沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

大量12306用户数据遭泄露 含身份证号及密码

12月25日消息,漏洞报告平台乌云漏洞今发布报告称,大量包括用户帐号、明文密码、身份证和邮箱在内的12306用户数据在互联网上疯狂传播。 乌云在报告中透露,目前泄露的数据包括,包括登录账号、密码、信用卡信息、购买记录、常用联系人的电话及身份证号。乌云还补充道,数据已在传播售卖,但目前无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即接入调查并且通知已泄密用户修改密码。 12306用户数据泄露 疑由第三方软件流出 中国证券网讯 12月25日,据虎嗅网消息,乌云漏洞报告平台今日报告称,大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等(泄漏途径目前未知)。 对此,中国铁路客户服务中心回应称,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。 中国铁路客户服务中心表示,为保障广大用户的信息安全,请通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。 以下为铁路客服中心公告: 关于提醒广大旅客使用12306官方网站购票的公告 针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。 我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。 同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。 中国铁路客户服务中心 2014年12月25日    

资深分析师预测 2015年互联网10大引爆点

临近年关,各大媒体最喜欢做的事情就是年终盘点。于是科技外媒BI,邀请MacquarieSecuritiesGroup(麦格理证券集团)的分析师BenSchachter预测了2015年将会引爆热点的互联网关键词。 物联网 明年相信会是物联网腾飞的一年,人们日常生活中接触到的各种设备和装置将都会被安置传感器和智能芯片的趋势会愈发明显。 Schachter认为在2015年,我们将会见证物联网连接“经济的几乎所有领域”,包括家庭自动化、交通运输和医疗保健。 大数据BigData 大数据,正是当下火热的流行词,意指企业级用户分析海量数据的新渠道。具体说来就是传统的主流软件工具无法分析规模巨大的资料量,如今借助于新的工具手段,企业和公司何以在合理的时间内手机、管理、处理并整合帮助经营决策更积极的施行。 Schachter表示,大数据将会继续主导市场,而且企业级用户对其的依赖性亦会逐渐增高。 可穿戴设备 Schachter说,“今年可穿戴行业的蓬勃景象仅仅只是一个漂亮的开始。”他表示,明年可穿戴设备将会继续腾飞,并且各种健身医疗、健康监测以及智能眼镜、智能手表等产品会层出不穷。 改善的网络环境 巨头公司纷纷开展公益性的项目,如GoogleProjectLoon、Facebook无人机计划以及Facebook’sInternet.org旨在让全球的互联网环境得到有效的改善,尤其是让偏远地区得到可靠快速的网络接入。其实今年,项目便已收到许多突破性的成果,希望在2015年,我们可以看到真正的落地实施。 企业云服务 可以预见的是,明年会有越来越多的企业公司将会把自己的业务上传到云端。AmazonWebServices(AWS亚马逊云计算服务)仍是目前世界最大的企业云服务提供商,但明年Google和微软将会紧随其后,与AWS一争市场。 移动支付 纵然说苹果并不是第一家试水移动支付领域的公司,但是从目前看来ApplePay比起它的前辈们的确做的更好,而且相信在2015年ApplePay会发挥出更大的潜力。 亚马逊PK其他电商 没错还是亚马逊,它依旧是全球最大的电子商务网站,今年的销售额预计为910亿美元,这一逆天的数字甚至比排在它后面的电商网站加起来的总和还要多。在明年,趋势依旧不可逆,亚马逊仍然会主导网上零售市场,但是它的难缠的竞争对手们例如Google、阿里巴巴和eBay依旧会尝试在自己仅占的小份额市场中绝地反击。 程序化的数字广告 整体的数字广告行业将会得到大的改善,程序化的平台可以自动智能的帮助客户购买销售广告。Macquarie预测说,在明年我们将会看到更多先进的技术、平台、全媒体的出现,让数字广告行业的门槛更低,中小型用户都可以参与。 精准的广告定位 Schachter说,“广告搜索的魔力终于开始大显神通。”正如图片示例的温暖催泪的苹果2014圣诞节广告,今后将会出现更多为用户“量体裁衣”专属打造的视频广告。详细的说,网络广告再也不会像传统广告那样拥有“简单粗暴生硬直白”的品牌商嵌入,今后的广告将会更具有艺术感和生活气息,与用户的兴趣爱好生动结合,定位准确合理,不会造成用户反感。 虚拟现实&增强现实 OculusRift和GoogleGlass都是虚拟现实行业中首屈一指的出色产品,前者被Facebook以20亿美元天价收购,而后者就是我们熟悉的巨头Google公司,也急不可耐的以5.42美元领投了一家新兴的创业公司MagicLeap。 Schachter表示,目前的虚拟现实技术需要更多的突破创新,而巨头们纷纷登场预告着VirtualReality的时代即将到来。 via businessinsider    

Poodle漏洞卷土重来,TLS1.2版本受影响

谷歌安全团队在今年10月发现的一个高危SSL漏洞POODLE(贵宾犬漏洞)影响SSL V3.0版本。近日,该漏洞卷土重来,这次它甚至影响到SSL升级版——TLS协议。 漏洞概况 根据360监测结果显示,本次漏洞影响同样广泛,并且攻击者利用成本比上一次更便利,漏洞起因是由于TLS1.2没有正确校验PADDING,导致攻击者即使不先降级到SSL3.0,也能通过TLS1.2,用中间人攻击方法绕过传输层加密机制,窃取用户的敏感信息,例如cookies信息,帐号信息等,这种攻击在咖啡馆环境或局域网环境影响巨大,攻击者只要发送256个请求,就能覆盖到一个cookie中的敏感字符,或者发送4096个请求,就能覆盖到cookie中的16个敏感字符,所以建议普通用户及时更新浏览器版本,站长及厂商更新相应设备的补丁,除了HTTPS商业,政府网站,目前已确定F5,A10,HP等网络设备均受影响,其他的网络设备的安全情况。 站长们要想检测他们的服务器或者负载均衡设备是否易受到影响,可以通过这个地址进行检测。如果您看到This server is vulnerable to the POODLE attack against TLS servers. Patching required.提示,则证明受此网站受此漏洞影响 安全建议 针对个人上网用户,我们建议您使用最新版浏览器,不要再使用IE6,及时更新到IE11或IE12,如果您是低版本的FireFox或Chrome用户,可以通过下面的配置禁止SSL3.0和TLS1.2,临时降低风险。 写在最后 SSL协议漏洞和SSL证书相关吗?不用SSL证书就没有漏洞吗?当然不是!这就好比,你想补门上的洞,但前提是你家得有门!修复SSL漏洞,前提是你用了SSL证书。如果没用SSL证书,那就不是修补的问题,而是整个门庭大开!数据明文外泄,拦都拦不住!SSL证书是互联网安全基础设施,站长必备!沃通CA(www.wosign.com)提供全球信任的免费SSL证书,零成本保护网站安全。 参考来源:360安全播报 ​  

2015年Chrome计划将所有HTTP标记为不安全

Google公布计划 类似于Let’s Encrypt,Chromium开发团队将通过非盈利组织EEF(电子前线基金会)与Mozilla, Cisco,以及Akamai进行合作,为2015年之后接入互联网的服务器提供HTTPS加密认证。 这并不是google第一次通过这种方式鼓励更多的网站实现更为有效的HTTPS加密,早在几个月前,google就曾试图通过改变其搜索引擎的算法来轻微的提高已经进行HTTPS加密网站的排名。 “我们打算通过用户代理供应商来逐步改变其用户体验,以此来展现HTTP是不安全的,并鼓励更多的网站进行HTTPS加密。我们所有人都需要保证数据通信的安全,当我们的数据通信安全不能够得到保证时,用户代理供应商应该进行明确及时的提醒,以便用户更好的做出决策。” 用户在浏览网页时总是在安全性和自由之间做出妥协,当我们谈论安全时,它往往意味着我们在网站上的自由性会大大降低。 Chromium开发团队还强调称,当网站进行HTTPS加密后,在任何浏览器的用户界面中,地址栏都会有显示。这种显示可以有效的保护用户不受到站点伪造攻击,例如中间人攻击或者钓鱼网站。 但是一般情况下浏览器并不会发出警告。只有当浏览器认为网站的来源为HTTP,用户的安全性无法得到保证时才会发出警告。 分阶段实现 研究小组人员建议浏览器重新定义三个基础的传输层安全协议: Secure (有效的HTTPS,以及其他类似的如(*, localhost, *)) Dubious (有效且无源的HTTPS,有效且包含小TLS错误的HTTPS) Non-secure (破碎的HTTPS,HTTP) 说的更具体一点,google正鼓励用户代理供应商通过分阶段的方式来实现产品在用户需求和设计上的改变。 Google的这一新举措将会使更多的网站选择HTTPS的加密,因为通过加密,你的网站在google搜索引擎的排名就会越靠前,而这也意味着你的网站将会获得更多的流量。公告上还称,google将在2015年开始实施这一计划。 [参考来源thehackernews,译/Change,转载请注明来自Freebuf.COM] 编后语 互联网巨头都在强调Https的重要性,并不断在自己的产品中支持Https的普及应用。沃通WoSign提供免费SSL证书,全球信任、永久免费,让网站零成本进入全站Https时代,更好地支持中文,更适合国内网站使用。      

Http将被谷歌标记为不安全

【文章摘要】Chorme的安全团队正在制定一项计划,2015年开始明确通知用户Http连接非常不安全。很多网民认为,浏览器不会报错就是安全的,但谷歌安全团队指出“web浏览器唯一不发出警告的情况,恰恰是不安全的情况,就是使用http传输协议时。”   Chorme的安全团队正在制定一项计划,明确通知用户Http连接非常不安全。Http的不安全警告,可能会类似于现在的Https不安全因素报错标识。很多网民认为,浏览器不会报错就是安全的,但谷歌安全团队指出“web浏览器唯一不发出警告的情况,恰恰是不安全的情况,就是使用http传输协议时。” 谷歌的未来展望是,有一天HTTPS被广泛使用,安全连接不需要做特殊标记,就像现在HTTP连接一样普遍。   SSL Labs和bulletproof SSL and TLS的作者Ivan Ristic在采访中表示,“谷歌的决定是朝着正确的方向迈出了一步。”   “目前的现状是有些网站不加密,有些选择性做部分加密,这样是不安全的,只有100%加密所有流量(译注:全站https),才能获得安全。当部署部分加密时,很多陷阱很难得逞。但这是一个长期的过程,不能快速实现。我们只能通过一系列的小步骤打破这种局面。这种变化本身不会使我们更安全。然而, 这是一个重要的步骤,过渡到一个安全的网络。” 谷歌暗示UA连接传输层安全分为三个状态:安全(有一个有效的HTTPS证书); 可疑(有效的HTTPS但存在不安全因素或TLS错误);不安全(失效的HTTPS或HTTP明文连接)。 谷歌鼓励供应商采取分阶段的方法实现这些变化。例如,他们说这可能是一个好主意对可疑和不安全的起源同样在分类前的中期HTTP连接以同样的方式他们分类网站与已知长期不好的起源。 “我们都需要数据通信网络安全(隐私、安全、防干扰),“Chromium安全团队写道。“当没有数据安全,UA应该明确显示,这样用户就可以做出明智的决定。”   编后语 互联网巨头都在强调Https的重要性,并不断在自己的产品中支持Https的普及应用。国内外的CA机构,也在为普及Https应用做出贡献,国外StarSSL和国内沃通WoSign都提供免费SSL证书,让网站零成本进入全站Https时代。国内沃通免费SSL证书更好地支持中文,更适合国内网站使用。   [本文来源threatpost由liaoxj2046编译,转载请注明译文来源http://wx.wosign.com/?p=1443]    

信息泄露黑色利益链 年收入高达上百亿

智联被爆泄露86万用户信息,回应称IP地址非智联 互联网上又爆出用户信息被泄露的事情了。乌云漏洞近日公开了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞。该漏洞于12月2日提交,据称可获取包含用户姓名、地址、身份证、户口等各种信息。由于涉及泄密数据量巨大,引起了社会广泛关注。但是智联方面对羊城晚报记者回应称,漏洞详情中披露的IP地址非智联招聘的,泄密信息也非智联招聘用户。智联方面表示,公司已查实,此系第三方招聘网站冒用智联招聘的标注,不排除获利动机,已向该网站发送律师函。 提醒 信息泄露责任谁来担? 用户账户密码个人信息频遭泄露,责任究竟该由谁来承担?艾媒咨询集团CEO张毅在接受羊城晚报记者专访时表示,除了国家明确立法和严格的保护措施以外,斩断利益链,厂商的自律非常重要;对于用户而言,要选择最安全的渠道使用软件并定期更换密码,恐怕是最保险也是最妥善的保护。360安全专家万仁国表示,不要轻易点开手机短信的网络链接,更不要进行可疑的App安装,涉及个人信息的一定要和亲朋好友核对信息源。 IT法律专家赵占领表示,政府有关部门应提供相应的安全性审查检测工具和服务,规定相关网站承担平台管理和用户数据安全保障的连带责任,并要对应用商城上架的所有应用程序进行安全核查及进行开发者验证。今年初工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)已正式通过评审,正报批国家标准。但是,有业内人士担心,《指南》不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。 回应 智联招聘漏洞子虚乌有 乌云网方面表示,乌云网根据漏洞发现的86万条简历数据,全部被标注为来自智联招聘,至于数据是否属实、是否有其他网站获取这些数据等信息,仍需要智联招聘方面来进一步确认。 智联招聘发布公告称,经过技术部门排查,乌云提交的疑似漏洞信息所指向的IP地址,并不是智联招聘;而乌云网站上公布的疑似泄露信息图片中,标有智联招聘字段的简历,实际上也不是来自智联招聘。根据智联招聘提供的数据,目前其简历数据库中的近亿份简历,均无法在互联网上访问;并且有严密的数据库网络防火墙,安全及运维部门实施24小时监控,有完善的数据保障机制。 记者发现,求职者在大型的招聘网站上进行简历注册时,个人信息开放程序的等级是可以选择的。像智联招聘就设置了完全开放、完全保密、委托智联招聘等三个等级。完全开放是所有企业都可以看到简历,但同时可选择屏蔽某个或某些公司;完全保密,是所有企业都看不到,但个人可凭喜好投递简历;委托智联招聘,就是只有智联招聘猎头可以与简历人沟通。 揭秘 黑色利益链高达上百亿 对于网络经常爆发的泄露事件,是什么人在进行这些交易呢?羊城晚报记者通过采访发现,黑客通过技术谋取利益已经形成了一条“黑色地下产业链”。“这个产业链一年收入可以高达上百亿元”。瑞星安全专家唐威告诉羊城晚报记者,如今最受青睐的是电商的用户信息,“因为这里包括了用户的地址、电话、银行账号、消费信息等等最能变现的资料”。据记者了解,这个产业链分成了几个群体,共同支撑起这个“黑客帝国”。 首先是卖方,这里有些是技术人员和销售人员,有些是工具制造者,他们不会直接兜售,“而是拿到数据之后直接抛给下游。”唐威介绍说。 接手的就是中间商,他们的工作是倒买倒卖。“他们会将信息归类筛选,有些派发给房地产中介,有些给广告公司。”有业内人士透露,一级中间商的“产品”也并非直接卖给买方,一般是经过至少三个中间商再倒手,以逃避法律风险。 最后接盘的是买方,有些买方还会专门定制用户信息,“甚至有电商雇佣了黑客直接攻击竞争对手的网站,窃取信息。”唐威透露。 有安全领域人士透露,一旦网站被攻击,许多企业信息用户资料就会流入黑客手中,这些数据在黑客圈中所谓的“黑市”里销售,“一般按照文件大小来销售,打包的文件大部分是上百兆有上千条信息,一般是几万元。但若是电商用户的信息,甚至会按条数来卖,这个最值钱。”据悉,一个打包“产品”甚至可以叫价上百万元,有人会利用信息诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利。 此外,专家指出,黑客还会通过对移动支付类APP进行二次打包,伪装成知名应用混淆用户诱骗下载,通过记录输入法窃取用户的淘宝、支付宝账号和密码,同时,还会将支付验证码转发到指定手机,该类具有完整行为的金融支付类病毒的出现,以及恶意扣费类病毒的肆虐,将用户对于移动支付安全问题的关注度提到一个高度。 羊城晚报记者 林曦

暴力破解面前,密码再复杂也没用

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性,要求我们在设置密码时必须包含大小写字母、数字或特殊字符。 微软发布的最新研究报告称:增强密码复杂性基本是没有任何意义的。在本文中,我将简要分析一下微软的理论,并且与大家探讨下两个新的密码安全解决方案。 什么是暴力破解? 暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。更多信息请点我 增强密码复杂性基本没用 在密码强大到无视社工字典的攻击后,黑客采取的攻击称为暴力破解。这类暴力破解又分两种:在线破解和离线破解。 在线破解时,黑客通常使用与用户正常操作时相同的应用接口(比如登录时用到的web接口),因而可能被某些安全防控规则限制。然而由于离线破解的必要条件是黑客已经获取了密码文件,因而黑客们进行密码暴力猜解时通常是毫无忌惮、无所限制的。 微软安全研究人员发现,通过在线破解所尝试直至成功的次数最高约为100万次,而离线破解则达到了10亿次之多。 因此一个不太复杂的百万次猜解级别的密码“tincan24”与一个10亿次猜解级别的密码“7Qr&2M”相比,他们对于在线破解来说都是强密码,而通过离线破解则都不堪一击。同时后者还更加难以记住。 这就告诉我们,在离线暴力破解攻击面前,增强密码复杂性基本没用。 当密码文件泄露后 为了对抗密码文件泄露后的离线破解攻击,我们需要做一些防护措施。 在微软的报告里提到一个通用解决方案: 将每个密码进行加密,然后将密钥储存在硬件安全模块(HSM)之中。因为HSM并没有提供密钥的外部访问接口,所以想要解密密文,只能通过应用程序走正常流程,那样即使拿到了密文也没有太大用处。 两个创新性防护方案 对于防密码文件泄露,国外安全研究者提出两个创新性的解决方案: 1、在Derbycon 2014大会上,Benjamin Donnelly和Tim Tomes提出了他们的“球链”(BAC)解决方案。BAC提供了一种方法,可以人工填充密码文件从而增加文件大小。当然,密码数据会安全地存放在文件里不会丢失,这样一来密码的猜解难度增大了许多。打个比方,黑客想要在线猜解一个2TB大小的密码文件,至少得花费1个月的时间。这么长的时间,再加上如此大的数据发送量,黑客的攻击有非常大的可能性会暴露。 2、以色列某新兴公司Dyadic,向公众展示了它的分布式安全模块(DSM)。DSM运用了最先进的分布式计算(MPC)加密技术,通过把每组密码进行分割后,分布式存储在多个服务器上。黑客想要破解密码,需要遍历多个服务器。由于各服务器有着不同的访问凭证,甚至操作系统也可能不一样,这会大大增加黑客的破解难度。 FreeBuf结语 把密码保护的重任压在用户身上是不科学的,作为安全研究人员,我们显然不能一味地要求用户增加密码复杂度。而诸如使用对称/非对称算法存储密码、加盐(salt)、加密机的使用似乎都是老生常谈,技术也并不新鲜。 有没有一些新的技术或方式可以提高密码及密码存储安全性?上文中国外的安全研究者抛出了两种方法,国内的同志们的呢?欢迎在本文评论中讨论和交流。 [参考来源securityweek,译/FreeBuf小编dawner,转载请注明来自FreeBuf.COM]