余弦:八卦隐私大爆炸

观点 作者:HackerEye 2016-06-10 05:43:09
关于隐私泄露相关的话题过去几年我写过不少,感兴趣的可以翻看我历史文章,这里再继续八卦八卦吧,让不懂的人开开眼。 最近两个站点特别火: leakedsource.com 截止目前已经收集了 18 亿多的用户隐私记录,这些记录如图: 隐私大爆炸 LinkedIn、MySpace、Badoo、VK、Twitter,哪个不是重量级,出现一个,全球风波一轮,用户的小心脏啊... 看看这几个的密码策略:
LinkedIn - SHA1 不加盐 MySpace - SHA1 不加盐 Badoo - MD5 不加盐 VK - 明文密码 Twitter - 明文密码,不过这个明文来自用户浏览器本地保存的明文,由于感染了恶意软件,导致这些密码被偷,Twitter 本身是密文加密的 科普:一般来说,密码加盐(salt,如一个随机字符串)是普遍的安全措施,能防止密码被轻易破解。如果不加盐,那么通过足够大的彩虹表与计算是可以轻易破解的
haveibeenpwned.com 这个站点收集了更多,如图: 640 放眼望去,都是国外的,那么国内的呢?恩...等等,列不下,这里就不列了...再等等,有没有更多更多的隐私库?有啊,但是我现在暂时不八卦,有机会未来继续第二篇。 这么多隐私库泄露,都是怎么泄露的?大概总结如下:
  1. 目标网站因为漏洞被拖库
  2. 目标网站出现内鬼,直接把库带出来
  3. 目标网站出现 XSS/CSRF 等类型的蠕虫,通过蠕虫传播得到一堆隐私
  4. 目标网站的目标用户被大规模钓鱼,通过钓鱼得到一堆隐私
  5. 目标网站的大量用户终端感染了恶意软件,得到目标网站隐私(包括保存在浏览器本地的明文密码)
  6. 上条的终端恶意软件更换为浏览器恶意扩展,效果一样
  7. 目标网站的用户上网流量被各种神神秘秘的中间人劫持,得到目标网站隐私(可能包括传输过程中的明文密码)
  8. 目标网站的第三方流行应用被拖库,间接导致
  9. 目标网站被撞库
  10. ...
这么多隐私库,黑客到底能怎样?见我两年多前写的文章:如果你掌握「隐私武器」。 我们该怎么办?见我前些天的文章:黑科技之一个靠谱的密码记忆模型(文章底部的留言也精彩),然后定期修改密码且随机应变。 最后:人那,开心最重要,别活得太累,你说对吧?:) 题图:还是来自 L1nux3rr0r,一个有故事的黑客 ----------------- 余弦@知道创宇 关于我,回复 about 查阅 微信公众号「Lazy-Thought」,一群黑客在维护,都很懒

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接