文章关键字 ‘密码门’

Sina这个公司,再出了这么大的泄密事件后还用明文存密码。另外,大家可以关注这个ip 114.255.171.227 它记录了包括访问铁道部网站12306的所有途径用户的信息,包括IP地址,发送的请求,包含的cookie等等,而且,每个人都可以直接访问下载。据说铁道订票网站也是以明文传递密码的。你觉得他们是无知和无意的吗?

这是转载的 “2012年新浪微博用户密码泄露漏洞”http://www.youxia.org/2012/01/2012-SINA-weibo-user-password-lose.html

相关厂商:www.sina.com
作者:http://weibo.com/evilniang
发现时间:2012-1-1
漏洞类型:sql注射
危害等级:高
漏洞状态:已修复

首先申明:该漏洞发现后本人已联系新浪官方修复漏洞,目前漏洞以修补。文章内容公布,仅供参考学习。

新浪网iask存在sql注射漏洞,利用漏洞可读取iask数据库内内容。包括明文密码在内的7000多W新浪用户信息。

漏洞存在点: http://iask.sina.com.cn//prize/event_getorderlist.php?id=999999.9

漏洞利用方式:

http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=1303977362+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11–

这里我们通过构造数据库查询语句获得用户uid=1303977362的uid、login、email、passwd等信息。通过修改字段还可以获取其他信息 。
(更多…)

这回的泄密事件越闹越大了,如果说CSDN的600万密码还是一个偏向程序员的社区,那么天涯的4000万密码泄露对普通人影响就大得多了。也许你目前还可以庆幸,你的密码没有泄露,但你马上就要担心了,用过qq吧?如果qq密码也能下载了呢?如果有人放出 qq8000万.rar 甚至 qq2亿.rar 的下载地址你是不是傻眼了?

12/27*注:网上流传腾讯泄露的用户密码是3亿,下载文件是 tencen_qq (3E数据库).rar 4.38GB 解压后是SJK800.MDB ,但没有下载地址。 看到这里反而安心了,这个多半是假的,这个4.38GB的文件大小像是某个iso改的文件名。退一万步,即使是真的,一个压缩后都有4.38G大的mdb文件全中国也没几台个人电脑能打开:)

追溯这回的密码门事件,似乎最开始是2011年12月5日,一个自称 秒杀小组 臭小子 的用户在wooyun上发了一个“中国各大站点数据库暴光(腾讯的也有) ”的漏洞。 现在还可以看到连接,http://www.wooyun.org/bugs/wooyun-2010-03523 据称是入侵了腾讯数据库,并放出了图
大家可以看到,他拿到了用户加密后的密码和用户信息。这种一长串的字符串其实就是经过处理的密码。比如
密码123456 经过md5一次哈西处理后就是 e10adc3949ba59abbe56e057f20f883e。拿到这种处理后的字符离拿到你的真实密码就只有时间问题了。如果你的密码不够强,随着计算机的发展,原始的暴力穷举破解也变得有可能。而这回密码门事件泄露出的近1亿密码正好成为一个字典库,用来破解密码更快了。
(更多…)

没看错,这回是天涯社区的4000万用户名密码被泄露下载了。泄露的文件是 天涯社区.kz ,有近4千万用户资料和明文密码。前几天还觉得不大可能,现在看来一切都是真的了。

当初CSDN爆出密码门的时候在网上google发现一个网友“臭小子”放出很多网站的密码包的截图,然后他的网盘被人黑了被人。下面的留言一片嘲讽,说他炫耀。我当时也觉得不大可能,一般网站都不会明文保存密码,经过MD5哈希处理的密码是不可逆的,所以即使入侵了数据库,要全部解出这么多密码也需要大量的时间。看来这个想法太落后了,不知道什么漏洞被爆了,这回和天涯4000w密码一起爆出来的下载据说还有新浪微博的,weibo.com_12160.rar 不想测试了,未来还会有很多网站密码被爆的。参考下图,以后的下载会有 51cto数据库.zip cnBeta数据库.tgz CNZZ数据库.rar eNet数据库.rar IS数据库.kz UUU9.rar YY数据库.zip 百合网数据库.zip 金山毒霸.zip 开心网.rar 美空数据库.zip 世纪佳缘数据库.zip 天涯数据库.zip 珍爱网数据库.zip 走秀网.rar。。。。。。。。。。。大家做好改密码的准备吧。
密码泄露
(更多…)

昨天泄露csdn密码包后,又有多家网站用户密码外泄。近1亿个用户密码被爆,目前均有迅雷下载链接。包括:

CSDN-中文IT社区-600万.rar 104MB
多玩网_800W.rar 216MB
人人网500W_16610.rar 49.5MB
猫1000W_8228.rar 91.9MB
嘟嘟牛_66277.rar 205MB
7k7k2000万_2047.rar 194MB
178(1000w)_3087.rar 103MB

不过到今天下午,上述迅雷连接全部失效。目前看来除了据说是mop的猫1000W_8228.rar未能下载之外,其他爆出的用户名密码都是真实的。泄露的密码有的不是明码,像 7k7k2000万_2047.rar 中,既有明文密码又有处理过的MD5哈希值。至于 猫1000W_8228.rar 这个文件,在迅雷离线上下到80%就不动了。估计业界开始控制这些文件的传播了。而CSDN-中文IT社区-600万.rar 和人人网500W_16610.rar 已经有了ed2k的下载,估计还会继续流传。

(更多…)

刚看到消息,CSDN用户密码被破解,600万账号密码泄露。想当初注册的时候还觉得CSDN很靠谱,国内知名的it类网站,结果密码竟然这样泄露了。在网上下载下来搜了一下,还好没有我。不过发现好几个id相似的,还发现两个本科同学的id和他们的邮件地址。。。。。不过还好,他们都是随便注册了一下,密码都是123之类的也就无所谓。

提醒大家,不同性质的网站密码要分开,网络很不安全,出了事情很麻烦。现在那个泄露的原始的密码文件 csdn-中文it社区-600万.rar 在迅雷离线下载和qq旋风的离线下载里面好像被删除了,希望传播不多。
(更多…)

  • 更多文章:
  • 1