A 站数据泄漏后，我们深究了这 5 个细节

6 月 13 日凌晨，A 站发布公告称网站遭遇黑客攻击，近千万条用户数据外泄，我们对此事件进行了报道(点这里)。

不过，在 A 站发布的公告中，我们还发现一些待考究的细节，比如，公告中说泄漏的是 A 站已经加密存储的密码，那既然不是明文密码，泄漏之后会被黑客破解吗?A站所说的更强的密码策略，到底是什么?拖库的部分数据已经能在 github 上看到，A站到底是什么时候知道用户的数据泄漏的?摩拜真的被拖库了?已在暗网上售卖的网站 shell 和 内网权限究竟会对用户和A站产生什么样的影响?

 

 

带着这些疑问我们找到了安全专家西盟。

1.泄漏的是已经加密存储的密码，并不是明文，后果严重吗?

在公告中，AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。

也就是说，黑客拿到的并不是你的明文密码，那这些加密存储的密码是否会被很快破解?

一般而言，网站对密码的存储都是加密存储，真实密码是多少，A站也不知道。

比如，你的密码是345678，但在 A 站中，可能是下图红框中的16位或32位的一串数字。

 

 

▲某MD5加密算法密码破解网站

只是，加密算法有容易破解的，也有难度较大相对不容易破解的。目前市面上最常见的加密算法是 MD5，由于使用的范围比较广，所以也“成功”吸引了黑客的注意，目前，针对这类加密算法，已经有很多在线的破解网站，而且破解的能力可能有点超出你的想象。

 

 

如果你的密码是六位以内的密码，而且你所登录的网站还用的是MD5的加密算法，那么，不用怀疑，只要这家网站被黑客盯上，你的密码一扫一个准(上图中写的是100%)。

2、更强的密码策略是什么?普通用户怎么办?

在公告中，我们看到A站说自2017年7月7日之后，用了更强的加密算法策略，那这种策略是什么?

西盟猜测，A站此次被拖库，不仅仅是密码的问题，在拖库之前，黑客一定是已经通过SQL或者XSS等漏洞攻击手段入侵了网站，才能被拖库，所以网站本身是有漏洞的，要先堵住漏洞。

而后，再谈真被入侵了，再采取哪些措施。公告中所说的更强的加密策略，西盟猜测应该是升级了加密算法，比如舍弃 MD5，采用了 sha256 等破解难度更高的加密算法。

所以，我们看到公告中说，7月7号他们升级了加密算法，但这只针对用户再次输入密码时才能升级，不输入的话，A站不知道你的原有密码，它数据库中存储的是不可逆的加密数据(虽然部分可能可以通过上面的破解网站破解)，也就没有办法直接对原始密码进行重新加密，除非用户重新登录时才可以重新加密存储。而很多用户没有重新登录的话，最后的结果就是，东窗事发，黑客拖库获得了大量的较容易破解的加密数据，上千万用户人心惶惶。

那高危用户现在该怎么办?西盟给出了三点常规建议：

1、重要网站不要和普通 网站用一个密码。
2、密码尽量复杂点。
3、尽量访问https的网站等。

3.拖库的部分数据已经能在 github 上看到?A站到底是什么时候知道用户的数据泄漏的?

今天，在 A 站发表声明和暗网兜售数据的截图之外，雷锋网编辑还看到了部分在 github 上已经公布的数据，这意味着，黑产不用费劲去弄比特币在暗网上购买，直接点进去就能得到部分用户的泄漏数据。

 

 

话说，黑客不打算拿这个卖钱了?

紧接着，又看到了底下的这张截图，大意就是黑客早已把安全漏洞报给A站，但是对方不理他们，后来他们被惹毛了～

 

 

黑客扬言，6月13日，会在 Github 上公布300条，如果还没有回复，15号会紧接着公布3000条，如果再没有回复，18号就是10000条，还会包括 admin 用户。。。

所以A站选择今天发公告，并不是因为它今天才知道有严重的数据泄漏的!

4.摩拜真的被拖库了吗?如果属实，会有哪些后果?

在网上流传的暗网售卖截图中，与A站并肩出现的还有摩拜。

 

 

对于摩拜是否中招的问题，西盟回应，目前他还没有看到有实锤的数据出来，所以不能百分之百肯定。

 

 

不过目前，已有售卖的截图在圈内流传。

西盟认为，如果属实，那么，摩拜用户的个人信息，住址、骑行记录(从哪到哪，是不是经常去骑车去酒店开房)、手机、邮箱等数据也可能被泄漏。

此前，csdn也遭遇过明文密码泄漏，更恐怖!联通也中过招，有漏洞可以查到一个手机号的通话记录，比如经常和哪个手机号联系(简直是抓小三神器)。

5、获得 shell 后会产生哪些后果?

除了用户的数据泄漏，暗网中兜售的还有网站 SHELL 和内网权限，这会造成哪些后果?

一般来说，shell 是黑客入侵网站服务器后，给网站服务器植入的后门，方便日后面对服务器进行控制，获取数据。那如果被黑客拿到权限，会有哪些后果?

西盟以敏感数据举例，在公司里面一般都会有自己的内网，公网是不能直接访问的，比如内网文件服务器、内网 OA 等，如果黑客拿了网站权限 ，就能知道这家公司真正有多少用户、活跃率如何，平时公关时对外公布的数字是否真实?如果虚假，会直接影响公司融资，然后。。。狗带?

他还总结了一波各类网站被黑客获得 shell 的过程和后果，大家可以感受一下。

1、很多网站拖库后，可以拿到用户的手机号和密码，然后再去试下你的支付宝、微信是不是用的同一个密码之类，或者是把你们网站的用户联系方式卖给其它公司，比如贷款的、卖房的。

2、一些媒体网站被入侵后，被黑客直接用来发博彩广告。(我要把这个例子告诉老板)

3、修改公益网站的捐款网站，偷偷把对外公布的捐款银行帐号改成自己的，反正都是数字一般人也看不懂。

4、入侵电商网站，偷偷给自己充值，或者把1万块钱的东西改成1块钱的，自己一买，然后再把原价改回去。

5、入侵游戏公司，有自己研发的，偷了你们代码，去建私服或者卖掉。

6、把公司合同数据偷回来，然后卖给竞争对手挖墙脚。

标签： https 安全 代码 电商 电商网 电商网站 服务器 漏洞 媒体 权限 数据库 网站服务器 选择

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。