小时候看科幻故事,作者都喜欢把火星视为脾气暴躁的邻居,一言不合就要玩转地球。但每当地球将被推倒的关键时刻,火星人竟然批量扑街,原因是水土不服被地球细菌感染,最终变成人民群众哄抢散落在地上的八爪鱼的场面温馨结尾。这些套路给我留下深刻印象,特别是那些因「水土不服」导致意想不到的转折更加令人着迷。 正文开始前先看一则近期非常火热的安全事件。 Facebook 是因各种打不开而闻名国内的社交网站,其 CEO 马克扎克伯格是一位互联网传奇人物,倍受黑客关注:)一名为 “OurMine Team” 的 Twitter 账号 at 小扎称他们做了个安全测试,成功搞到了他的 Twitter 等账号密码,要求私信长夜漫漫聊~ 小扎回复:拉倒吧你们才没拿到,边儿凉快去… 然后 “OurMine Team” 愤怒了,直接登录了小扎的账号进行插旗行为:哼,我们在 Linkedin 的数据库中找到了你的常用密码 “dadada” ! Twitter 立刻进行了 VIP 洗地服务,这都是后话(整个事件总有种事先安排的赶脚)。黑客利用人们多处使用相同密码的习惯,用 “dadada” 在各种网站尝试登录小扎的账号,结果就是这是这位大名鼎鼎的 CEO 也栽在这坑里,国内用户纷纷表示慰问 -_- 说到密码,在国内就是个杯具。初期明文存储密码(好点的也就是简单 hash 处理),这庞大的基数、经济价值的云端迁移、大量愿为黑产付费的需求方,共同造就了国内 “脱/撞库” 火热的现状。让数据既有商品、也有了创收工具的形态,令黑产对其趋之若鹜。另大部分海外企业出现数据泄露或安全事故时,会尽可能主动告知用户影响细节做好应对,而国内企业在发现数据被窃后还处于遮羞避责心态,所以难以意识到自己已经身处风险之中。 扯远了,聊完 Twitter 再来看看跟我们生活非常贴近的外企影响案例。Uber 进入中国后给乌云君留下深刻影响的并不是简洁的 UI ,优质的服务,而是那令人担忧的扣款方式(目前滴滴也支持免密支付了)。无需用户进行确认交互,服务完毕司机直接就把钱扣走,将本还有一定限制的支付过程硬生的拉低了一个风险等级。黑客不用再攻破复杂的支付限制,只要拿下用户的 Uber 账号就可以躲避信用卡与支付业务严格的风控机制。 乌云白帽子提交多个 Uber 的安全报告,比如 Uber优步客户端接口设计不当可导致撞库攻击、我是如何尝试登陆别人的uber的,发现 Uber 缺乏对中国本土的撞库风气进行考虑,这也是很多洋企的通病 Twitter推特登陆接口可撞库 ,导致的后果就如小扎一样被黑客花样虐待!因为 Uber 的账号是手机号码,所以 Uber 的撞库以及爆破搞起来简直如鱼得水。 图为通过手机号遍历爆破得到的结果,登录破解成功的 Uber 账号,可以成功看到他们的历史出行纪录,几乎每天的活动路线都摸索出来了,每天加班好晚。 当然,你会说这又能干啥?不知一些 Uber 用户是不是有经历过自己账号被莫名消费的情况,实际上黑产早已经摸索出这种体验非常好的洗钱方式 Uber 代叫 。他的模式是通过微信或者 QQ 进行线上沟通,你只需支付很低的价格(一般是20~30,随便坐车),告诉他你在哪,要去哪,和联系手机号,不一会车就到位,下车啥都不用管拍拍屁股走人。 你应该明白了,其实这个代叫方就是控制了大量 Uber 账号,通过代叫的方式给 Uber 内的钱洗出来,但不是等价的,正因为乘客能捞这么大便宜,所以代叫服务非常火爆。各种成熟的网店、QQ 群甚至公众号早已铺天盖地。成都商报的记者也曾就 Uber 用户绑定的支付被盗刷通过自己的方式做过一些多方位的调查 解密“Uber 代叫”黑色产业链 国内的 Uber 盗刷情况确实非常糟糕,海外也不见得好到哪儿去。乌云君在 Twitter 上的 #UberAccountHacked 话题中也发现了很多外国网友吐槽账号被盗刷,在中国消费被跑了好多长长长长途。正因这国际化基因,导致海外的碎片资源得以成功利用… 目前乌云君已经将这些本土化的安全问题反馈给了 Uber ,企业反馈确认问题存在会尽快修复。太多的事实证明,今后的安全挑战不在是单纯的技术漏洞,对于业务的恶意利用,我们落后黑产不知一点半点。因业务问题的爆发,让每个用户都成为专家进行自保是不可能的!用户将财产与数据交予企业保管,企业应当站在积极与黑产对抗的一方,而不是过于明确的划分责任。 对于企业,应该在自己的账户机制上做些主动的防范考虑,比如:
还可以看看微软在用户安全上做出硬气的态度与手段,下车给微软司机个五星吧~
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台。 因微信不支持第三方超链接,所以想看原始漏洞报告的朋友可以点击下方“阅读原文”查看:) 本文转载自:微信公众账号 - 乌云漏洞报告平台,版权归原作者所有! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
