漏洞概要
关注数(24 )
关注此漏洞
漏洞标题:中国公云网(3322.org)商用户资料大量泄漏
漏洞作者: 李白
提交时间:2013-01-06 18:59
修复时间:2013-01-08 22:54
公开时间:2013-01-08 22:54
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情 披露状态:
2013-01-06: 细节已通知厂商并且等待厂商处理中 2013-01-07: 厂商已经确认,细节仅向厂商公开 2013-01-08: 厂商提前公开漏洞,细节向公众公开
简要描述: 中国公云你懂的,www.3322.org 当公云的数据也云了起来…… 用户资料在QQ群中流传, 亲自测试,发现果然存在一定安全事件 这次大量泄漏,真的是大量大量大量。。
详细说明: 用户资料在QQ群中流传, 亲自测试,发现果然存在一定安全事件
虽然上传才仅仅5天,就有21次下载,那如果继续传播呢?后果不堪设想是不是。 关于利用:
虽然这份数据有些陈旧,但是,我抽样10份中仍有2份是今天(注意是今天)更新过,最近的有2份,哪怕域名不利用,里面的身份证信息、电话号码也是十分值得利用,拿这个发诈骗短信,谁还不信?
漏洞证明: The first,我们来看一下数目
7609页.....我们按字数来算10字为一条,也就是说有1973341/10为一条,我们当他有的密码长一点吧,那就20字一条,那也有1973341/20=98667条,我们再算5条里有两条不准确的,那么就是98667/5*3=59200条....而众所周知,公云作为网商,里面的资料都是准确的(后面会证明) 各种身份证,各种电话号码,各种域名,这让我们情何以堪? The second 资料准确性 抽样1:
抽样2:
抽样3:
抽样4:
整体:
我们抽样其中一条进行剖析: 05/05/2011 - 12:51:59 61.160.235.203 110.87.161.122 linsheng5188 692064 61.160.235.203 Basic (GET)
日期时间不解释,第一个IP来自江苏省电信,经查证后为3322.org解析之后的IP,后面那个IP来自福建省福州市,且第二个IP在信息表内经常变动,可推测出此是此用户者的IP,后面分别是账号密码,又出现一个3322.org的IP。Basic是编程语言,(get)是得到。此时分为两种可能,一种是当时被劫持了,一种是钓鱼。我们结合多条信息(整体)一起分析,发现在信息都来自同一天的,且相距时间不超过4小时,由此我们可以推断出,在2011年5月5日,3322.org曾经发生过劫持,导致一时间登录的用户资料被获取后记录,导致非常庞大的用户资料泄露
修复方案: 愿意提供此份数据 如此庞大的数据量。 建议首先阻断本数据的流通情况 然后该提醒的提醒,该删除的删除。 李白想说,既然如此庞大的用户数,我们不妨可以首先同意屏蔽掉登录后的个人信息界面,马赛克掉身份证信息还有电话信息,再慢慢调查。 Good lucy for you!
版权声明:转载请注明来源 李白 @乌云
漏洞回应 厂商回应: 危害等级:中
漏洞Rank:8
确认时间:2013-01-07 11:02
厂商回复: 这个问题,是用户的密码,被嗅探器嗅探了
最新状态: 2013-01-08:我们以前在一个机房,同一网段有其他用户的 windows机器,互相没有划分vlan。他们的机器被中招过几次,然后发起arp攻击,抢夺网关,导致整个网段都不能上网。当时以为就是仅仅这个问题,后来发觉有两台windows机器被装了嗅探器,导致我们的linux机器被嗅探。2012.8.20 ,我们搬迁的新的机房,网络上我们完全独立,就不存在这个问题了。目前,我们对所有的老用户,都必须重新密码加固(使用注册邮箱重新获取密码)才能登录。
2013-01-08:谢谢李白的漏洞报告。但是:1、这个不是脱库2、文中提到“Basic是编程语言,(get)是得到”, 这个有误的。basic 这里是 http 的一种认证方式,对用户名和密码进行简单的编码。GET 是 http的方法
漏洞评价:
评论
2013-01-05 16:29 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
2013-01-06 01:15 |
双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)
2013-01-06 19:44 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
@双人份 我会说这份东西起码有59200个人的身份信息么
2013-01-06 20:31 |
双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)
2013-01-06 20:55 |
Sn0wLe0p4rd ( 路人 | Rank:27 漏洞数:11 | 童言无忌)
2013-01-06 21:25 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
2013-01-06 21:30 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
@erevus 何止啊....哈哈。。不过转IP是件非常累的事情。。
2013-01-06 22:32 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
2013-01-06 22:37 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
@erevus 等漏洞公开吧,哥有职业操守,哈哈。。。
2013-01-07 11:04 |
中国公云 (乌云厂商)
@李白, 我是厂商,请联系我: ppyy@pubyun.com
2013-01-07 11:22 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
2013-01-07 14:51 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
@中国公云 好的,下午联系。之前嗅探不给过...估计太短了.于是我就发钓鱼劫持了。
2013-01-07 15:01 |
陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)
2013-01-07 16:45 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
2013-01-07 16:54 |
陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)
2013-01-07 16:59 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
2013-01-09 00:12 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
嘿嘿,学习了,不得不说3322是我目前在乌云里看到最好最负责的厂商
2013-01-09 00:28 |
西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)
我只能说楼主蛋疼....他这个3322泄露,网上早有了
2013-01-09 00:29 |
西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)
2013-01-09 09:12 |
hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)
2013-01-09 13:34 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
2013-01-09 14:12 |
灵惜 ( 路人 | Rank:14 漏洞数:2 | 哇咔咔,搞定它)
2013-01-09 21:01 |
by_奇奇 ( 实习白帽子 | Rank:35 漏洞数:7 | 2)
老库了 2011年5月6日 星期五,15:34:32
2013-03-05 20:08 |
Forsaken ( 路人 | Rank:14 漏洞数:2 | 低调做事 低调做人 高调学习)