多くのウェブサイトが「リークゲート」に関与、ハッカーが侵入プロセスを暴露

多くのウェブサイトが「リークゲート」に関与、ハッカーが侵入プロセスを暴露

「リークゲート」はウェブサイトの危機からインターネット界の嵐へと発展し、2011年末にはネットユーザーの間で最も関心の高い話題の一つとなった。

これまでのところ、この嵐の影響を受けたウェブサイトには、CSDN、天亜コミュニティ、多湾、JD.com、当当、Alipay、さらには広東省出入国管理局の公式サイトなどが含まれています。さまざまなウェブサイトが説明を始めましたが、ネットユーザーは皆、自分の個人情報、社会生活、金融情報が白日の下に晒されることを心配しています。「パスワードを変更しましたか?」は、年末のネットユーザーの間で最も人気のある挨拶になりました。

Antiy LabのチーフテクニカルアーキテクトであるXiao Xinguang氏は、過去10年間、中国のインターネットはスピードに頼り、アプリケーション開発とセキュリティ開発が分離されてきたと述べた。これらの負債は将来的に埋め合わなければならないだろう。 「ユーザー情報販売」産業チェーンをいかにして断ち切るかも大きな問題だ。

ハッカーの「情報階層」

ソニーが昨年4月という早い時期に、ゲームネットワーク「プレイステーション(PSN)」がハッキングされ、名前、請求先住所、その他の関連情報を含む7,700万人のユーザーの情報が盗まれた可能性があると発表したことを覚えている人はほとんどいないだろう。アンティイの主任技術設計者、シャオ・シングアン氏はナンドゥの記者に対し、この一連のライブラリ流出は海外から始まったと語った。 「ゼロデイ脆弱性の存在と現在のアプリケーションの膨大な複雑さにより、現状ではウェブサイトアプリケーションが安全かどうかを判断することは困難であると言えます。」

一方で、サーバー上には補うことが難しい抜け穴があり、他方では、ユーザー獲得をめぐるインターネットアプリケーション開発者や各企業間の熾烈な市場競争がアカウント侵入の引き金になっていることがわかります。現在、中国にはアカウント侵入を専門とするハッカーが多数存在しており、その背後には...かつてユーザー情報を購入した開発者のシャオ・リン氏は、南都の記者に対し、最も一般的な状況は2つあると語った。1つは、ハッカーに類似のウェブサイトのデータベースに侵入させ、データベース情報に簡単な変更を加え、それを自分のウェブサイトにインポートすることで、ウェブサイトを模倣・盗用し、開発コストを大幅に削減すること。もう1つは、マーケティングの必要性から、主に電子商取引会社が使用するメールアドレス、携帯電話番号などの特定の個人情報を要求することである。 「これらの企業は、ユーザーが自らのユーザーニーズを提起し、交渉できる固定のQQグループやフォーラムを持っている」とシャオリン氏は記者団に語った。

昨日、南都の記者がいくつかの関連QQグループに入ろうとしたが、「相手側がメンバーとして参加することを拒否した」と知らされ、サークル内の状況がますます緊迫していることがわかった。その後、記者はハッカーと連絡を取り、ウェブサイトのデータベースへのハッキングの手順を彼から学んだ。ヤン氏は、一般的にハッカーはまず「データベースをドラッグ」してウェブサイトのアカウント情報を入手し、次に「データベースをクリーンアップ」して「データベースをクラッシュ」させ、情報を階層化して価値の高いターゲットを探すと述べた。 「まず選ばれるのは、仮想通貨のQQ番号、ゲームアカウント、アリペイアカウントなどです。次に、パスワードの習慣など、ユーザーの基本情報を保存し、他のウェブサイトに適用可能かどうかを確認します。その後、既製のメールアドレス、自宅住所、携帯電話番号などの情報がスパムやスパムSMS会社に転売されます。」ヤン氏は次のように述べた。「現在、インターネット企業はみな『オープン性』を主張し、同じアカウントを使用して複数のウェブサイトにログインすることを推奨していますが、これは『1つの番号で複数の用途』に相当し、アカウント情報はさらに危険です。」

スピードの余波

アンティイ研究所の主任技術設計者、シャオ・シングアン氏は、現在のネットワーク漏洩の根本的な原因は、基本的に過去10年間のインターネット開発ラッシュの後遺症であると述べた。 「インターネットはある程度のスピードで生き残っており、セキュリティをより考慮することは間違いなく開発の効率と進捗に影響を与え、ユーザーの操作体験にも影響を与える可能性があります。そのため、国内のアプリケーション開発はセキュリティ開発から分離されており、多くのセキュリティ負債を抱えています。しかし、今後10年間で、セキュリティはインターネット企業の生存の支点の1つとなり、これらの負債を徐々に埋め合わせる必要があります。」

Antiy Laboratory が実施した調査によると、国内のウェブサイトアカウント情報はプレーンテキストや標準 MD5 で保存されている割合が比較的高く、これらの方法は非科学的です。ハッカーのヤン氏は、パスワードを平文で保存することがユーザー情報漏洩の鍵だが、暗号化保存に標準のMD5を使用しても、レインボーテーブル衝突によって解読される可能性があると述べた。

Xiao Xinguang 氏は、ウェブサイトが全体的な権限とデータ アクセス戦略を開発し、アプリケーションとパッチをタイムリーにインストールし、アプリケーション コーディングの品質を向上させて SQL インジェクションに対する保護を強化し、アプリケーション サービスとデータベース サーバーを分離し、データベース サーバーをライブラリへのアクセスが必要なアプリケーションと管理者のみがアクセスできるように構成することを提案しました。 「ウェブサイトのセキュリティを強化するための戦略や方法は数多くあるが、その多くは高額な費用がかかり、ほとんどの国内ウェブサイトには負担できない」と肖新光氏は付け加えた。

この漏洩騒動で広く言及された「プレーンテキストストレージ」は、まさに運用の利便性とコスト削減のために初期の多くの商用ウェブサイトで採用されたストレージ方式でした。

工業情報化部は以前、この事件について通知を出し、ユーザー情報の盗難と漏洩を強く非難していた。工業情報化部は、直ちに緊急対策を発動し、関係の通信管理局、国家コンピュータネットワーク緊急対応技術処理調整センター(CNCERT)、ネットワークセキュリティ専門家、一部のインターネット企業を組織して事件の理解と検証を行い、事件の影響と被害を評価し、対応策を検討して提案すると述べた。肖新光氏は、現在インターネット上に出回っている漏洩情報の信憑性は依然として検証する必要があり、管理部門の統計に基づくべきだと指摘した。 「しかし、その中には信頼できない情報もあります。いわゆるデータベースの中には、P2Pスコアを不正に操作したり、自社のソフトウェアを宣伝したりするために使われる偽のデータベースもあります。」

南方都市報記者謝睿

原題: 複数のウェブサイトが「リークゲート」に陥り、ハッカーが侵入のプロセスを暴露

キーワード: 複数のウェブサイト、漏洩に関与、顧客、露出、ハッキング、1、ウェブマスター、ウェブサイトの宣伝、金儲け

<<:  中国のスタートアップウェブサイト:「乐」が最も人気の名前、北京が好まれる場所

>>:  WordPress 用のパーソナライズされたユーザーフレンドリーな 404 ページを作成する方法

推薦する

クラウドサービスが5G主導の未来を実現する方法

高速セルラー ネットワークが東南アジアで主流になるにつれ、クラウドによって通信事業者が 5G ネット...

ウェブマスターはスティーブ・ジョブズのようなマーケティングを学ぶべきだ

私たちがマーケティング手法を見つけようと奮闘していたとき、スティーブ・ジョブズは最高レベルのマーケテ...

白山が「デジタルハイブオーキシン」をリリース、デジタル変革が光の時代を切り開く

デジタル化の岐路を楽に乗り切るには?これは多くの伝統的な企業や政府機関にとって特に問題です。これに対...

本番環境でKubernetesのリソース割り当てを最適化する方法

[51CTO.com クイック翻訳] Kubernetes を使い始めた初日に、アプリケーションを ...

SaaSは「中国ならではのスキル」を発揮できるか?

先月、あるインターネット大手の招待を受けて、北京で企業向けオンラインサービスに関する非公開会議に出席...

DellのOpenStackに関する議論

現在でも、AWS は Gartner Magic Quadrant でリーダーの地位を維持しています...

SimpleNode - $48/年/1.5GB メモリ/40GB ハードドライブ/2TB トラフィック/G ポート/ダラス

SimpleNode.de は 2009 年に設立されました。現在の VPS サーバーは Incer...

過去のデータ:香港クラウドサーバー(2G防御)、湖北クラウドサーバー(100G防御)、初月50%オフ、月額12元から

国内のマーチャントである XiRiData は 年に設立され、主に湖北省十堰と香港 HKBN でクラ...

ウェブサイト最適化におけるキーワードデータベースの役割

ウェブサイトの最適化を行う際、まずキーワードを選択する必要があります。小規模サイトの場合、選択は比較...

Qvodは著作権侵害の疑いで巨額の罰金を科されたと報じられている。Yunfanの捜索は確固たる証拠である。

[要約] 内部関係者は最近、テンセントテクノロジーに、Qvodが著作権侵害の疑いで関係部門から巨額の...

ウェブマスターネットワークニュース:Kuaiboのボスである王欣は1か月近く行方不明になっており、彼の妻はトイレに隠れて現れていない

1. Qvodの社長である王欣は1か月近く行方不明になっており、妻は浴室に隠れたまま姿を現していない...

Googleの障害事件からインターネットの動作原理を理解する

本日、Google のサービスに約 27 分間の短時間の停止が発生し、一部の地域のインターネット ユ...

オリジナル:Xiamiレベルの高品質のソフト記事

多くの初心者は、ソフトな記事を書くときに「ソフト」という言葉を理解します。私も初心者です。以前ソフト...

人気イベントプロモーションとホリデーセールの長所と短所

ご存知のとおり、ホリデー プロモーションやホット イベント プロモーションは、現在最も人気があり、最...