多くのウェブサイトが「リークゲート」に関与、ハッカーが侵入プロセスを暴露

多くのウェブサイトが「リークゲート」に関与、ハッカーが侵入プロセスを暴露

「リークゲート」はウェブサイトの危機からインターネット界の嵐へと発展し、2011年末にはネットユーザーの間で最も関心の高い話題の一つとなった。

これまでのところ、この嵐の影響を受けたウェブサイトには、CSDN、天亜コミュニティ、多湾、JD.com、当当、Alipay、さらには広東省出入国管理局の公式サイトなどが含まれています。さまざまなウェブサイトが説明を始めましたが、ネットユーザーは皆、自分の個人情報、社会生活、金融情報が白日の下に晒されることを心配しています。「パスワードを変更しましたか?」は、年末のネットユーザーの間で最も人気のある挨拶になりました。

Antiy LabのチーフテクニカルアーキテクトであるXiao Xinguang氏は、過去10年間、中国のインターネットはスピードに頼り、アプリケーション開発とセキュリティ開発が分離されてきたと述べた。これらの負債は将来的に埋め合わなければならないだろう。 「ユーザー情報販売」産業チェーンをいかにして断ち切るかも大きな問題だ。

ハッカーの「情報階層」

ソニーが昨年4月という早い時期に、ゲームネットワーク「プレイステーション(PSN)」がハッキングされ、名前、請求先住所、その他の関連情報を含む7,700万人のユーザーの情報が盗まれた可能性があると発表したことを覚えている人はほとんどいないだろう。アンティイの主任技術設計者、シャオ・シングアン氏はナンドゥの記者に対し、この一連のライブラリ流出は海外から始まったと語った。 「ゼロデイ脆弱性の存在と現在のアプリケーションの膨大な複雑さにより、現状ではウェブサイトアプリケーションが安全かどうかを判断することは困難であると言えます。」

一方で、サーバー上には補うことが難しい抜け穴があり、他方では、ユーザー獲得をめぐるインターネットアプリケーション開発者や各企業間の熾烈な市場競争がアカウント侵入の引き金になっていることがわかります。現在、中国にはアカウント侵入を専門とするハッカーが多数存在しており、その背後には...かつてユーザー情報を購入した開発者のシャオ・リン氏は、南都の記者に対し、最も一般的な状況は2つあると語った。1つは、ハッカーに類似のウェブサイトのデータベースに侵入させ、データベース情報に簡単な変更を加え、それを自分のウェブサイトにインポートすることで、ウェブサイトを模倣・盗用し、開発コストを大幅に削減すること。もう1つは、マーケティングの必要性から、主に電子商取引会社が使用するメールアドレス、携帯電話番号などの特定の個人情報を要求することである。 「これらの企業は、ユーザーが自らのユーザーニーズを提起し、交渉できる固定のQQグループやフォーラムを持っている」とシャオリン氏は記者団に語った。

昨日、南都の記者がいくつかの関連QQグループに入ろうとしたが、「相手側がメンバーとして参加することを拒否した」と知らされ、サークル内の状況がますます緊迫していることがわかった。その後、記者はハッカーと連絡を取り、ウェブサイトのデータベースへのハッキングの手順を彼から学んだ。ヤン氏は、一般的にハッカーはまず「データベースをドラッグ」してウェブサイトのアカウント情報を入手し、次に「データベースをクリーンアップ」して「データベースをクラッシュ」させ、情報を階層化して価値の高いターゲットを探すと述べた。 「まず選ばれるのは、仮想通貨のQQ番号、ゲームアカウント、アリペイアカウントなどです。次に、パスワードの習慣など、ユーザーの基本情報を保存し、他のウェブサイトに適用可能かどうかを確認します。その後、既製のメールアドレス、自宅住所、携帯電話番号などの情報がスパムやスパムSMS会社に転売されます。」ヤン氏は次のように述べた。「現在、インターネット企業はみな『オープン性』を主張し、同じアカウントを使用して複数のウェブサイトにログインすることを推奨していますが、これは『1つの番号で複数の用途』に相当し、アカウント情報はさらに危険です。」

スピードの余波

アンティイ研究所の主任技術設計者、シャオ・シングアン氏は、現在のネットワーク漏洩の根本的な原因は、基本的に過去10年間のインターネット開発ラッシュの後遺症であると述べた。 「インターネットはある程度のスピードで生き残っており、セキュリティをより考慮することは間違いなく開発の効率と進捗に影響を与え、ユーザーの操作体験にも影響を与える可能性があります。そのため、国内のアプリケーション開発はセキュリティ開発から分離されており、多くのセキュリティ負債を抱えています。しかし、今後10年間で、セキュリティはインターネット企業の生存の支点の1つとなり、これらの負債を徐々に埋め合わせる必要があります。」

Antiy Laboratory が実施した調査によると、国内のウェブサイトアカウント情報はプレーンテキストや標準 MD5 で保存されている割合が比較的高く、これらの方法は非科学的です。ハッカーのヤン氏は、パスワードを平文で保存することがユーザー情報漏洩の鍵だが、暗号化保存に標準のMD5を使用しても、レインボーテーブル衝突によって解読される可能性があると述べた。

Xiao Xinguang 氏は、ウェブサイトが全体的な権限とデータ アクセス戦略を開発し、アプリケーションとパッチをタイムリーにインストールし、アプリケーション コーディングの品質を向上させて SQL インジェクションに対する保護を強化し、アプリケーション サービスとデータベース サーバーを分離し、データベース サーバーをライブラリへのアクセスが必要なアプリケーションと管理者のみがアクセスできるように構成することを提案しました。 「ウェブサイトのセキュリティを強化するための戦略や方法は数多くあるが、その多くは高額な費用がかかり、ほとんどの国内ウェブサイトには負担できない」と肖新光氏は付け加えた。

この漏洩騒動で広く言及された「プレーンテキストストレージ」は、まさに運用の利便性とコスト削減のために初期の多くの商用ウェブサイトで採用されたストレージ方式でした。

工業情報化部は以前、この事件について通知を出し、ユーザー情報の盗難と漏洩を強く非難していた。工業情報化部は、直ちに緊急対策を発動し、関係の通信管理局、国家コンピュータネットワーク緊急対応技術処理調整センター(CNCERT)、ネットワークセキュリティ専門家、一部のインターネット企業を組織して事件の理解と検証を行い、事件の影響と被害を評価し、対応策を検討して提案すると述べた。肖新光氏は、現在インターネット上に出回っている漏洩情報の信憑性は依然として検証する必要があり、管理部門の統計に基づくべきだと指摘した。 「しかし、その中には信頼できない情報もあります。いわゆるデータベースの中には、P2Pスコアを不正に操作したり、自社のソフトウェアを宣伝したりするために使われる偽のデータベースもあります。」

南方都市報記者謝睿

原題: 複数のウェブサイトが「リークゲート」に陥り、ハッカーが侵入のプロセスを暴露

キーワード: 複数のウェブサイト、漏洩に関与、顧客、露出、ハッキング、1、ウェブマスター、ウェブサイトの宣伝、金儲け

<<:  中国のスタートアップウェブサイト:「乐」が最も人気の名前、北京が好まれる場所

>>:  WordPress 用のパーソナライズされたユーザーフレンドリーな 404 ページを作成する方法

推薦する

XiaomiとMicrosoftが戦略的協力覚書を締結:クラウドコンピューティング、人工知能、ハードウェア製品における協力をさらに深める

XiaomiとMicrosoftが戦略的協力覚書を締結した。両者は長年築いてきた相互信頼と協力関係に...

ローカルファイルで Google アナリティクスのパフォーマンスを向上させる

Google Anlytics 分析コードは非同期で読み込まれるため、通常は Web ページのパフォ...

racknerd: 中秋節 VPS プロモーション、米国データセンター 7 か所、年間 11.88 ドルから、768M メモリ/1 コア/10gSSD/2T トラフィック

Racknerd は、現在中秋節プロモーションを開始しています。米国 VPS の年間料金は 11.8...

pzea-香港沙田/CN2高速直接接続/KVM/15%割引/ダブルメモリ

-(-、kvmla) は、評判も性格も良い中国の商人で、香港の JJ を多数所有しています。彼のマシ...

工商局はダブル11を前に電子商取引企業16社と面会、問題があればまず補償金を支払う

北京ニュース(記者杜丁)「ダブル11」オンラインショッピングピークプロモーションデーが近づいているこ...

クラウドファースト戦略はあなたに適していますか?

リスクを回避する方法を理解し、自分に合った戦略を立てることが重要です。新しいアプリケーション開発のほ...

「スマートコーン」が北京でデビュー、Amapのブラックテクノロジーが公共交通の安全性を高める

道路工事は最も労働集約的で危険な職業の一つです。毎年、交通工事や道路清掃、事故処理などにより交通事故...

マイクロサービスの開発と可観測性についての簡単な講演

著者: Chen Yishuai、 PaaS 製品部門、中国モバイル クラウド機能センター近年、「ク...

SEO初心者が知っておくべきこと:検索エンジンに適したウェブサイトのデザイン

ウェブサイトのランキングを向上させるために SEO を実施します。より多くのユーザーに当社の Web...

企業ウェブサイト向けのオリジナル記事リソースをより適切に見つける方法

最近、ウェブサイトの構築と最適化に忙しく、ブログの更新が遅くなってしまいました。この間、多くの企業サ...

中国聯通:コアシステムの全面的なクラウド再構築が完了

6月9日、中国聯通IT研究開発センター総経理、党委員会書記、聯通ソフトウェア研究所所長の耿祥東氏は、...

Apache Kafka と Spark Streaming を統合する 2 つの方法とその長所と短所

[51CTO.com クイック翻訳] Kafka と Spark Streaming の統合Apac...

マクドナルド事件: SEO のための代替比較方法

今日は4月4日です。Yu Muqingは、3月15日の偽造防止デーに暴露されたマクドナルドの事件につ...

bluevm - 強力な構成サーバー - 特別価格!

Bluevm は、ほぼ 2 か月間、誰の実装からも消え去っています。512M メモリの KVM VP...

racknerd San Jose VPS は年間 18.88 ドルから、高性能ハードウェア構成 - AMD Ryzen 9 7950X/DDR5/NVMe (Gen4) アレイ

racknerdは、米国西海岸のサンノゼデータセンターにAMDシリーズの高性能VPSをリリースしまし...