(xiàn)有互聯(lián)網(wǎng)泄露數(shù)據(jù)庫(kù)，進(jìn)行密碼碰撞）導(dǎo)致，并非12306以及第三方搶票泄露。也更加證實(shí)了白帽子們的調(diào)查結(jié)果其實(shí)這類事情，每天都在發(fā)生。那么我們脆弱的密碼和安全保護(hù)意識(shí)真的無(wú)能為力么？避免“脫褲”的方法OWASP中國(guó)北京主負(fù)責(zé)人子明告訴記者，其實(shí)是有辦法改變這種“脫褲”悲劇的。他介紹說(shuō)：現(xiàn)在我們都是將個(gè)人信息和密碼等重要敏感數(shù)據(jù)放在服務(wù)器里，無(wú)論怎么加密，如何處理，只要黑客能夠成功提權(quán)，如提取數(shù)據(jù)庫(kù)權(quán)限，就非常容易泄露敏感信息，這是很無(wú)奈的事情，但換個(gè)思路，如果把密碼和敏感數(shù)據(jù)放在自己手里，要拿到破解就非常難，因?yàn)槟愕拿艽a和敏感數(shù)據(jù)硬件化了，與你自己的終端設(shè)備綁定，動(dòng)態(tài)的二維碼認(rèn)證加密，就避免了數(shù)據(jù)集中的情況，這顯然是一條未來(lái)可能會(huì)受到業(yè)界關(guān)注和認(rèn)可的方案，而且現(xiàn)在國(guó)內(nèi)已經(jīng)有公司這樣做了。蕓蕓眾聲：另外，也有對(duì)此事持不同意見(jiàn)的網(wǎng)友，ID為“shotgun”的網(wǎng)友在知乎上表示：我之所以說(shuō)目前這個(gè)流出來(lái)的庫(kù)沒(méi)太大價(jià)值，是因?yàn)樗性u(píng)價(jià)社工庫(kù)質(zhì)量和數(shù)量的都是基于去重（去掉重復(fù)的數(shù)據(jù)）后的，現(xiàn)在這個(gè)庫(kù)既然是撞庫(kù)出來(lái)的（用現(xiàn)有的庫(kù)里的賬號(hào)密碼去嘗試新的網(wǎng)站），那就等于只是驗(yàn)證了有十三萬(wàn)人在某些網(wǎng)站和12306上使用了相同的密碼而已。記者發(fā)現(xiàn)，ID為“李?！钡木W(wǎng)友對(duì)于這次12306泄露用戶賬號(hào)信息分析了三種原因：◆悲觀論：由于12306有21個(gè)分站-子域名查詢--查詢啦，可能是某個(gè)分站存在SQL注入或者Getshell漏洞，導(dǎo)致黑客直接脫褲，但是這樣脫褲下來(lái)的用戶密碼應(yīng)該是加密的，黑客可能是通過(guò)MD5逆向查找還原得到密碼。烏云也有這樣的先例，比如12306分站命令執(zhí)行(可getshell)◆無(wú)良論：某些“無(wú)良”廠家的搶票軟件存在問(wèn)題。比如，把本應(yīng)該只是用戶本地存儲(chǔ)的12306登陸賬號(hào)信息，發(fā)送到自己啊服務(wù)器，而自家服務(wù)器安全性能過(guò)低，黑客端了“無(wú)良”廠家的服務(wù)器進(jìn)而獲得了所有存儲(chǔ)著的12306賬號(hào)信息。◆偶然論：純粹的利用之前泄露的大量用戶名、密碼進(jìn)行撞庫(kù)。這個(gè)前提是找到了12306不需要驗(yàn)證碼驗(yàn)證用戶賬號(hào)的接口。該網(wǎng)友認(rèn)為第二種可能性更大，危害性也更廣，因?yàn)橐且驗(yàn)榈谝环N原因造成的賬號(hào)泄露，那么只要你的密碼足夠復(fù)雜而且沒(méi)有泄露過(guò)，那么黑客最多只能得到你密碼加密后的密文，無(wú)法找到密碼明文是什么。此外，該網(wǎng)友表示沒(méi)用過(guò)搶票軟件，他的12306賬號(hào)密碼是獨(dú)立的（不同于他在其他網(wǎng)站使用的密碼），也沒(méi)有泄