昨天烏云的一個漏洞報告大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳包括用戶帳號、明文密碼、身份證郵箱等(泄漏途徑目前未知) 引起關(guān)注。對此，烏云的白帽子默默無聞的尋找線索，最大化了解影響的范圍，一起看下收獲：

首先，這份13w數(shù)據(jù)最原始的文件名應(yīng)該是醬的：

啥還有售后群?難不成還提供更新與不滿意退貨服務(wù)?但不管怎樣，這群號是個非常關(guān)鍵的線索，于是我們的白帽子偽裝成買家，在群里還真聯(lián)系上了一位賣家(數(shù)量過于龐大，無法驗證真?zhèn)?，所以模糊處理?

此人直接扔來7條數(shù)據(jù)，而且格式與互聯(lián)網(wǎng)上傳播的13w一致，但只有一條與那13w數(shù)據(jù)中的重合其他的都未能查到，似乎13w數(shù)據(jù)的完整性證明充滿了疑點

嗯，嘴很嚴(yán)(最有價值的黑客獲取方式套取失敗，所以不能隨意下結(jié)論)

白帽子想了個好辦法，不如取要一些與自己同姓用戶的數(shù)據(jù)，在看看重合率與真實性

結(jié)果這些數(shù)據(jù)在13w數(shù)據(jù)中一條也沒查到(并且經(jīng)過測試的確可以登錄12306)這特么究竟還有多少我們不知道的數(shù)據(jù)被售賣著?烏云君知情后尿了一下午。。。遺憾的是，這個時間點恰好趕上外界媒體的報道。該賣家似乎嗅到了危險突然下線消失，再也不見了，不見了(今天發(fā)現(xiàn)QQ資料也清空了，感謝媒體!感謝XXTV!!)

最終，烏云君將白帽子提供的這些13w數(shù)據(jù)外的用戶敏感數(shù)據(jù)再次提供給12306(因為這關(guān)鍵的差異數(shù)據(jù)，恰巧可能會幫助官方定位日志中的關(guān)鍵線索，哪些人第一次得到手，又有哪些人可能買了!)

同時烏云君也希望沒在那13w數(shù)據(jù)中的用戶，也盡量定期修改密碼。到底有多少我們的密碼被泄漏與交易，這個沒人能說的清楚。

怕各位說烏云君自己演了一出戲，所以留下這些用戶登錄帳號的HASH防止無意義的扯蛋，感興趣的黃姓朋友可以MD5下自己登錄帳號，萬一在這些證明數(shù)據(jù)里呢。

52756d1668dd14c1e33a63621477c584

0f8d1248c84d20aad702128ae971b276

a3e6e52a651199a9c6b711bd3a144928

51db1240829c66ee23ad55b9a5fec1d1

becd24f6163450e4cc701287f0b2a70c

4076fb754d18fadba7110ab4f2263a97

e9608120662cfaf91fd25c046439cf3d => 這條是對比13W唯一重復(fù)的登錄名

6425d54303515197442050bf0437d47e

0f7e29afa557dc52521d1aa5c218a165

77238d3221eaeae50fb1d8ec29ad253c

f24095592060f77f833a045308106bd6

68f7b000cbf818b0043a72e22eee4215

d1755335f4197cd587102d6323b184b7

65c946fe68b6c2e7aa43c0ece1343a2f

04e55fb5a707d157c59c84f699daf007

cefa8782f7d544c8f3b0c112d1898454

cb218a652e29ee22ad64ddbc85071709

b4b2fe87df032d1e7d3861a96e0aa783

9dd044cd6e38d31670bcf321fa3b4ad5

211bc27264346a7c2c3edd68a19829d5

9ceab1e1bda8334bd33eaf60965d831d

c908b6680c56fec6749aa08070d2de8a

關(guān)于這13w數(shù)據(jù)，很多機構(gòu)組織都在說是撞庫，信息來自哪里沒說清楚很含糊。不過烏云社區(qū)有白帽子給出了自己的一些分析，僅供參考吧(這些已經(jīng)泄漏并流傳多年的數(shù)據(jù)功不可沒啊)

13w的數(shù)據(jù)民間分析就到此為止，相信官方可以通過日志等信息查出事件的原由，并且給用戶一個滿意的答案。

這次事件我們看到了官方的積極響應(yīng)，看到了用戶的警惕，也看到了黑產(chǎn)對12306帳號數(shù)據(jù)的垂涎與掌握程度。如果大家能在平時對自己的帳號安全多付出一些(常改密碼，放棄現(xiàn)有密碼，因為漏的差不多都可能被人掌握了)，企業(yè)監(jiān)控再給力一些(如果是撞庫，這么多數(shù)據(jù)不能靜悄悄的撞完吧，總有點動靜)，就不會發(fā)生這次的事情。安全不能總靠救火，還要靠平時的積累。

最后，烏云君在給大家八一八大家所關(guān)心的其他信息點吧，分別是：

1)12306官方安全意識

對于12306官方的安全意識如何，大家從烏云歷史報告自行體會 廠商信息_中國鐵道科學(xué)研究院漏洞列表其實這次12306響應(yīng)與手段都很及時，據(jù)微博用戶反饋說很多泄漏的帳號迅速被鎖定了。但無論因誰的責(zé)任，這波數(shù)據(jù)明顯是針對12306購票平臺的。希望官方調(diào)查最后即使不便公開受影響用戶量，也至少能給涉及用戶一個提醒或強制的密碼變更，他們才是最大的受害者需要保護(hù)。最后，如果官方確實存在一個可以撞庫的帳號接口漏洞，也希望告知是否發(fā)現(xiàn)并且進(jìn)行了處理，別還可以繼續(xù)撞庫盜竊用戶數(shù)據(jù)。

這里有個槽要吐：在得知泄密后，烏云君第一想法也是改密碼，然后刪掉帳號內(nèi)保存的親友身份證信息，以后需要時在填入。結(jié)果發(fā)現(xiàn)12306就不!允!許!刪!似乎證件在帳號內(nèi)需要一段時間后才允許刪除，就納悶兒我的數(shù)據(jù)憑什么不讓我刪……但能否別明文顯示啊(互聯(lián)網(wǎng)公司做的就很好，敏感信息都有星號保護(hù))

2)第三方搶票泄密可能性

就在這次泄密事件之前，烏云君也在想，這些第三方搶票機構(gòu)會不會在未告知的前提下記錄俺們的信息呢?真的是不太敢用啊。

結(jié)果就在前兩天，一個漏洞報告似乎印證了這個懷疑 UC瀏覽器功能性插件“搶票幫”設(shè)計不當(dāng)可能導(dǎo)致?lián)屍闭呙?身份證等隱私信息泄漏 (漏洞目前得到了修復(fù))。該漏洞沒有記錄用戶明文密碼，所以跟本次泄密無關(guān)，但的確要給第三方搶票機構(gòu)敲響警鐘了。要不是官方平臺限制太多不好搶，沒人會拋棄正規(guī)渠道偏要選擇第三方購票平臺，所以既然選擇了咱們就要對得起用戶的信任!

3)撞庫

原理不提了，很多媒體進(jìn)行了解釋，再逼逼叨就有點像老和尚念經(jīng)了。

撞庫攻擊在國內(nèi)外黑產(chǎn)圈都搞的風(fēng)風(fēng)火火，一片繁榮熱鬧之相。每當(dāng)有企業(yè)的數(shù)據(jù)庫被拖，影響的不僅僅是其本身，還間接的威脅到了這些用戶在其他企業(yè)下服務(wù)!所以撞庫的影響與責(zé)任至今都捋不清，沒人承認(rèn)。如今泄密多樣化：帳號、密碼、手機、身份證、住址、好友關(guān)系等信息皆可泄漏……看微博一些用戶對身份信息泄漏已經(jīng)習(xí)慣了，但此類信息是某些安全機制依賴的核心部分，這不是好事兒需要警惕。

希望互聯(lián)網(wǎng)企業(yè)與多方機構(gòu)共同努力，對泄密責(zé)任方進(jìn)行追究，令其重視用戶信息安全，別在嘴上功夫。并且?guī)ぬ柕刃姑苁录枰屖芎φ咧?，并且提前做好防范。但是，這可能么?這不可能么??這，可能么……