北京時(shí)間 6 月 13  日凌晨，A 站發(fā)布公告稱(chēng)網(wǎng)站遭遇黑客攻擊，近千萬(wàn)條用戶(hù)數(shù)據(jù)外泄，雷鋒網(wǎng)今早對(duì)此事件進(jìn)行了報(bào)道（點(diǎn)這里）。

不過(guò)，在 A 站發(fā)布的公告中，雷鋒網(wǎng)還發(fā)現(xiàn)一些待考究的細(xì)節(jié)，比如，公告中說(shuō)泄漏的是 A 站已經(jīng)加密存儲(chǔ)的密碼，那既然不是明文密碼，泄漏之后會(huì)被黑客破解嗎？A站所說(shuō)的更強(qiáng)的密碼策略，到底是什么？拖庫(kù)的部分?jǐn)?shù)據(jù)已經(jīng)能在 github 上看到，A站到底是什么時(shí)候知道用戶(hù)的數(shù)據(jù)泄漏的？摩拜真的被拖庫(kù)了？已在暗網(wǎng)上售賣(mài)的網(wǎng)站 shell 和 內(nèi)網(wǎng)權(quán)限究竟會(huì)對(duì)用戶(hù)和A站產(chǎn)生什么樣的影響？

帶著這些疑問(wèn)，雷鋒網(wǎng)編輯找到了知道創(chuàng)宇云安全負(fù)責(zé)人西盟。

1.泄漏的是已經(jīng)加密存儲(chǔ)的密碼，并不是明文，后果嚴(yán)重嗎？

在公告中，AcFun 表示泄露的數(shù)據(jù)包括用戶(hù) ID、昵稱(chēng)以及加密存儲(chǔ)的密碼。

也就是說(shuō)，黑客拿到的并不是你的明文密碼，那這些加密存儲(chǔ)的密碼是否會(huì)被很快破解？

西盟告訴雷鋒網(wǎng)，一般而言，網(wǎng)站對(duì)密碼的存儲(chǔ)都是加密存儲(chǔ)，真實(shí)密碼是多少，A站也不知道。

比如，你的密碼是345678，但在 A 站中，可能是下圖紅框中的16位或32位的一串?dāng)?shù)字。

▲某MD5加密算法密碼破解網(wǎng)站

只是，加密算法有容易破解的，也有難度較大相對(duì)不容易破解的。目前市面上最常見(jiàn)的加密算法是 MD5，由于使用的范圍比較廣，所以也“成功”吸引了黑客的注意，目前，針對(duì)這類(lèi)加密算法，已經(jīng)有很多在線(xiàn)的破解網(wǎng)站，而且破解的能力可能有點(diǎn)超出你的想象。

如果你的密碼是六位以?xún)?nèi)的密碼，而且你所登錄的網(wǎng)站還用的是MD5的加密算法，那么，不用懷疑，只要這家網(wǎng)站被黑客盯上，你的密碼一掃一個(gè)準(zhǔn)（上圖中寫(xiě)的是100%）。

2、更強(qiáng)的密碼策略是什么？普通用戶(hù)怎么辦？

在公告中，我們看到A站說(shuō)自2017年7月7日之后，用了更強(qiáng)的加密算法策略，那這種策略是什么？

西盟猜測(cè)，A站此次被拖庫(kù)，不僅僅是密碼的問(wèn)題，在拖庫(kù)之前，黑客一定是已經(jīng)通過(guò)SQL或者XSS等漏洞攻擊手段入侵了網(wǎng)站，才能被拖庫(kù)，所以網(wǎng)站本身是有漏洞的，要先堵住漏洞。

而后，再談?wù)姹蝗肭至?，再采取哪些措施。公告中所說(shuō)的更強(qiáng)的加密策略，西盟猜測(cè)應(yīng)該是升級(jí)了加密算法，比如舍棄 MD5，采用了 sha256 等破解難度更高的加密算法。

所以，我們看到公告中說(shuō)，7月7號(hào)他們升級(jí)了加密算法，但這只針對(duì)用戶(hù)再次輸入密碼時(shí)才能升級(jí)，不輸入的話(huà)，A站不知道你的原有密碼，它數(shù)據(jù)庫(kù)中存儲(chǔ)的是不可逆的加密數(shù)據(jù)（雖然部分可能可以通過(guò)上面的破解網(wǎng)站破解），也就沒(méi)有辦法直接對(duì)原始密碼進(jìn)行重新加密，除非用戶(hù)重新登錄時(shí)才可以重新加密存儲(chǔ)。而很多用戶(hù)沒(méi)有重新登錄的話(huà)，最后的結(jié)果就是，東窗事發(fā)，黑客拖庫(kù)獲得了大量的較容易破解的加密數(shù)據(jù)，上千萬(wàn)用戶(hù)人心惶惶。

那高危用戶(hù)現(xiàn)在該怎么辦？西盟給出了三點(diǎn)常規(guī)建議：

1、重要網(wǎng)站不要和普通 網(wǎng)站用一個(gè)密碼。

2、密碼盡量復(fù)雜點(diǎn)。

3、盡量訪問(wèn)https的網(wǎng)站等。

3.拖庫(kù)的部分?jǐn)?shù)據(jù)已經(jīng)能在 github 上看到？A站到底是什么時(shí)候知道用戶(hù)的數(shù)據(jù)泄漏的？

今天，在 A 站發(fā)表聲明和暗網(wǎng)兜售數(shù)據(jù)的截圖之外，雷鋒網(wǎng)編輯還看到了部分在 github 上已經(jīng)公布的數(shù)據(jù)，這意味著，黑產(chǎn)不用費(fèi)勁去弄比特幣在暗網(wǎng)上購(gòu)買(mǎi)，直接點(diǎn)進(jìn)去就能得到部分用戶(hù)的泄漏數(shù)據(jù)。

話(huà)說(shuō)，黑客不打算拿這個(gè)賣(mài)錢(qián)了？

緊接著，雷鋒網(wǎng)編輯又看到了底下的這張截圖，大意就是黑客早已把安全漏洞報(bào)給A站，但是對(duì)方不理他們，后來(lái)他們被惹毛了～

黑客揚(yáng)言，6月13日，會(huì)在 Github 上公布300條，如果還沒(méi)有回復(fù)，15號(hào)會(huì)緊接著公布3000條，如果再?zèng)]有回復(fù)，18號(hào)就是10000條，還會(huì)包括 admin 用戶(hù)。。。

所以A站選擇今天發(fā)公告，并不是因?yàn)樗裉觳胖烙袊?yán)重的數(shù)據(jù)泄漏的！

4.摩拜真的被拖庫(kù)了嗎？如果屬實(shí)，會(huì)有哪些后果？

在網(wǎng)上流傳的暗網(wǎng)售賣(mài)截圖中，與A站并肩出現(xiàn)的還有摩拜。

對(duì)于摩拜是否中招的問(wèn)題，西盟回應(yīng)，目前他還沒(méi)有看到有實(shí)錘的數(shù)據(jù)出來(lái)，所以不能百分之百肯定。

不過(guò)目前，已有售賣(mài)的截圖在圈內(nèi)流傳。

西盟認(rèn)為，如果屬實(shí)，那么，摩拜用戶(hù)的個(gè)人信息，住址、騎行記錄（從哪到哪，是不是經(jīng)常去騎車(chē)去酒店開(kāi)房）、手機(jī)、郵箱等數(shù)據(jù)也可能被泄漏。

此前，csdn也遭遇過(guò)明文密碼泄漏，更恐怖！聯(lián)通也中過(guò)招，有漏洞可以查到一個(gè)手機(jī)號(hào)的通話(huà)記錄，比如經(jīng)常和哪個(gè)手機(jī)號(hào)聯(lián)系（簡(jiǎn)直是抓小三神器）。

5、獲得 shell 后會(huì)產(chǎn)生哪些后果？

除了用戶(hù)的數(shù)據(jù)泄漏，暗網(wǎng)中兜售的還有網(wǎng)站 SHELL 和內(nèi)網(wǎng)權(quán)限，這會(huì)造成哪些后果？

一般來(lái)說(shuō)，shell 是黑客入侵網(wǎng)站服務(wù)器后，給網(wǎng)站服務(wù)器植入的后門(mén)，方便日后面對(duì)服務(wù)器進(jìn)行控制，獲取數(shù)據(jù)。那如果被黑客拿到權(quán)限，會(huì)有哪些后果？

西盟以敏感數(shù)據(jù)舉例，在公司里面一般都會(huì)有自己的內(nèi)網(wǎng)，公網(wǎng)是不能直接訪問(wèn)的，比如內(nèi)網(wǎng)文件服務(wù)器、內(nèi)網(wǎng) OA 等，如果黑客拿了網(wǎng)站權(quán)限 ，就能知道這家公司真正有多少用戶(hù)、活躍率如何，平時(shí)公關(guān)時(shí)對(duì)外公布的數(shù)字是否真實(shí)？如果虛假，會(huì)直接影響公司融資，然后。。。狗帶？

他還總結(jié)了一波各類(lèi)網(wǎng)站被黑客獲得 shell 的過(guò)程和后果，大家可以感受一下。

1、很多網(wǎng)站拖庫(kù)后，可以拿到用戶(hù)的手機(jī)號(hào)和密碼，然后再去試下你的支付寶、微信是不是用的同一個(gè)密碼之類(lèi)，或者是把你們網(wǎng)站的用戶(hù)聯(lián)系方式賣(mài)給其它公司，比如貸款的、賣(mài)房的。

2、一些媒體網(wǎng)站被入侵后，被黑客直接用來(lái)發(fā)博彩廣告。（我要把這個(gè)例子告訴老板）

3、修改公益網(wǎng)站的捐款網(wǎng)站，偷偷把對(duì)外公布的捐款銀行帳號(hào)改成自己的，反正都是數(shù)字一般人也看不懂。

4、入侵電商網(wǎng)站，偷偷給自己充值，或者把1萬(wàn)塊錢(qián)的東西改成1塊錢(qián)的，自己一買(mǎi)，然后再把原價(jià)改回去。

5、入侵游戲公司，有自己研發(fā)的，偷了你們代碼，去建私服或者賣(mài)掉。

6、把公司合同數(shù)據(jù)偷回來(lái)，然后賣(mài)給競(jìng)爭(zhēng)對(duì)手挖墻腳。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。