“秘密”内网被攻破 匿名APP死期将至?

业界 作者:邮箱投递 2014-06-30 06:44:32
该来的终究还是来了。数据泄露,就像是匿名社交软件这个水桶底部的木塞,突然被拔了。   微博用户ringzero(安全从业者)曝出了两张截图,像是无密(秘密更名)的后台,并宣称——#秘密#细节咱们7月乌云见。   1   6ed1574agw1ehsw5xzij8j20qg077mxz 6ed1574agw1ehsw5rbia0j20670gdglz       这个ringzero就是此前“携程信用卡漏洞”的发现人。   上面“秘密Admin”的管理后台是不是秘密的后台,秘密(无秘)方面并没有回应。   自媒体“人生如戏“在文章中推测:   “这次爆料的动机有几种可能,其中一种是:某黑客早已拖库得手了,玩服务器也玩腻了,于是就公开让行业内震精一下。   最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。” 不过无秘否认被拖库。   无秘在微博声明:   无秘数据库里没有保存手机号,注册时的手机号是为了匹配朋友关系,会经过不可逆加密,同时密钥存放在客户端,即便内部人员也无法知道具体秘密的发布者,请放心使用。   超哥做了个实验,用了一部从未下载过无秘的手机测试,下载无秘后,可以用手机号正常登陆。   就有两种可能:要么存了手机号,要么登陆时经过相同的不可逆加密算法与数据库匹配。   此外,微博网友还有以下疑问:   既然是不可逆加密,为什么还会有密钥呢?   如果密钥保存在客户端,谁知道你和好友手机号被加密成了什么?这样一来,一条信息如何判断是否是你通讯里的好友?   秘密内网被攻破   昨日晚间,乌云漏洞平台上,ID“猪猪侠”,也就是微博上的ringzero发布漏洞:"安全诟病之一无秘网络边界可被绕过成功进入内网"。   4 5     具体细节为:   无觅网网络边界可被绕过,成功进入内网也就代表能够接触到大量的服务器和数据。   测试过程读了一些开发历史文档,发现用户的手机号码信息是被不可逆算法加密的,就算获取到数据库,也无法还原秘密究竟是出自哪个手机号。   貌似每个手机号都对应一个固定的加密值,给所有13*,15*,18*的手机号码段生成一个固定的彩虹表,毕竟手机号资源是有限的(也就几百亿条),找出秘密出自谁手又好像不是那么难,具体实现方法有兴趣的可自行研究。   (彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。   越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上。)   也就是说,秘密发布者存在被破译的可能性。   厂商回复:   无秘技术人员在获知消息后立即联系猪猪侠,并且于30分钟内完成修复。微博消息给部分用户造成误解,目前所知数据库没有泄漏,没有用户有受到影响。同时数据库敏感信息均经过不可逆加密,只有获取了用户的手机才能确切知道秘密的发布者。无秘对信息安全非常重视,如有进一步消息将持续更新。   匿名社交APP的拐点   安全是匿名类社交APP的根本,与电子商务网站的漏洞不一样,泄露地址等信息不算特别大的事。   而在秘密等软件上吐槽别人、炫耀自己约炮之类的被曝光,就是人格的问题了。各路仇家会找上门。   近期也有一大波匿名社交软件出来,秘密被攻破事件后,它们也许会出来大谈自家安全如何坚不可破。   猪猪侠公布的漏洞是“安全诟病之一”,这是一个系列,假如真到了“7月乌云见”,无论拖库是不是属实,匿名社交APP的死期就真的不远了。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接