深度!近期所謂“優酷資料洩露事件”的客觀事實還原
17日網路爆出疑似優酷上億資料洩漏的新聞,標題為《優酷帳號密碼瘋狂洩露!》,威脅獵人團隊通過近期的黑產監控資料給大家客觀的展現這次洩露出的資料在各維度情況,
1)已知的洩漏源
對於這類地下資訊,新聞的時效性往往相對較慢。據我們的資料監控,這份資料至少在2017年1月份就已經在暗網的地下市場 HANSA Market 流通,可見銷量在20多份,價格300美金,隨後又出現過多個版本的不同賣家。
從原始資料來看,洩漏量確實在1億條以上,資料以“明文帳號+md5密碼”的形式保存,但該資料是否真實優酷資料未經過驗證。
實際上,
2)資料內容及格式分析
此次曝光出的資料的帳戶名全是電子郵箱格式。
郵箱服務商分佈
黑產資料歷史重合度
通過抽查部分資料和歷史黑產資料進行比對,大約有73%的資料存在歷史洩漏資料中已經存在。
異常資料
通過資料分析,還發現存在不少帳號對應多個密碼,以及郵箱尾碼多次拼接的痕跡,資料來自黑產拼湊的痕跡明顯。
3)廠商應對
在事件曝光後,我們發現優酷已經增加了基於這份資料的風控邏輯,針對這批帳號強制要求更換密碼,讓這批已曝光的帳號密碼進一步走身份驗證流程,把帳號還到好人手裡。這也是應對該類事件最好方式之一,因為存在長期“多人騎”的情況,通過使用者日誌資料已難以明確好人畫像。
該資料早已活躍在撞庫攻擊黑產
我們翻開今年的監控資料,發現所謂的“優酷洩露資料”其實早已活躍在黑產的撞庫攻擊行為中。並且對這份資料在黑產中的行為以及危害做了客觀的統計和分析。
1)此次洩露的資料在撞庫黑產中一直存在
我們分析了最近半個月全球的撞庫攻擊黑產流量,其中來自此次洩露資料的攻擊平均占比在1.04%,並且在可尋的半年內一直存在。
2)此次資料洩露直接危害
版權類網站一直是黑產的主要攻擊對象之一,在之前的報告中,我們曾分析過國內被撞庫攻擊的公司類型,如圖:
從該份資料近期的二次攻擊流向上看,主要流向是幾家遊戲類公司,與前面撞庫攻擊的行業分析結論比較匹配。
最後,我們認為這並不是一起因駭客攻入核心伺服器導致的突發安全問題,而是由於長期持續的撞庫攻擊導致的密碼洩露問題。
從CSDN資料洩露事件之後,整個國內互聯網企業已經把資料加密存儲認知成基礎安全重要一項任務。從這個角度來說,對拖庫給企業帶來的影響在帳號安全方面正在降低,反而是其他的商業及個人身份資訊資料,因為直接的變現路徑,成為資料洩露主要的影響。
本文為 威脅獵人 授權嘶吼發佈,如若轉載,請注明來源於嘶吼: www.4hou.com/info/observation/4408.html
我們曾分析過國內被撞庫攻擊的公司類型,如圖:從該份資料近期的二次攻擊流向上看,主要流向是幾家遊戲類公司,與前面撞庫攻擊的行業分析結論比較匹配。
最後,我們認為這並不是一起因駭客攻入核心伺服器導致的突發安全問題,而是由於長期持續的撞庫攻擊導致的密碼洩露問題。
從CSDN資料洩露事件之後,整個國內互聯網企業已經把資料加密存儲認知成基礎安全重要一項任務。從這個角度來說,對拖庫給企業帶來的影響在帳號安全方面正在降低,反而是其他的商業及個人身份資訊資料,因為直接的變現路徑,成為資料洩露主要的影響。
本文為 威脅獵人 授權嘶吼發佈,如若轉載,請注明來源於嘶吼: www.4hou.com/info/observation/4408.html