导语:通过抽查此次泄漏的部分数据和历史黑产数据进行比对,大约有73%的数据存在历史泄漏数据中已经存在。其中存在不少账号对应多个密码,以及邮箱后缀多次拼接的痕迹,数据来自黑产拼凑的痕迹明显。
17日网络爆出疑似优酷上亿数据泄漏的新闻,标题为《优酷账号密码疯狂泄露!》,威胁猎人团队通过近期的黑产监控数据给大家客观的展现这次泄露出的数据在各维度情况,还原此次事件。
数据最早泄露于今年一月份
1)已知的泄漏源
对于这类地下信息,新闻的时效性往往相对较慢。据我们的数据监控,这份数据至少在2017年1月份就已经在暗网的地下市场 HANSA Market 流通,可见销量在20多份,价格300美金,随后又出现过多个版本的不同卖家。
从原始数据来看,泄漏量确实在1亿条以上,数据以“明文账号+md5密码”的形式保存,但该数据是否真实优酷数据未经过验证。
实际上,在 HANSA Market 上还有一份被另一个黑客 doubleflag 还原过的同一份数据,md5加密被还原了大约8000万明文密码。可以看到销量100多份,价格400美金。其危害比暴露出来的要更严重。
2)数据内容及格式分析
此次曝光出的数据的账户名全是电子邮箱格式。
邮箱服务商分布
黑产数据历史重合度
通过抽查部分数据和历史黑产数据进行比对,大约有73%的数据存在历史泄漏数据中已经存在。
异常数据
通过数据分析,还发现存在不少账号对应多个密码,以及邮箱后缀多次拼接的痕迹,数据来自黑产拼凑的痕迹明显。
3)厂商应对
在事件曝光后,我们发现优酷已经增加了基于这份数据的风控逻辑,针对这批帐号强制要求更换密码,让这批已曝光的帐号密码进一步走身份验证流程,把帐号还到好人手里。这也是应对该类事件最好方式之一,因为存在长期“多人骑”的情况,通过用户日志数据已难以明确好人画像。
该数据早已活跃在撞库攻击黑产
我们翻开今年的监控数据,发现所谓的“优酷泄露数据”其实早已活跃在黑产的撞库攻击行为中。并且对这份数据在黑产中的行为以及危害做了客观的统计和分析。
1)此次泄露的数据在撞库黑产中一直存在
我们分析了最近半个月全球的撞库攻击黑产流量,其中来自此次泄露数据的攻击平均占比在1.04%,并且在可寻的半年内一直存在。
2)此次数据泄露直接危害
版权类网站一直是黑产的主要攻击对象之一,在之前的报告中,我们曾分析过国内被撞库攻击的公司类型,如图:
由于近年来网速的增长,以前大家习惯通过下载最新电影电视剧,现在则更愿意在线直接看。因此许多寻找种子的用户变成了低价购买视频网站会员的用户。版权类网站最直接的黑产链条便是从第三方购买“共享账号“会员,相关行情,笔者在相关QQ群对“业内”报价进行了调查(价格仅供参考):
爱奇艺: 临时会员2.9元(质保2天) 临时会员4.9元(质保7天) 稳定会员9.9元(质保一个月) 优酷: 会员普通 3.9元(质保2天) 会员稳定8.9元(质保一月) 一年会员40.9元(质保200天) 腾讯视频: 好莱坞会员9.9元(质保一月) 3)其他公司受影响
从该份数据近期的二次攻击流向上看,主要流向是几家游戏类公司,与前面撞库攻击的行业分析结论比较匹配。
重新思考这次事件
最后,我们认为这并不是一起因黑客攻入核心服务器导致的突发安全问题,而是由于长期持续的撞库攻击导致的密码泄露问题。
从CSDN数据泄露事件之后,整个国内互联网企业已经把数据加密存储认知成基础安全重要一项任务。从这个角度来说,对拖库给企业带来的影响在帐号安全方面正在降低,反而是其他的商业及个人身份信息数据,因为直接的变现路径,成为数据泄露主要的影响。