一、前言
今天,成立于2007年6月的A站在官网公告声明用户数据库遭攻击。
但在9号就已有黑帽子在暗网发布消息,以 40 万人民币的价格卖出 900 万条用户数据。也就是每条用户数据才值 0.044 元,可以看出在国内用户的数据真的不值钱!
从上述信息中,我猜测它的被攻击流程大概是:通过 shell 进行提权,打入内网绕过防火墙,最终将用户库数据拖掉。
二、思考
- 什么是 0day
对于不了解安全的人来说,也许一脸蒙B,文中的shell便是0day。
- 密码强度不是最高级别
公告中说,密码强度不是最高级别,难道是没有加盐进行处理吗?你不会还在用王小云教授已经破解的hash函数算法MD5、SHA0吧!!!
如果真是这样的话,你的防碰撞能力就太弱了,基本上可以用彩虹表或者cmd5分分钟拿到你的密码。
cmd5和彩虹表利用到的技术便是——反向查询。这里要说cmd5这个网站,它支持多种算法,实时查询记录超过24万亿条,共占用160T硬盘,成功率一般能达到95%以上。我们可以看出凡是基本不够强壮的密码基本上都可以碰撞处理。
- 如何防护
对开发人员而言,1、要防止脱库;2、使用安全的非对称hash算法+高强度的随机盐;3、对于频繁登录的用户弹出复杂度高的验证码来拦截机器人破解。4、自己不做登录,使用第三方登录,如小密圈一样,把账号安全抛给微信团队,只能通过微信进行登录。
对个人而言,1、设置复杂度高的密码;2、一站一密。
三、总结
这次事件值得我们深思。就企业而言,如果没有能力成立安全团队,建议把安全交给第三方的企业,毕竟它们最专业;出现大的泄露事件,第一事件报警。就个人而言,需要不断培养自己的安全素养。
如果你身边有A站的小伙伴,记得转发给他,叫他早点改密码哟!!!
