上次的写了两篇互联网黑暗森林之后,依然还有许多故事值得思考和讨论,只是还没有现实成文。刚才随便逛了下论坛,发现下午又有新闻,趁热打铁写下来。
今天下午1点38分,360旗下的补天漏洞平台公布了国内最大的漏洞发布平台“乌云”的漏洞信息(听起来有点绕,其实有点掐架的感觉)。
并且贴出了漏洞截图和对应的数据库信息,以证实漏洞真实性
然后紧接着补天网站挂了,接着乌云首页也挂了,双方都宣传是被ddos(网络攻击)。乌云在社区内发布公告,并且还不忘自我吹嘘一番。
从1点38分,到2点54分,似乎不是5分钟啊。这都不是重点,重点是,为什么两个站都会被相继攻击?坊间有一个猜测说乌云看到补天发布漏洞后就把补天打了,后来为了避免漏洞被利用直接关了自己网站(注意,仅是猜测!虽然看起来的很合理)。
然而,还有一个事实是乌云在今天早上发布了360浏览器的高危安全漏洞,请注意文章开头,补天是360旗下的,事情似乎又神奇了些:
我们就不管是不是在掐架还是另有幕后,如果你认为这些事情离我们很遥远,那就大错特错了。
前几天知乎爆出骗捐15万的知乎女神竟然是个男儿身(还是苏州的)。各大新闻媒体报道行骗过程并且谴责的时候,我们不妨看下女神是怎么被扒皮的。
有人对女神的一篇帖子的回复产生了怀疑,然后开始整理女神的发帖纪录,收集“她”帖子里的募捐者的姓名、昵称、邮箱、支付宝账号。然后在社工库(一个万能的密码箱)里进行了匹配,最终发现所有昵称、伪造的姓名都是同一个人 – 童超(苏州,男,已婚,爱在贴吧写小说)。
那么,社工库又是什么鬼。这就又要回到最初的乌云这些漏洞提交平台了。首先无论是黑客(黑帽子)还是骇客(白帽子),全球每天都有无数的漏洞被发现。部分有良知的白帽子会选择公布到漏洞平台,并通知对应网站,引起注意提醒修复。而更多无良的黑帽子,则选择先收藏漏洞,像一个正常文档整理一样存为一条记录(没有第二个人发现的漏洞通常称为0day),保险起见会把重要数据全部下载到自己本地。这些0day或者数据就作为一个普通商品在黑市上进行流通和出售,一手的资源是最贵的,渐渐地分发出售后资源的价值就降低了,直到被某些别有用心的人选择公开。
有哪些网站被公开过呢? 天涯、人人网、7K7K、网易、京东等很多大站都被公开过用户信息库,包含登录密码。
数据就是资源,有人想看自己的密码是否泄露,也有人想看别人的密码是什么,所以社工库这类网站就出现了,它汇集并整理了目前公开泄露的所有信息,只要在网站上输入信息关键词,例如邮箱、用户名、QQ号之类的,你就可以看到所有已公开的密码信息。当然免费的是看不到的,想看到得收钱。
因为数据获取非常容易,网站也无需技术,跟开房信息查询的网站一样,通过一个人的窥私欲来赚钱,太好赚了。所以竞争也特别激烈,各种攻击,相互举报。然而互联网就是这样,只要有商机就永远有人前赴后继。
其实最悲催的是用户,我们信任一个网站,去注册了,并留下了密码和其他身份信息。或许是技术太菜,或许是故意为之,你的数据信息就被曝光了。反正网易数据泄露已经不是一次两次了,去年10月还在辩驳说没有这回事,反而打脸乌云。
而乌云这类漏洞提交平台也非善类,因为上面的漏洞都是公开的,XX网站由于XX方面的原因有XX的风险。对于我们这等小白是看不懂的,但是对一些专业选手来说,不用再去自己辛苦的扫成千上亿个网站的漏洞,只要及时查阅平台内容,根据提交的漏洞信息大致尝试即可。平台成为了最新的漏洞播报站。
拿本人举例,由于比较懒,很多网站都是一样的密码,从最开始的天涯泄露用户密码之后,我在很多论坛的用户名就被禁言了,因为被登录并且狂发广告信息。若干年过去了,也许还有非常多的我已经不经常光顾的网站,在被垃圾信息利用着。
密码可以改,照片、身份证、银行卡呢?似乎改起来没那么简单。百度图片搜索身份证就有一堆信息出来,而且万能的某宝出售个人全套信息只需要70元。而所幸的是国内支付没有那么发达(即便是有了支付宝,网银支付也相当繁琐),很多国外支付仅需签单,在线支付仅需卡号、过期时间和CVV2就行了。
于是支付危机就来了,2014年底陆续爆出在京东使用信用卡支付过的用户被盗刷。而更多的小网站支持用户使用信用卡直接支付,然后保留信用卡信息,然后信息被泄漏,或者管理员有意盗取(这是一条历史久远的产业链,俗称黑卡)。
是不是好惊悚!那我们该怎么办?
1,尽量使用手机号+验证码注册和登录网站,QQ和微信的一键登录目前也较为普遍了
2,在线支付使用支付宝或者Paypal等第三方支付平台
3,无论何时都不要在线填写信用卡的CVV2,因为网站肯定会存储你的信用卡信息。
4,设立密码的使用频率分级,例如在陌生网站使用密码A,在正规网站使用密码B,在常用大型网站使用密码C,这样牵连的概率就会减小。
互联网早已乌云密布,当你看到闪电的时候,就快改密码吧,等你听到雷声时,你的账户已经被清空了!
PS:当前可用社工库之一xiumima点com
调查:
联系方式:如果您有更好的话题或者建议,请直接回复本公众号,或者邮件至[email protected]
欢迎关注微信公众号“秉烛夜谈”,我是一秉,各位晚安!
