分析:小米泄露數據密碼破解率高達 37.8%

jopen 10年前發布 | 8K 次閱讀 小米

        李普君

        作者:豬豬俠(@王音 )

  • 泄露數據的條數 8281387 條 

  • 具體被脫褲時間 2012-06-15 14:08 

  • 開始被傳播時間 2014/5/13 15:51 

  • 上傳百度盤時間 2014-5-13 21:29 
    • </ul>

            密碼破解成功率

    取樣記錄數:1000 條 

    取樣成功數:378 條 

    取樣成功率:37.8%

    </blockquote>

            數據被打包時間為:2014/5/13 15:51,本次測試將取樣 1000 條密碼為樣本進行破解; 

            破解算法:md5(md5($pass).$salt) 

            通過打包時間來選取開始 id:5/13 15:51 5131551

    SELECT id,`password` FROM `xiaomi_com` WHERE id > 5131551 LIMIT 0,1000

            得到的密碼 HASH 如下:

    id password 

    5131552 ****e68c4acfbf7bc1c23e01b07c60d8:b504fa 

    5131553 ****8a9f3ce2e47753ce7d42594d1846:ca2432 

    5131554 ****4b4913ce7112611cdac6dce63fcc:9e23e4 

    5131555 ****94ec40f716fb01484b6974baaecb:6aa615 

    5131556 ****6c06304ff9fd0968766677add251:a0902b 

    5131557 ****f52a95e52678d69605765876cdce:db813a 

    5131558 ****c03f0a0a9511ec18fe98151b3b54:065eac 

    5131559 ****a2f4ddea6ad792c21f6b7d1c7171:4157c9 

    5131560 ****90dcd2228377ea14aecedbfd06f2:5cb259 

    5131561 ****da81d2428f2644cca2927449cbb1:a3ecba 

    5131562 ****968a660fdb124d16e82c9f66a3dd:4c371d 

    5131563 ****07d4ceac1de709e9c32943df2817:6d50ea 

    5131564 ****450f5e7618f7276c882fa13e518a:f213e3 

    5131565 ****0baf08c5b30ab502c7b99e4f2878:bb1ef0 

    5131566 ****e41e51c75d101ac12c925cd2ce4f:3df167 

    5131567 ****dee82e95174a3d32d8c4e0c9527b:9dd0ee 

    5131568 ****f63f7768f8cdcf8bd4b97d3e839d:b90fcd 

    5131569 ****8122182e2fe53218976e2d6372a5:d59b2b 

    5131570 ****bd09dafa13b8109b02672163d031:a72128 

    5131571 ****9b3a6c1211590bbf730211f6532c:0b9679 

    5131572 ****a9b67ccfd6766762188b1e21bd76:79518e 

    5131573 ****b5d4bdc4e20e7a24bd08946c3792:b5ca60 

    5131574 ****d109a2336f0c4f5e490c62cf8601:1a8f30 

    5131575 ****d2470579fe7b51e9a3c55a1b237b:033f78 

    5131576 ****517db60211dcc61f3859b7c4358d:fddee6 

    5131577 ****d4bc2980ab9828b5a0adf228a0d4:9e24e4 

    5132546 ****b9805a8d7dbb60e87a7c9906bb61:e08f2d 

    5132547 ****e1c3a35ef7727409ab4dfa21ae09:e21ca7 

    5132548 ****57baf74c28c0d6d243ebeba3b430:8826c1 

    5132549 ****f8a19b5e5b34a9d76d7f1a33285d:bef695 

    5132550 ****735cda000097cbb9593c593f25aa:1a63a1 

    5132551 ****d19447fafda7a52c55a0f87b93b2:e97998

    </blockquote>

    • 破解樣本記錄:1000 條

    • 破解成功記錄:380 條
      • </ul>

              傳播時間

              通過匿名駭客泄露在百度網盤的地址,獲得一份 xiaomi.rar 用于研究,內容為 mysql 原始數據文件。

      分析:小米泄露數據密碼破解率高達 37.8%

              如上圖:我們可以得出該數據的具體傳播時間。 

              脫褲時間

              分析被泄露的原始數據庫,倒序排列 id, 

              得到最后注冊的會員信息:{username:1216226680}{id:8281387}

      分析:小米泄露數據密碼破解率高達 37.8%

              http://home.xiaomi.cn/home.php?mod=space&username=1216226680

      分析:小米泄露數據密碼破解率高達 37.8%

              事件真正的影響

              這個事件真正的影響在云,不在數據的新舊,比如目前看到的流傳的危害截圖(用戶數據被同步到云) 。

      分析:小米泄露數據密碼破解率高達 37.8%

      分析:小米泄露數據密碼破解率高達 37.8%

      分析:小米泄露數據密碼破解率高達 37.8%

              信用卡號、姓名、有效期、CVV2 全部泄漏,手機使用者知道么?

      分析:小米泄露數據密碼破解率高達 37.8%

              結論

              雖然密碼 HASH 是 salt 與 md5 加密后的,但是簡單的密碼仍然可能被迅速破解,模糊統計概率是 37.8% 可被迅速破解(由于數據泄漏導致可能有大概 313W 用戶有直接被黑客攻擊的風險)。 

              你能想到的手機可能出現的隱私都可能被泄漏,改密碼目前是唯一的解決方案。

              ———————————————

              發自知乎專欄「烏云君

              相關新聞:小米論壇 800 萬用戶數據庫泄漏請立即修改密碼

       本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
       轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
       本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
        本文地址:http://www.baiduhome.net/news/view/87e7f3