几年前,我提交了一个漏洞:几百万机票火车票订单用户名明文密码泄露。
邮箱,用户身份证,姓名,密码,手机号等重要字段都可以直接明文读取,当时是利用mongodb数据库的未授权访问脚本,稍加修改,批量扫描后发现的漏洞,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在漏洞被我提交到360。
这种就属于未能遵循简单基础的安全原则,锅可以由商家背。
但很多情况,锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统,很多基础的开源的协议或者软件本身存在着大量的漏洞,在没有被发现之前,它们被认为是安全的。但一旦被发现有漏洞,影响巨大。
比如之前广为人知的openssl心脏出血漏洞(OpenSSL心脏出血漏洞全回顾),这个漏洞使攻击者能够从内存中读取多达64KB的数据,而openssl作为安全套接层协议ssl的开源实现,在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。
这种情况下,锅由谁来背很难界定,因为没人能保证自己开发的程序没有漏洞。
个人信息的泄露在今天已经严重到了什么地步?
大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币:
这是另外一个知名博客网站Tumblr的数据,出售价格为0.188比特币:
在比如之前很火热的美国大选所有50个州的投票数据,对你没看错,是全美50个州。。。被标价12个比特币(现在知道比特币最大用处了吧,o(╯□╰)o)
从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等:
一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。
很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的,因为这种承诺本身就很脆弱。
对普通人的生活有多大的影响?如何防护?
简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。所以日常有一点防护意识还是很重要的。
简单举几个比较广泛的诈骗例子:
1、精准机票退改签短信诈骗
曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。
2.精准淘宝订单退款诈骗
小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:
“丁××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”
接到电话后,小丁说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。
登录QQ并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,由于着急去上自习,小丁也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小丁用QQ远程操作,可没想到最后“客服”在骗取她的钱财。
在小丁的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小丁确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。
与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。
具体分析:上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。
对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款QQ李鬼诈骗QQ被盗号了?
更大的骗局还在后面!
广东省公安厅通报,近日在全省公安机关“3+2”专项打击行动中,破获全国最大的QQ诈骗集团案,先盗QQ号长期监控,后冒充老总要求转款,深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人,冻结资金4800余万元。据了解,该案是目前全国QQ诈骗涉案金额最大的一宗案,也是冻结款项最大的诈骗案。
具体分析:这种很多是模仿目标qq,从头像到签名到说说,利用其他社工数据对目标qq进行踩点分析,进而实施诈骗。总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。
几年前,我提交了一个漏洞:几百万机票火车票订单用户名明文密码泄露。
邮箱,用户身份证,姓名,密码,手机号等重要字段都可以直接明文读取,当时是利用mongodb数据库的未授权访问脚本,稍加修改,批量扫描后发现的漏洞,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在漏洞被我提交到360。
这种就属于未能遵循简单基础的安全原则,锅可以由商家背。
但很多情况,锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统,很多基础的开源的协议或者软件本身存在着大量的漏洞,在没有被发现之前,它们被认为是安全的。但一旦被发现有漏洞,影响巨大。
比如之前广为人知的openssl心脏出血漏洞(OpenSSL心脏出血漏洞全回顾),这个漏洞使攻击者能够从内存中读取多达64KB的数据,而openssl作为安全套接层协议ssl的开源实现,在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。
这种情况下,锅由谁来背很难界定,因为没人能保证自己开发的程序没有漏洞。
个人信息的泄露在今天已经严重到了什么地步?
大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币:
这是另外一个知名博客网站Tumblr的数据,出售价格为0.188比特币:
在比如之前很火热的美国大选所有50个州的投票数据,对你没看错,是全美50个州。。。被标价12个比特币(现在知道比特币最大用处了吧,o(╯□╰)o)
从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等:
一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。
很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的,因为这种承诺本身就很脆弱。
对普通人的生活有多大的影响?如何防护?
简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。所以日常有一点防护意识还是很重要的。
简单举几个比较广泛的诈骗例子:
1、精准机票退改签短信诈骗
曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。
2.精准淘宝订单退款诈骗
小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:
“丁××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”
接到电话后,小丁说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。
登录QQ并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,由于着急去上自习,小丁也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小丁用QQ远程操作,可没想到最后“客服”在骗取她的钱财。
在小丁的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小丁确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。
与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。
具体分析:上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。
对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款QQ李鬼诈骗QQ被盗号了?
更大的骗局还在后面!
广东省公安厅通报,近日在全省公安机关“3+2”专项打击行动中,破获全国最大的QQ诈骗集团案,先盗QQ号长期监控,后冒充老总要求转款,深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人,冻结资金4800余万元。据了解,该案是目前全国QQ诈骗涉案金额最大的一宗案,也是冻结款项最大的诈骗案。
具体分析:这种很多是模仿目标qq,从头像到签名到说说,利用其他社工数据对目标qq进行踩点分析,进而实施诈骗。总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。
