昨天乌云的一个漏洞报告

这个数据一经传开，立刻导致各种机构与媒体跟进，迅速推出“靠谱”分析，或号称比靠谱更“靠谱”的消息……在各家急着发出声音的时候，乌云的白帽子却还默默无闻的寻找线索，最大化了解影响的范围，一起看下收获：

首先，这份13w数据最原始的文件名应该是酱的：

啥还有售后群？难不成还提供更新与不满意退货服务？但不管怎样，这群号是个非常关键的线索，于是我们的白帽子伪装成买家，在群里还真联系上了一位卖家（数量过于庞大，无法验证真伪，所以模糊处理了）

此人直接扔来7条数据，而且格式与互联网上传播的13w一致，但只有一条与那13w数据中的重合其他的都未能查到，似乎13w数据的完整性证明充满了疑点

嗯，嘴很严（最有价值的黑客获取方式套取失败，所以不能随意下结论）

白帽子想了个好办法，不如取要一些与自己同姓用户的数据，在看看重合率与真实性

结果这些数据在13w数据中一条也没查到（并且经过测试的确可以登录12306）这特么究竟还有多少我们不知道的数据被售卖着？乌云君知情后尿了一下午。。。遗憾的是，这个时间点恰好赶上外界媒体的报道。该卖家似乎嗅到了危险突然下线消失，再也不见了，不见了（今天发现QQ资料也清空了，感谢媒体！感谢XXTV！！）

最终，乌云君将白帽子提供的这些13w数据外的用户敏感数据再次提供给12306（因为这关键的差异数据，恰巧可能会帮助官方定位日志中的关键线索，哪些人第一次得到手，又有哪些人可能买了！）

同时乌云君也希望没在那13w数据中的用户，也尽量定期修改密码。到底有多少我们的密码被泄漏与交易，这个没人能说的清楚。

怕各位说乌云君自己演了一出戏，所以留下这些用户登录帐号的HASH防止无意义的扯蛋，感兴趣的黄姓朋友可以MD5下自己登录帐号，万一在这些证明数据里呢。

52756d1668dd14c1e33a63621477c584
0f8d1248c84d20aad702128ae971b276
a3e6e52a651199a9c6b711bd3a144928
51db1240829c66ee23ad55b9a5fec1d1
becd24f6163450e4cc701287f0b2a70c
4076fb754d18fadba7110ab4f2263a97
e9608120662cfaf91fd25c046439cf3d => 这条是对比13W唯一重复的登录名
6425d54303515197442050bf0437d47e
0f7e29afa557dc52521d1aa5c218a165
77238d3221eaeae50fb1d8ec29ad253c
f24095592060f77f833a045308106bd6
68f7b000cbf818b0043a72e22eee4215
d1755335f4197cd587102d6323b184b7
65c946fe68b6c2e7aa43c0ece1343a2f
04e55fb5a707d157c59c84f699daf007
cefa8782f7d544c8f3b0c112d1898454
cb218a652e29ee22ad64ddbc85071709
b4b2fe87df032d1e7d3861a96e0aa783
9dd044cd6e38d31670bcf321fa3b4ad5
211bc27264346a7c2c3edd68a19829d5
9ceab1e1bda8334bd33eaf60965d831d
c908b6680c56fec6749aa08070d2de8a

关于这13w数据，很多机构组织都在说是撞库，信息来自哪里没说清楚很含糊。不过乌云社区有白帽子给出了自己的一些分析，仅供参考吧（这些已经泄漏并流传多年的数据功不可没啊）

13w的数据民间分析就到此为止，相信官方可以通过日志等信息查出事件的原由，并且给用户一个满意的答案。

这次事件我们看到了官方的积极响应，看到了用户的警惕，也看到了黑产对12306帐号数据的垂涎与掌握程度。如果大家能在平时对自己的帐号安全多付出一些（常改密码，放弃现有密码，因为漏的差不多都可能被人掌握了），企业监控再给力一些（如果是撞库，这么多数据不能静悄悄的撞完吧，总有点动静），就不会发生这次的事情。安全不能总靠救火，还要靠平时的积累。

最后，乌云君在给大家八一八大家所关心的其他信息点吧，分别是：

1）12306官方安全意识

对于12306官方的安全意识如何，大家从乌云历史报告自行体会 厂商信息_中国铁道科学研究院漏洞列表

其实这次12306响应与手段都很及时，据微博用户反馈说很多泄漏的帐号迅速被锁定了。但无论因谁的责任，这波数据明显是针对12306购票平台的。希望官方调查最后即使不便公开受影响用户量，也至少能给涉及用户一个提醒或强制的密码变更，他们才是最大的受害者需要保护。最后，如果官方确实存在一个可以撞库的帐号接口漏洞，也希望告知是否发现并且进行了处理，别还可以继续撞库盗窃用户数据。

这里有个槽要吐：在得知泄密后，乌云君第一想法也是改密码，然后删掉帐号内保存的亲友身份证信息，以后需要时在填入。结果发现12306就不！允！许！删！似乎证件在帐号内需要一段时间后才允许删除，就纳闷儿我的数据凭什么不让我删……但能否别明文显示啊（互联网公司做的就很好，敏感信息都有星号保护）

2）第三方抢票泄密可能性

就在这次泄密事件之前，乌云君也在想，这些第三方抢票机构会不会在未告知的前提下记录俺们的信息呢？真的是不太敢用啊。

3）撞库

原理不提了，很多媒体进行了解释，再逼逼叨就有点像老和尚念经了。

撞库攻击在国内外黑产圈都搞的风风火火，一片繁荣热闹之相。每当有企业的数据库被拖，影响的不仅仅是其本身，还间接的威胁到了这些用户在其他企业下服务！所以撞库的影响与责任至今都捋不清，没人承认。如今泄密多样化：帐号、密码、手机、身份证、住址、好友关系等信息皆可泄漏……看微博一些用户对身份信息泄漏已经习惯了，但此类信息是某些安全机制依赖的核心部分，这不是好事儿需要警惕。

希望互联网企业与多方机构共同努力，对泄密责任方进行追究，令其重视用户信息安全，别在嘴上功夫。并且帐号等泄密事件需要让受害者知情，并且提前做好防范。但是，这可能么？这不可能么？？这，可能么……

----------------------