7000万用户在“裸奔”
安全防线
新浪爱问漏洞揭秘
一个是魔术师刘谦,另一个是擅长黑客技术的“魔法师”,两个毫不相关的人,却因为新浪爱问漏洞联系在一起。新浪爱问的SQL漏洞,让7000万用户目瞪口呆,他们的个人隐私居然不设防。
刘谦:为什么拿我当小白鼠
水变奶茶、咬断皮筋重接、穿铁栅栏 、蒙面开车、 画牌自升、猜手机号、报纸头条预言……依靠这些出神入化的魔术,刘谦身上总是笼罩着一层神秘感:只有你想不到,没有我做不到,我无所不能。
然而,前不久,一名黑客“拜访”了刘谦,此时刘谦才知道自己的新浪微博密码已经被该黑客掌握了,一些个人隐私也被看光光了。当魔术师碰到会魔法的黑客,他才发现黑客比他更神秘——黑客是如何知晓刘谦的新浪微博密码的呢?
黑客:密码居然用明文存储
时光倒流,让我们回到拜访前:一名戴着白帽的黑客,停留在新浪爱问网站前,白帽意味着他是一名遵守传统黑客精神、不以破坏为乐的黑客。凭借多年经验,他似乎闻到了网站的不安全的气息。
于是,他手工进行了SQL检测,输入一条接一条的SQL命令,没有多久他发现了端倪,网站真的存在SQL漏洞——他的预感是对的。黑客构造漏洞利用命令,就获得了注册用户的个人隐私信息。
令他惊奇的是,用户的密码居然是明文存储的,要知道,为了提高密码的安全性,一般都会对密码进行加密,明文存储的密码是大忌。7000万用户的密码就这样被他看到了,其中就有刘谦的,而刘谦的新浪爱问密码也是新浪微博密码……值得庆幸的是,黑客没有泄露这些个人隐私,而是通知新浪爱问官方修复了漏洞,这也是皆大欢喜的结局。
该漏洞已修补
明文存储用户密码,这种不负责任的网站还有多少?是不是一个个都需要黑客攻击后才老实坦白。网站必须加密存储用户提交的数据,而且还得采用非标准的加密算法(就是传说中的MD5加盐)。
——李铁军 金山安全专家
李铁军,1996年加入金山,擅长解决各类安全问题。
用明文存储信息,这也太不可思议了,看来管理员的安全意识太薄弱。——王磊 Silic Group Hacker Army联合创始人
Silic Group Hacker Army是一个崇尚黑客技术研究的组织,该组织的成员还曾被邀请参加美国的黑客大会。
工具扫描不出来的SQL漏洞,手工可以找到,还是新浪爱问的自我安检不仔细。
——血玫瑰 资深的独行黑客
研究黑客技术的高手,喜欢独行天下,他跟很多黑客组织的关系都较好。