|
“我的兩個蘋果手機(jī)都成板磚了!”“你的手機(jī)解鎖了嗎����?”“你的密保答案還記得嗎?”“蘋果客服今天打通了嗎�����?”“你們給敲詐者付錢了嗎��?”10月20日��,在一個“Apple ID被盜找回”的QQ群里�,近百人在彼此焦急地互相詢問著。10月10日開始���,他們的iPhone手機(jī)陸續(xù)在一夜間突然打不開了�,屏幕上只留下一行字——“此設(shè)備已丟失,請與QQ××××××聯(lián)系(或是登錄××網(wǎng)站)�����?����!?br> 這并非小概率事件�,在新浪微博上,更多人在發(fā)出同樣的疑問����,被勒索的原因只有一個,Apple ID賬號失竊����,被黑客遠(yuǎn)程登錄iCloud后,利用蘋果的“查找iPhone”功能���,將手機(jī)鎖死����。 
類似的勒索詐騙并非新鮮事,但與此前不同的是�����,此次被盜的Apple ID都指向同一個郵箱服務(wù)商——網(wǎng)易郵箱�。 10月19日,著名白帽子網(wǎng)站烏云發(fā)布消息:網(wǎng)易163/126郵箱疑似過億數(shù)據(jù)泄露(涉及郵箱賬號/密碼/用戶密保等)���。10月19日下午5:43分網(wǎng)易郵箱發(fā)布辟謠聲明,稱網(wǎng)易數(shù)據(jù)不曾被泄露��,用戶密碼泄露只是被“撞庫”����。10月20日,《IT時報》記者拿到一份據(jù)稱是被泄露的100個網(wǎng)易郵箱樣本�����,經(jīng)過測試�����,記者不僅進(jìn)入了某些郵箱��,甚至可以通過密保問題和答案改掉原有密碼。10月21日�,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通報情況,確認(rèn)這100條數(shù)據(jù)中有20條賬號密碼匹配正確�����,但尚無法支持“過億數(shù)據(jù)泄露”這一判斷�����。10月17日 早上,一覺醒來的卷卷(化名)習(xí)慣性地伸個懶腰����,順手拿起了枕頭邊的iPhone 6 Plus,可屏幕上的一行字讓她頓時睡意全無����,“此設(shè)備已丟失,解鎖請聯(lián)系QQ3××××�,序號071?����!笔謾C(jī)明明就在自己手里,怎么會丟失呢���?可不管她如何操作�����,黑色的屏幕上只有這一行字閃爍���,手機(jī)全無反應(yīng)�。 焦急的卷卷趕緊用另一個手機(jī)撥打了蘋果服務(wù)熱線,往日幾乎一撥就通的400電話����,卻總是占線。好不容易接通后��,一聽她描述的情況�����,客服人員便告訴她�,可能是她用于注冊Apple ID的網(wǎng)易郵箱出了問題���,10月10日開始,此類投訴數(shù)量急劇攀升����,而且遇到這個問題的用戶90%使用的ID都是網(wǎng)易郵箱。 卷卷告訴《IT時報》記者��,她的網(wǎng)易郵箱是2006年開始啟用的�,2011年,她用這個郵箱賬號注冊了Apple ID�����。但蘋果客服查出的信息顯示����,10月16日,她的Apple ID被申請注銷���,然后有人用同一個郵箱地址再次申請Apple ID����。表面上看起來����,Apple ID并沒有變�����,但實際上注冊時間�、二次關(guān)聯(lián)的郵箱以及Apple ID的密保問題都已經(jīng)不是原有的信息了��。這意味著���,如果卷卷答應(yīng)了騙子����,花錢買回賬號�����,其實拿回來的是騙子重新通過郵箱注冊的新ID��,如果她沒有注意到這點�,過段時間��,騙子們完全可以利用密保二次修改密碼��,鎖定Apple ID再次進(jìn)行敲詐。 還好�����,卷卷記得她第一個Apple ID的原始密保問題和答案��,在通過了蘋果客服的驗證后����,客服表示,會將情況發(fā)郵件告知美國總部����,讓她靜等回復(fù)。 10月21日�����,A股大跌���,下午3點多�����,劉放(化名)終于解鎖了自己的iPhone�����,安裝好炒股軟件打開一看��,“今日虧損58000”�,“還好賬號找回來了,如果找不回來����,手機(jī)和iPad加起來總共還得損失12000多元?��!眲⒎胖荒苓@樣安慰自己�。 劉放的網(wǎng)易郵箱不僅綁定了Apple ID�����,還有支付寶����。10月20日發(fā)現(xiàn)問題之后���,他趕緊忙著修改自己的支付寶賬號�、密碼、關(guān)聯(lián)郵箱等信息��,同時給蘋果客服打電話�,電話卻始終在占線中。 10月21日��,在連續(xù)不停撥打蘋果客服熱線2個多小時后����, 劉放才被接入系統(tǒng),所幸Apple ID的密保問題和答案還未被修改��,回答正確后��,手機(jī)解鎖�����,“如果記不得密保答案�,也可以拿手機(jī)盒和發(fā)票到蘋果店碰碰運氣?!?/p> 然而,在“Apple ID被盜找回”QQ群里���,像卷卷和劉放這樣記得密保答案的人是少數(shù)��,更多人在群里吐槽��,“今天回答了8個答案����,都沒對,錯誤次數(shù)超標(biāo)了���,只好明天繼續(xù)打客服電話����?����!痹谌豪锏墓鏅谏腺N著一則告示:“馬上修改和重置你的網(wǎng)易郵箱�?����!?/p> 
10月19日����,烏云漏洞平臺發(fā)布報告,網(wǎng)易旗下163和126郵箱系統(tǒng)數(shù)據(jù)庫疑似大規(guī)模泄露,受影響用戶數(shù)超過1億�����。根據(jù)烏云披露的圖片����,數(shù)據(jù)壓縮包都來自126或者163�,其總大小為51.3GB。烏云特別指出��,數(shù)據(jù)信息包括郵箱賬號����、郵箱密碼的md5(一種加密算法工具)���、密保問題���、密保答案的md5。這個報告掀起軒然大波���。因為除了這些信息被泄露之外����,同時遭殃的還有用網(wǎng)易郵箱綁定的Apple ID�����、微博�、支付寶、百度云盤、游戲等等其他應(yīng)用�����。 在烏云發(fā)布報告之前����,便有用戶開始在網(wǎng)上投訴Apple ID莫名被鎖,業(yè)內(nèi)也因此有“網(wǎng)易郵箱信息泄露”的傳言,網(wǎng)易郵箱在10月18日和19日兩天對此發(fā)布公告,稱“經(jīng)嚴(yán)密的技術(shù)排查,網(wǎng)易郵箱不存在自身數(shù)據(jù)泄露問題。此次事件����,是由于部分用戶在其他網(wǎng)站使用了和網(wǎng)易郵箱相同的賬號密碼��,其他網(wǎng)站的賬號信息泄露�,被不法分子利用?���!币布此^“撞庫”���。但烏云在其官方微博上��,卻明確指出,“網(wǎng)易疑似遭遇拖庫攻擊”����。 
在網(wǎng)絡(luò)安全界�,撞庫和拖庫是兩個黑客術(shù)語。撞庫是指黑客收集目前互聯(lián)網(wǎng)已泄露的用戶+密碼信息��,嘗試批量登錄其他網(wǎng)站��,一旦用戶為了省事,在多個網(wǎng)站設(shè)置了同樣的用戶名和密碼的話��,黑客很容易通過已有的信息�,登錄這些網(wǎng)站��,從而獲得用戶的相關(guān)信息��。拖庫則是指黑客直接進(jìn)入網(wǎng)站把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為�。 記者采訪多名Apple ID被鎖的用戶均表示,自己的ID賬號是網(wǎng)易郵箱��,而且郵箱密碼和Apple ID密碼均是唯一�,并沒有與其他網(wǎng)站密碼重疊。 國家互聯(lián)網(wǎng)應(yīng)急中心已證實10月20日�, 國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布了對此事的通報:10月19日15時15分, CNCERT接到網(wǎng)易公司投訴�,稱烏云曝光情況不實;15時40分����,CNCERT收到烏云對該事件的處理請求。經(jīng)過對相關(guān)數(shù)據(jù)驗證���,CNCERT的結(jié)論是��,此次事件中有部分用戶受到影響�����,但目前已披露的數(shù)據(jù)尚無法支持“過億數(shù)據(jù)泄露”這一判斷����。 到底是拖庫還是撞庫?不少業(yè)內(nèi)人士告訴《IT時報》記者��,雖然這次泄露事件還沒有最終定性���,“但從流露出的信息來看,包含了密保問題�����、密保答案等更為隱蔽的信息�,如果僅是通過撞庫,很難獲得密保等信息����,撞庫的攻擊方法一般只會暴露用戶名和密碼。”國內(nèi)安全團(tuán)隊KeenTeam成員呂禮勝告訴記者�����。 “測試賬號是否有效的端口應(yīng)該是網(wǎng)易旗下某PC游戲��,上個月就有人發(fā)現(xiàn)漏洞了�����。我就知道這些��?��!绷硪晃弧鞍酌弊印备嬖V記者���。所謂測試賬號,黑客拿到數(shù)據(jù)庫后��,要排除其中失效�、密碼以及資料錯誤的賬號,這時需要找一個無需驗證碼的測試登錄端口���,通過這種方式找出具有高價值的信息后�����,再通過黑市銷售�����。不過這位“白帽子”認(rèn)為��,如果真有50G數(shù)據(jù)庫�,被直接拉走的可能性不大,但也有可能是拖庫者布局很久����,漏洞存在時間也很長。 在360補天平臺負(fù)責(zé)人鄧煥看來����,根據(jù)網(wǎng)上流傳的數(shù)據(jù),網(wǎng)易郵箱系統(tǒng)應(yīng)該存在問題�,不過大多數(shù)密保答案會用到中文��,解密難度對個人來說比較高�。 
實際上,這并不是網(wǎng)易第一次被曝出信息安全問題�,2013年的央視315晚會上曾曝光網(wǎng)易郵箱存在偷窺用戶郵件內(nèi)容�,默認(rèn)第三方公司在其網(wǎng)站掛代碼����,從而獲得用戶所有瀏覽記錄。今年7月�,網(wǎng)易內(nèi)部運維員工的郵箱賬號等敏感信息也泄露了。 記者在烏云平臺上看到�,7月16日,烏云曾公開過網(wǎng)易的一個漏洞��,其涉及大量內(nèi)部系統(tǒng)�、內(nèi)部服務(wù)器權(quán)限、企業(yè)架構(gòu)等敏感信息�,在對于這個漏洞的詳細(xì)說明中,漏洞報告者通過賬號和密碼進(jìn)入網(wǎng)易的網(wǎng)絡(luò)管理系統(tǒng)后�����,登錄到交換機(jī)�,并通過抓包(數(shù)據(jù)截取)獲得一個普通密碼和enable密碼���,繼而逐步深入獲取內(nèi)網(wǎng)權(quán)限��,拿到內(nèi)部人員郵箱���,再次通過抓包獲取密碼�����,直至進(jìn)入內(nèi)網(wǎng)�,出現(xiàn)大量的內(nèi)部服務(wù)器����、系統(tǒng)、數(shù)據(jù)庫信息�,甚至還進(jìn)入了網(wǎng)易CEO丁磊的郵箱。烏云平臺顯示�,網(wǎng)易已經(jīng)確認(rèn)了這個漏洞,而這個漏洞也被烏云平臺打上了“安全意識不足”的標(biāo)簽����,“就好比一個再堅固的防盜門,只要被盜賊拿到了鑰匙���,就徹底失去了防護(hù)作用�?!?/p> 網(wǎng)易郵箱在官方回應(yīng)中提到����,網(wǎng)易郵箱獲得了國家最高等級安全證書EAL3+�,是目前郵件系統(tǒng)領(lǐng)域最高安全級別證書�,也是中國唯一一個獲此認(rèn)證的郵件服務(wù)商?���!禝T時報》記者了解到,該證書由中國信息安全測評中心頒發(fā)��,該中心對網(wǎng)易進(jìn)行了2年的考察和審核�,才頒發(fā)了此證書。一位中心工作人員告訴記者����,要拿到EAL3+證書,要經(jīng)過文檔審核�����、獨立性測試�、現(xiàn)場核查、回歸測試和綜合評估等各個環(huán)節(jié)����,“現(xiàn)在來咨詢這張證書的郵件服務(wù)商蠻多的��?!痹摴ぷ魅藛T告訴記者�����。 不過���,在安全業(yè)內(nèi)人士看來�,有了這張證書并不代表著在安全方面沒有任何問題��,“一套系統(tǒng)不可能天衣無縫��,一些可以加固安全的措施還是要格外重視�,比如運維人員的設(shè)備賬號密碼和郵箱密碼是否一樣?有多少員工在各類IT系統(tǒng)使用同一套密碼�����,并且還是弱密碼?員工離職后是否及時撤銷其內(nèi)網(wǎng)的權(quán)限,撤銷是否徹底��?”在呂禮勝看來,一套系統(tǒng)能否被攻破,關(guān)鍵還是看其防御程度����。 經(jīng)過一名“白帽子”的指點��,《IT時報》記者拿到了一份名為“163mail”的文檔�����,其中有100條數(shù)據(jù)����,每條數(shù)據(jù)的開頭是一個163或者126的郵箱賬號,后面是一串亂碼�����,接著是一個問題�����,比如“我的哥哥是誰”����,然后又是一串亂碼,最后是一個IP地址和一個年月日組成的日期。這位“白帽子”告訴記者���,第一串亂碼為郵箱密碼�����,問題應(yīng)該是密保問題�����,而第二串密碼應(yīng)為密保的答案���,后面應(yīng)為用戶生日。 
在這位“白帽子”推薦的一個專業(yè)解密網(wǎng)站上����,記者輸入了一個郵箱對應(yīng)的一串亂碼,經(jīng)過幾十秒等待����,亂碼變成了一組數(shù)字。在網(wǎng)易郵箱網(wǎng)站上�����,利用賬號和這個解出的密碼,記者順利進(jìn)入了這個后綴為163的郵箱�。不過,這100條信息并非每條都能解開���,有些密碼雖然被解讀為明文��,但輸入后顯示,賬號和密碼并不匹配����。20日,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)同樣拿到的也是這份文件����,經(jīng)過他們測試,有20條信息賬號和密碼匹配是正確的��。 然而����,在這個樣本中,更可怕的并非是賬號密碼一致���,而是密保問題和答案也被泄露��,這意味著����,拿到資料的黑客,不僅可以進(jìn)入你的郵箱����,還可以改掉你的郵箱密碼。在成功破解了一條問題為“老婆的電話密碼”的答案后��,記者進(jìn)入網(wǎng)易郵箱�,輸入賬號,選擇“忘記密碼”�,在找回密碼時選擇“根據(jù)密保提示問題”,跳出的密保問題果然為“老婆的電話號碼”����,輸入答案后,頁面提示“請輸入新密碼”�����。郵箱密碼被改的后果是����,即使蘋果用戶想通過郵箱重置密碼���,也無法進(jìn)入郵箱進(jìn)行確認(rèn)。 可怕的黑色產(chǎn)業(yè) 可悲的安全漠視“介意我用一個實際案例給你解釋一下黑產(chǎn)嗎����?”10月20日�,一位“白帽子”在QQ上如是問我。“你的密碼是××××××����,你畢業(yè)于×××學(xué)?���!痢良?�,你的另一個手機(jī)號是××××××你的辦公室在某路某號某層����,你的微博小號是×××���?���!?/section>屏幕上一連串個人信息被清晰地列了出來��,坐在桌前的記者����,一身冷汗�����。“你怎么知道的�?”“你的密碼很可能是在某個網(wǎng)站上注冊使用過���,這個網(wǎng)站被黑客拖庫了�����。其他的個人信息��,基本是根據(jù)社會工程學(xué)���,在不同已泄露的數(shù)據(jù)庫中交叉比對����,最后總結(jié)出來的���?���!?/section>黑色產(chǎn)業(yè),簡稱黑產(chǎn)�,原本是指鋼鐵產(chǎn)業(yè)���,如今卻成為利用病毒�、木馬��、攻擊數(shù)據(jù)庫等手段獲取信息�,并利用信息獲得利益的非法產(chǎn)業(yè)的代名詞�����。黑產(chǎn)的操作方式是先經(jīng)過第一輪洗號��,選出一批高價值的信息����,去撞游戲平臺����、第三方支付平臺等與現(xiàn)金交易緊密相關(guān)的平臺����,這樣帶來的價值可能上千萬����,甚至上億;第二輪才會賣給一些詐騙團(tuán)伙����,類似這次鎖定iPhone���,進(jìn)行敲詐或者電訊詐騙���。 真相往往令人毛骨悚然����。生活在互聯(lián)網(wǎng)時代的我們,似乎對信息泄露已習(xí)以為常�。然而��,黑產(chǎn)的發(fā)展,已經(jīng)不再僅僅是給你撥打個廣告電話�����、發(fā)個垃圾短信這么簡單,而是基于數(shù)十億數(shù)據(jù)的智能分析����。某種程度上,黑產(chǎn)的“魔頭”才是真正的大數(shù)據(jù)擁有者����,你的信息泄露得越完整����,面臨的風(fēng)險便越大。 然而��,比信息泄露更可怕的是���,互聯(lián)網(wǎng)公司對于安全的“漠視”����。不久前暴露的蘋果 xcode被污染的案例便說明�,很多公司�,甚至是大公司�,網(wǎng)絡(luò)安全意識之薄弱,難以想象����。你們在燒錢圈用戶的同時��,能在安全上多花點錢嗎? 獎品是“球迷棒”�,可觀看英超全年380場賽事的直播與轉(zhuǎn)播��,插到電視機(jī)上就能看����!每周評論得贊數(shù)最多者��,就能拿走“球迷棒”�����!杜絕刷贊,一經(jīng)發(fā)現(xiàn)����,取消資格����。
|
