黑客教父詳解賬號泄露全過程：1億用戶密碼已被破

來源：騰訊科技     2011-12-28



　　2011年12月19日有著中國黑客教父之稱的goodwell龔蔚在其騰訊微博發表了一篇微博再次指出互聯網信任危機一觸即發，其後的48小時，中國互聯網迎來了歷史上最大的災難性的安全事件。騰訊科技特邀請龔蔚從專業角度對本次事件進行深度解析。

　　龔蔚表示，本次黑客公布的用戶賬號約為1億個用戶賬號及密碼相關信息，預計地下黑客掌握了更多的互聯網用戶賬號信息，本次泄露及公布的與實際被黑客掌握的用戶賬號數相比只是冰山一角，預計有將近4到6億的用戶賬號信息在黑客地下領域流傳（2011年互聯網數據統計，中國互聯網網民為4.8億），這次被黑客公布爆庫的網站數據信息只是黑客地下流傳的極少一部分。

　　他透露，其中有相當一部分網站採用明文方式存儲用戶密碼，分析預計約有2億的用戶密碼為明文存儲。其餘90%以上的網站採用公開的MD5演算法對用戶密碼進行存儲，通過簡單的彩虹表碰撞（一種加密密碼破解的方法）可以在數秒鐘內破解加密存儲的密碼。

　　以下為本次賬號泄露的基本時間表：

12月21日：CSDN 640W用戶帳戶，密碼，郵箱遭到黑客泄露

12月22日：中國各大知名網站全面淪陷.涉及範圍甚廣，泄露信息涉及用戶相關業務甚多.... 一場席捲全中國的密碼安全問題爆發了....

12月23日：經過確認 CSDN 泄露 多玩 泄露 夢幻西遊帳戶通過木馬泄露 人人網部分泄露

12月23日：網友爆料 天涯淪陷...7K7K包中包含天涯帳戶密碼!!!互聯網安全何在???

12月24日：178淪陷 UUU9淪陷 事態蔓延...

12月24日：天涯全面淪陷 泄露多達900W帳戶信息...

12月24日：網易土木在線也淪陷，數據量驚人...

12月25日：百度疑因帳號開放平台泄露帳戶信息...

12月25日：北京麒麟網信息科技有限公司疑泄露百度與PPLive帳戶與密碼.並且自身帳戶信息全部泄露...

12月25日：UUU9.COM被黑客兩次拖庫..

12月25日：事態升級天涯疑泄露4000W用戶資料

12月25日：178第二次被拖庫泄露數據110W條

12月25日：木螞蟻被爆加密密文用戶數據，約13W數據

12月25日：知名婚戀網站5261302條帳戶信息證實...

12月26日：myspace泄露，迅雷又成功離線3個泄露包!

12月26日：ispeak泄露帳戶信息 已驗證!請官方通知會員修改密碼!

12月26日：網路流傳包17173.7z中17173.0為178帳戶信息，178慘被拖庫3次

12月26日：網路流傳包17173.7z中17173.3為UUU9.COM帳戶信息，泄露數據不詳

12月26日：塞班智能手機網校驗準確率高達70%！！或塞班智能手機網淪陷

12月27日：網易土木論壇通過碰撞分析密碼，用戶資料全部屬實！共計135文件，4.31G 資料泄露時間疑為2011-07-09 15：09：11(已論壇發帖通知，廠商未回應.)

12月27日：178.com徹底淪陷，共計泄露超出1100W+ 數據!

12月27日：766驗證泄露，泄露數據十餘萬！

12月27日：ys168驗證泄露，泄露數據三十餘萬！

12月27日：凡客20W 噹噹10W 卓越20W 用戶資料驗證泄露

12月28日：太平洋電腦泄露200W用戶資料包含用戶帳戶

12月28日：大學資料庫泄露，身份證信息泄露，更為敏感內容糟駭客泄露，泄露數據不詳，只能靠截圖揣摩!

以下為本次賬號泄露情況的基本信息表：

CSDN共計泄露640萬個帳號，泄漏信息：帳號、明文密碼、電子郵件；

多玩：共計泄露800萬個帳號，泄漏信息：帳號、MD5加密密碼、部分明文密碼，電子郵件，多玩昵稱；

178.COM：共計泄露188萬個賬號，泄漏信息：帳號、MD5加密密碼、全部明文密碼、電子郵件、178昵稱(178賬戶通用NGA)

天涯：共計泄露4000萬個帳號(預計超過4000W數據)，泄漏信息：帳號、明文密碼、電子郵件

人人網：共計泄露500萬個帳號，泄漏信息：明文密碼、電子郵件

UUU9.COM：共計泄露700萬個帳號，泄漏信息：帳號、MD5加密密碼、全部明文密碼、電子郵件、U9昵稱

網易土木在線：約4.3GB 137個文件，泄漏信息：帳號、MD5加密密碼、其他相關數據

夢幻西遊：約1.4G(木馬盜取)，泄漏信息：帳號、郵箱、明文密碼、角色名稱、所在伺服器、最後登陸時間、最後登陸IP。

北京麒麟網信息科技有限公司：共計泄露9072966個帳號，泄漏信息：帳戶、明文密碼

知名婚戀網站：共計泄露5261302個帳號，泄漏信息：帳戶、明文密碼

Ispeak.CN：共計泄露1680271個帳號，泄漏信息：帳戶、明文密碼、昵稱

木螞蟻：共計泄露13W帳號，泄漏信息：帳戶、加密密碼、資料庫排序ID、其他信息

塞班論壇：共計泄露約140W帳號 泄漏信息：帳戶、明文密碼、電子郵箱

766.COM：共計泄露約12W帳號，泄漏信息：帳戶、md5(md5(pwd).salt)密碼、salt、電子郵箱、資料庫排序ID

ys168：共計泄露約30W帳號，泄漏信息：帳戶、明文、電子郵箱

噹噹：共計泄露約10W用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、電話

凡客：共計泄露約20W用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、電話

卓越：共計泄露約20W用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、，電話

　　誰是幕後的主謀？

　　龔蔚認為，從某種意義上說任何一個安全廠商都可能是事件之後直接的利益獲得者，首次公布CSDN泄密信息為金山一個不知名的技術人員，但事件的第一個出場人物不是這些數據的最早擁有者，且就算憑藉他的一己之力也不可能掌握如此龐大的數據，面對事件帶來的極大社會影響誰都可以預知，顯然作為長期站在黑客對立面的商業公司肯定不願意攪這趟渾水。

　　他表示，從技術分析，一個或者幾個聯合體的黑客團隊完全可能掌握這些龐大的地下信息，但是公布這些信息顯然是對他們沒有任何價值的，就目前來看還沒有一個黑客團隊公布對該事件的任何信息，公布近億的用戶數據就為了一個出名顯然不可能。

　　他認為這次得信息泄露就是一場蝴蝶效應，當一部分密碼被泄露后，一方面用戶首先會做的就是更改他所有網站的密碼，而另一方面對於黑客來說，他以前掌握的這些用戶賬號密碼但來自於其他不同的網站，當黑客發現他們的密碼將不再有任何的價值和意義時，隨即娛樂大眾拿出自己掌握的數據來與大家分享一下，用黑客那種獨有的桀驁不馴的性格愚弄和嘲諷這些所謂的門戶網站。這是一種連鎖反應。

　　產業鏈解析

　　龔蔚稱，黑客地下產業細分很明確，一旦獲得用戶賬戶信息（黑客們習慣稱為刷庫），將進行流水化的洗庫工作，龐大的群體等待著這些賬戶密碼（黑客俗稱洗庫），下線洗庫的首先判斷是否可以登錄其他所有的將近500個大型網站，然後分門別類的區分出不同的賬號價值，比如短位QQ賬號（5位6位的QQ號），帶有虛擬幣的系統比如支付寶系統，網游系統，通過第一次的刷庫將其最直接的虛擬幣或遊戲賬號進行轉移，第二梯隊根據刷下的庫對用戶賬戶信息進行篩選，將用戶的一些基本信息進行保存，比如密碼習慣，找回密碼的答案，然後再根據這些信息去嘗試用戶其他的賬戶，同時進行二次刷庫。

　　掌握某些網站的關鍵維護人員的用戶賬號信息后，他們的密碼很可能就是某些網站的維護密碼，這為刷庫的黑客帶來了更多的入侵機會，他們將會嘗試這些管理員的密碼擴大入侵的範圍，（黑客俗稱「社會工程學破解」）。

　　龔蔚表示，更多的產業鏈在等著這些刷庫工作者，用戶數、遊戲運營商需要註冊用戶數，廣告商要用戶數，刷庫的可以在短時間內將任何有需求的註冊用戶數提升上去，而且都是真實的用戶。

　　他透露，更為可怕的是，根據資料庫可以判斷出賬戶的社會關係，如果一個密碼資料庫里只有5個人用，那就是馬甲了。如果一個郵件後綴只有30個用戶那你們就是某種特定關係的朋友或者是同事。

　　一個IP用戶不同賬號同時發了幾次微博，那你一定離得很近。如果一個密碼找回的問題有著同樣的答案且不多過10個重複率，那你們之間一定有聯繫。還有更多的黑客分析演算法，目的只有一個這將作為下一個產業鏈的開始，可以是詐騙，可以是敲詐。因為他知道網民背後所有的秘密。

　　他介紹，就算最後所有的價值都被榨取完了，這些賬號還是有利用價值的，這些信息將被無情的低價倒賣給一些專門發送垃圾郵件，垃圾廣告的群體，你的每一次點擊將會給他帶來1毛錢的收入。