黑客詳解賬號泄露全過程：1億用戶已泄露

12月 28 日消息，2011年 12 月 19 日有著中國黑客教父之稱的 goodwell 龔蔚在其騰訊微博發表了一篇微博再次指出互聯網信任危機一觸即發，其后的 48 小時，中國互聯網迎來了歷史上最大的災難性的安全事件。騰訊科技特邀請龔蔚從專業角度對本次事件進行深度解析。

龔蔚表示，本次黑客公布的用戶賬號約為 1 億個用戶賬號及密碼相關信息，預計地下黑客掌握了更多的互聯網用戶賬號信息，本次泄露及公布的與實際被黑客掌握的用戶賬號數相比只是冰山一角，預計有將近 4 到 6 億的用戶賬號信息在黑客地下領域流傳(2011年互聯網數據統計，中國互聯網網民為4.8億)，這次被黑客公布爆庫的網站數據信息只是黑客地下流傳的極少一部分。

他透露，其中有相當一部分網站采用明文方式存儲用戶密碼，分析預計約有 2 億的用戶密碼為明文存儲。其余 90% 以上的網站采用公開的 MD5 算法對用戶密碼進行存儲，通過簡單的彩虹表碰撞(一種加密密碼破解的方法)可以在數秒鐘內破解加密存儲的密碼。

以下為本次賬號泄露的基本時間表：

12月 21 日：CSDN 640W 用戶帳戶，密碼，郵箱遭到黑客泄露

12月 22 日：中國各大知名網站全面淪陷.涉及范圍甚廣，泄露信息涉及用戶相關業務甚多.... 一場席卷全中國的密碼安全問題爆發了....

12月 23 日：經過確認 CSDN 泄露多玩泄露夢幻西游帳戶通過木馬泄露人人網部分泄露

12月 23 日：網友爆料天涯淪陷...7K7K 包中包含天涯帳戶密碼!!!互聯網安全何在???

12月 24 日：178淪陷 UUU9 淪陷事態蔓延...

12月 24 日：天涯全面淪陷泄露多達 900W 帳戶信息...

12月 24 日：網易土木在線也淪陷，數據量驚人...

12月 25 日：百度疑因帳號開放平臺泄露帳戶信息...

12月 25 日：北京麒麟網信息科技有限公司疑泄露百度與 PPLive 帳戶與密碼.并且自身帳戶信息全部泄露...

12月 25 日：UUU9.COM 被黑客兩次拖庫..

12月 25 日：事態升級天涯疑泄露 4000W 用戶資料

12月 25 日：178第二次被拖庫泄露數據 110W 條

12月 25 日：木螞蟻被爆加密密文用戶數據，約 13W 數據

12月 25 日：知名婚戀網站 5261302 條帳戶信息證實...

12月 26 日：myspace 泄露，迅雷又成功離線 3 個泄露包!

12月 26 日：ispeak 泄露帳戶信息已驗證!請官方通知會員修改密碼!

12月 26 日：網絡流傳包 17173.7z 中 17173.0 為 178 帳戶信息，178慘被拖庫 3 次

12月 26 日：網絡流傳包 17173.7z 中 17173.3 為 UUU9.COM 帳戶信息，泄露數據不詳

12月 26 日：塞班智能手機網校驗準確率高達 70%!!或塞班智能手機網淪陷

12月 27 日：網易土木論壇通過碰撞分析密碼，用戶資料全部屬實!共計 135 文件，4.31G 資料泄露時間疑為 2011-07-09 15：09：11(已論壇發帖通知，廠商未回應.)

12月 27 日：178.com 徹底淪陷，共計泄露超出 1100W+ 數據!

12月 27 日：766驗證泄露，泄露數據十余萬!

12月 27 日：ys168驗證泄露，泄露數據三十余萬!

12月 27 日：凡客 20W 當當 10W 卓越 20W 用戶資料驗證泄露

12月 28 日：太平洋電腦泄露 200W 用戶資料包含用戶帳戶

12月 28 日：大學數據庫泄露，身份證信息泄露，更為敏感內容糟駭客泄露，泄露數據不詳，只能靠截圖揣摩!

以下為本次賬號泄露情況的基本信息表：

CSDN 共計泄露 640 萬個帳號，泄漏信息：帳號、明文密碼、電子郵件;

多玩：共計泄露 800 萬個帳號，泄漏信息：帳號、MD5加密密碼、部分明文密碼，電子郵件，多玩昵稱;

178. COM：共計泄露 188 萬個賬號，泄漏信息：帳號、MD5加密密碼、全部明文密碼、電子郵件、178昵稱(178賬戶通用 NGA)

天涯：共計泄露 4000 萬個帳號(預計超過 4000W 數據)，泄漏信息：帳號、明文密碼、電子郵件

人人網：共計泄露 500 萬個帳號，泄漏信息：明文密碼、電子郵件

UUU9.COM：共計泄露 700 萬個帳號，泄漏信息：帳號、MD5加密密碼、全部明文密碼、電子郵件、U9昵稱

網易土木在線：約4.3GB 137 個文件，泄漏信息：帳號、MD5加密密碼、其他相關數據

夢幻西游：約1.4G (木馬盜取)，泄漏信息：帳號、郵箱、明文密碼、角色名稱、所在服務器、最后登陸時間、最后登陸 IP。

北京麒麟網信息科技有限公司：共計泄露 9072966 個帳號，泄漏信息：帳戶、明文密碼

知名婚戀網站：共計泄露 5261302 個帳號，泄漏信息：帳戶、明文密碼

Ispeak.CN：共計泄露 1680271 個帳號，泄漏信息：帳戶、明文密碼、昵稱

木螞蟻：共計泄露 13W 帳號，泄漏信息：帳戶、加密密碼、數據庫排序 ID、其他信息

塞班論壇：共計泄露約 140W 帳號泄漏信息：帳戶、明文密碼、電子郵箱

766. COM：共計泄露約 12W 帳號，泄漏信息：帳戶、md5(md5(pwd) .salt)密碼、salt、電子郵箱、數據庫排序 ID

ys168：共計泄露約 30W 帳號，泄漏信息：帳戶、明文、電子郵箱

當當：共計泄露約 10W 用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、電話

凡客：共計泄露約 20W 用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、電話

卓越：共計泄露約 20W 用戶資料，泄漏信息：真實姓名、電子郵件、家庭住址、電話

誰是幕后的主謀?

龔蔚認為，從某種意義上說任何一個安全廠商都可能是事件之后直接的利益獲得者，首次公布 CSDN 泄密信息為金山一個不知名的技術人員，但事件的第一個出場人物不是這些數據的最早擁有者，且就算憑借他的一己之力也不可能掌握如此龐大的數據，面對事件帶來的極大社會影響誰都可以預知，顯然作為長期站在黑客對立面的商業公司肯定不愿意攪這趟渾水。

他表示，從技術分析，一個或者幾個聯合體的黑客團隊完全可能掌握這些龐大的地下信息，但是公布這些信息顯然是對他們沒有任何價值的，就目前來看還沒有一個黑客團隊公布對該事件的任何信息，公布近億的用戶數據就為了一個出名顯然不可能。

他認為這次得信息泄露就是一場蝴蝶效應，當一部分密碼被泄露后，一方面用戶首先會做的就是更改他所有網站的密碼，而另一方面對于黑客來說，他以前掌握的這些用戶賬號密碼但來自于其他不同的網站，當黑客發現他們的密碼將不再有任何的價值和意義時，隨即娛樂大眾拿出自己掌握的數據來與大家分享一下，用黑客那種獨有的桀驁不馴的性格愚弄和嘲諷這些所謂的門戶網站。這是一種連鎖反應。

產業鏈解析

龔蔚稱，黑客地下產業細分很明確，一旦獲得用戶賬戶信息(黑客們習慣稱為刷庫)，將進行流水化的洗庫工作，龐大的群體等待著這些賬戶密碼(黑客俗稱洗庫)，下線洗庫的首先判斷是否可以登錄其他所有的將近 500 個大型網站，然后分門別類的區分出不同的賬號價值，比如短位 QQ 賬號(5位 6 位的 QQ 號)，帶有虛擬幣的系統比如支付寶系統，網游系統，通過第一次的刷庫將其最直接的虛擬幣或游戲賬號進行轉移，第二梯隊根據刷下的庫對用戶賬戶信息進行篩選，將用戶的一些基本信息進行保存，比如密碼習慣，找回密碼的答案，然后再根據這些信息去嘗試用戶其他的賬戶，同時進行二次刷庫。

掌握某些網站的關鍵維護人員的用戶賬號信息后，他們的密碼很可能就是某些網站的維護密碼，這為刷庫的黑客帶來了更多的入侵機會，他們將會嘗試這些管理員的密碼擴大入侵的范圍，(黑客俗稱“社會工程學破解”)。

龔蔚表示，更多的產業鏈在等著這些刷庫工作者，用戶數、游戲運營商需要注冊用戶數，廣告商要用戶數，刷庫的可以在短時間內將任何有需求的注冊用戶數提升上去，而且都是真實的用戶。

他透露，更為可怕的是，根據數據庫可以判斷出賬戶的社會關系，如果一個密碼數據庫里只有 5 個人用，那就是馬甲了。如果一個郵件后綴只有 30 個用戶那你們就是某種特定關系的朋友或者是同事。

一個 IP 用戶不同賬號同時發了幾次微博，那你一定離得很近。如果一個密碼找回的問題有著同樣的答案且不多過 10 個重復率，那你們之間一定有聯系。還有更多的黑客分析算法，目的只有一個這將作為下一個產業鏈的開始，可以是詐騙，可以是敲詐。因為他知道網民背后所有的秘密。

他介紹，就算最后所有的價值都被榨取完了，這些賬號還是有利用價值的，這些信息將被無情的低價倒賣給一些專門發送垃圾郵件，垃圾廣告的群體，你的每一次點擊將會給他帶來 1 毛錢的收入。

注：產業鏈部分可參考騰訊科技系列獨家稿件《黑客揭秘帳號泄露：隱私被多次售賣》

鳴謝 COG 論壇組織者，黑客元老龔蔚 goodwill 接受騰訊科技專訪。