Tag:数据泄漏

Tag (数据泄漏)'s result:

20180828华住集团数据泄漏事件

真实性:极大 0x00 概述 8月28日上午,某论坛爆出华住集团旗下酒店开房数据的帖子 看看卖家给的测试数据 crm.txt为华住官网注册资料,包括姓名,手机号,邮箱,身份证号,登陆密码等信息。 全部资料共53G,大约1.23亿条记录 cusinfo为酒店入住时登记的身份信息,主要为身份证信息,包括姓名,身份证号,家庭住址,生日,内部id号。全部资料共22.3G,大约1.3亿人身份证信息 history 为酒店开房记录,包括内部id号,同房间关联号,姓名,卡号,手机号,邮箱,入住时间,离开时间,酒店id号,房间号,消费金额等信息。共66.2G,大约2.4亿条记录。   0x01 疑似泄漏源 1. 数据库信息直接上传到了github,帐号root,密码123456 2. 外网ip,没有任何访问限制 //图片来自t00ls //图片来自t00ls 至28日下午,github该项目已无法找到,ip也无法访问。   0x03 结语 可怕。   0x04 参考资料 https://www.t00ls.net/articles-47452.html

聊聊近期的几起数据泄漏事件

0x00 14亿邮箱密码泄漏 6月10日,网上爆出一个邮箱密码查询网站: http://dumpedlqezarfife.onion.lu 可以按前缀查询14亿邮箱的明文密码,涉及Gamil、Hotmail、Yahoo、sina、qq、163、sohu、Aol等知名电邮厂商注册用户和一些公司企业、大学科研机构以及少量政府单位的邮箱使用用户。 还可以通过打赏获取这个14亿的数据库 ps:该网站在10号那天短暂成功访问后就需要fq访问了,18号又能正常不fq访问了,而且网站似乎修改过了,查询需要至少6过字符并包含@,截止发文该网站依旧又可以不fq访问了。 这批数据极可能是半年前4iQ发现的泄漏的那批41G的14亿数据,是252起数据泄漏事件的数据集合,包括Anti Public Combo List、Exploit.in dumps、LinkedIn等,还被整理成0-z的索引。 相关参考: www.freebuf.com/news/156986.html www.freebuf.com/news/174410.html www.4hou.com/info/news/9291.html   0x01 acfun 900万数据泄漏 6月13日,网上突然爆出acfun和摩拜被拖库,acfun的shell和内网权限在暗网出售的消息, 中午: 要洗白?接着没到晚上就有了这300条不带密码的数据 下午又公布了带md5密码的300条数据: 很快仓库就被删了…… 晚上: 这反差也太大了……   相关参考: www.freebuf.com/news/174703.html http://www.acfun.cn/a/ac4405547 http://www.4hou.com/info/news/12072.html   0x02 摩拜数据泄漏 摩拜回应经过排查未发现数据泄漏和入侵迹象,相关网络传言不实。   0x03 12306 3000万数据泄漏 6月13日下午,网传“2016年至2018年3月的3000万条12306数据”被泄漏,其中包括“手机号、密码、支付密码、姓名、身份证号码、答案”等内容,传言在暗网售价10个比特币。   0x04 51job 195万数据泄漏 前程无忧否认被拖库,称疑似撞库获得的帐号密码。   相关参考: https://www.t00ls.net/articles-46406.html   0x05 结语 Acfun被拖库是感觉正常的了,从开发到运维再到内部管理,都有安全隐患,比如密码只是md5一下……(貌似找回密码功能也有问题),而且还有用户登录才能升级密码策略,何不直接后台批量更新呢。 暗网很多虚假的贩卖信息,比如维品会泄漏和上述的12306泄漏,很可能都是假的。 当今时代,离不开网络,但也要注重个人隐私,能不给的信息尽量就不给吧。 关于保护密码的建议: 个人: 密码不要复用。 密码要复杂。 常改密码。 密码不要和个人信息有联系。   企业: 密码加密存储,salt至少6位。   关于darknet: 谨慎再谨慎,别轻易相信一些信息,尽量避免接触某些区域。   关于隐私: 能不给的资料就不给 能给假的就给假的…… 权限最小化,如app。 不要用隐私换取便利,因小失大。 关键要有意识,比如浏览器弹出:Do you want browser remeber the password?能习惯性选never。