Classification:DataLeakage

Classification (DataLeakage)'s result:

bilibili background source code leakage

2019 4 22 afternoon,an id named openbilibili upload a project to github,which named go-common,that is likely to bilibili.com’s background source code. In the source code,we can find some sensitive information: And some funny things: So,as a enterprise,should pay attention to github leakage and monitor github by some tools so that can get information in no time when assets leaked. That is a big bomb for data leakage!

159 million clients leaked from linkedin

January 30th 2019,hacker “andrew” release some data through the pastebin web,It seems that linkedIn’s database was hacked,and 159 million clients data was leaked,include email and password(plain).The hacker has released a sample list of 100 clients along with their account login credentials as “proof of concept”. The hacker sell the database for $99,also if you want to hack the individual accounts of any person,you can pay for a small fee of 0.012 Bitcoin. And the hacker also sell databases of 200 websites($20-$150). https://pastebin.com/x9ECRdis Finally,I suggest all linkedin’s user should change password in no time!

20180828华住集团数据泄漏事件

真实性:极大 0x00 概述 8月28日上午,某论坛爆出华住集团旗下酒店开房数据的帖子 看看卖家给的测试数据 crm.txt为华住官网注册资料,包括姓名,手机号,邮箱,身份证号,登陆密码等信息。 全部资料共53G,大约1.23亿条记录 cusinfo为酒店入住时登记的身份信息,主要为身份证信息,包括姓名,身份证号,家庭住址,生日,内部id号。全部资料共22.3G,大约1.3亿人身份证信息 history 为酒店开房记录,包括内部id号,同房间关联号,姓名,卡号,手机号,邮箱,入住时间,离开时间,酒店id号,房间号,消费金额等信息。共66.2G,大约2.4亿条记录。   0x01 疑似泄漏源 1. 数据库信息直接上传到了github,帐号root,密码123456 2. 外网ip,没有任何访问限制 //图片来自t00ls //图片来自t00ls 至28日下午,github该项目已无法找到,ip也无法访问。   0x03 结语 可怕。   0x04 参考资料 https://www.t00ls.net/articles-47452.html

聊聊近期的几起数据泄漏事件

0x00 14亿邮箱密码泄漏 6月10日,网上爆出一个邮箱密码查询网站: http://dumpedlqezarfife.onion.lu 可以按前缀查询14亿邮箱的明文密码,涉及Gamil、Hotmail、Yahoo、sina、qq、163、sohu、Aol等知名电邮厂商注册用户和一些公司企业、大学科研机构以及少量政府单位的邮箱使用用户。 还可以通过打赏获取这个14亿的数据库 ps:该网站在10号那天短暂成功访问后就需要fq访问了,18号又能正常不fq访问了,而且网站似乎修改过了,查询需要至少6过字符并包含@,截止发文该网站依旧又可以不fq访问了。 这批数据极可能是半年前4iQ发现的泄漏的那批41G的14亿数据,是252起数据泄漏事件的数据集合,包括Anti Public Combo List、Exploit.in dumps、LinkedIn等,还被整理成0-z的索引。 相关参考: www.freebuf.com/news/156986.html www.freebuf.com/news/174410.html www.4hou.com/info/news/9291.html   0x01 acfun 900万数据泄漏 6月13日,网上突然爆出acfun和摩拜被拖库,acfun的shell和内网权限在暗网出售的消息, 中午: 要洗白?接着没到晚上就有了这300条不带密码的数据 下午又公布了带md5密码的300条数据: 很快仓库就被删了…… 晚上: 这反差也太大了……   相关参考: www.freebuf.com/news/174703.html http://www.acfun.cn/a/ac4405547 http://www.4hou.com/info/news/12072.html   0x02 摩拜数据泄漏 摩拜回应经过排查未发现数据泄漏和入侵迹象,相关网络传言不实。   0x03 12306 3000万数据泄漏 6月13日下午,网传“2016年至2018年3月的3000万条12306数据”被泄漏,其中包括“手机号、密码、支付密码、姓名、身份证号码、答案”等内容,传言在暗网售价10个比特币。   0x04 51job 195万数据泄漏 前程无忧否认被拖库,称疑似撞库获得的帐号密码。   相关参考: https://www.t00ls.net/articles-46406.html   0x05 结语 Acfun被拖库是感觉正常的了,从开发到运维再到内部管理,都有安全隐患,比如密码只是md5一下……(貌似找回密码功能也有问题),而且还有用户登录才能升级密码策略,何不直接后台批量更新呢。 暗网很多虚假的贩卖信息,比如维品会泄漏和上述的12306泄漏,很可能都是假的。 当今时代,离不开网络,但也要注重个人隐私,能不给的信息尽量就不给吧。 关于保护密码的建议: 个人: 密码不要复用。 密码要复杂。 常改密码。 密码不要和个人信息有联系。   企业: 密码加密存储,salt至少6位。   关于darknet: 谨慎再谨慎,别轻易相信一些信息,尽量避免接触某些区域。   关于隐私: 能不给的资料就不给 能给假的就给假的…… 权限最小化,如app。 不要用隐私换取便利,因小失大。 关键要有意识,比如浏览器弹出:Do you want browser remeber the password?能习惯性选never。