安全研究人员披露中国一城市网吧监控数据库的安全漏洞

栏目: 数据库 · 发布时间: 5年前

内容简介:3 月 3 日,非营利网络安全组织荷兰So this social media surveillance program is retrieving (private) messages per province from 6 social platforms and extracts named, ID numbers, ID photos, GPS locations, network information, and all the conversations and file transfers g

3 月 3 日,非营利网络安全组织荷兰 GDI 基金会 (GDI Foundation)安全研究员 Victor Gevers 在 Twitter 上称,他发现中国的一个涉及监控的大型数据库出现安全漏洞,这个数据库同步在 18 个服务器里,涉及 3.64 亿个条目,以及明文分类保存的 6 种常用消息程序的私密聊天信息(文字、图片与文件),以及包括用户名、身份证号、身份证照片、网络信息、网吧名称地址、经纬度座标以及对口的派出所在内的信息。

So this social media surveillance program is retrieving (private) messages per province from 6 social platforms and extracts named, ID numbers, ID photos, GPS locations, network information, and all the conversations and file transfers get imported into a large online database.

— Victor Gevers (@0xDUDE) March 2, 2019

上个月 12 日,Victor Gevers 曾披露过深圳 AI 视频公司 深网视界关键数据库漏洞 ,涉及 257 万个人信息与合计约 668 万条记录,包含身份证号码、性别、国籍、地址、生日、照片、雇主等信息,以及这些人过去 24 小时内经过的地点。

Around 364 million online profiles and their chats & file transfers get processed daily. Then these accounts get linked to a real ID/person. The data is then distributed over police stations per city/province to separate operators databases with the same surveillance network name

— Victor Gevers (@0xDUDE) March 2, 2019

Victor Gevers 表示他展示这些数据的目的是提高企业对数据库安全的意识,而不是挖掘数据背后的用法和场景。并且他已经将漏洞通知中国电信主干网。经他证实,中国电信早前停止了这些数据库的外部访问。

在题图的泄露数据库截图里,Victor Gevers 展示了 5 个条目,展示了部分监控系统在 1 秒钟内收集到的来自不同网吧的不同电脑的访问记录。TechCrunch 注意到无论是游戏网站(穿越火线),还是 QQ 视频,还是疑似博彩类页游弹窗广告,都是明文传输的 http 开头。

TechCrunch 中文版整理了相关字段,发现以下有趣信息:

字段原文 疑似指代 备注
Auth Type 5 段信息均为 1201111
Auth Account 模糊处理
Session ID 当前会话的唯一编号 5 段信息完全不同
ID Name 模糊处理
Capture TIme 监控时间戳 在下午 6 点 55 分到 66 分之间
Inst Date Time 上传时间戳 差别在 1 秒之内,监控到上传,最快 19 秒,最慢 80 秒
Seat IP 座位 IP 模糊处理
Seat No 座位号 模糊处理
ID 没有任何规律可循
Label Nub 模糊处理
Terminal Mac 终端 MAC 地址 均为空白
Terminal Mac terms 均为空白
URL 访问的完整网址 均为 http 明文
URL Terms 访问的网站
Title 网站标题 均为网站完整地址
Longitude 经度 不同网吧数值不同,相同网吧数值一致
Latitude 纬度 不同网吧数值不同,相同网吧数值一致
Device Num 设备编号 不同网吧数值不同,相同网吧数值一致
Device Mac 设备 MAC 地址 均为空白
Device Mac Terms 均为空白
Site Code 网吧编号 与设备编号相同
Site Code Terms 与设备编号相同
Site Name 网吧名称
Area 地区码 一家为 0001,一家为 0010
Policestation 公安局编码 不同网吧数值不同,相同网吧数值一致
OrgCode 网管软件提供商组织机构代码 均指向山东恒邦网络技术有限公司
TypeID 均为「1」
Address 网吧地址
Device Class 均为空白
Person type 均为空白
Person no 均为「0」
Source 均为「120」
System Time 数据库访问时间 均为 19 点 15 分 41 秒

换句话说,这个数据库是针对网吧的环境定制的。赋予“新苹果网吧”的地区代码是 0001,另一个是 0010,同时两个网吧都处在盐城市的范围内,我们猜测这可能代表此数据库划定的物理范围并没有想象中那么大。

我们搜索了 OrgCode 的赋值 55080760X,得到了 山东恒邦网络技术有限公司 的信息,搜索出的另一个结果, 一个网吧管理系统安装教程 显示,填写供应商组织机构代码似乎是使用网吧管理系统的必须步骤。

再查询盐城市相关部门的公开采购信息,我们看到 2017 年 9 月,山东恒邦以 96500 元的价格竞得盐城市公安局警用系统采购招标(项目编号 YCGACG2017-TP09)。恒邦旗下的恒信一卡通作为网吧的管理系统,与提供给公安的客户端对接,就在情理之中。

这也就意味着,整个事件很有可能是山东恒邦的网吧管理套件的公安端所使用的 MongoDB 数据库系统出现了安全漏洞。由于 MongoDB 默认不启用身份验证 ,若安装在本地则没有大碍,一旦将数据库置于可被外界访问的状态,运维忘记或者忽视了做安全加强则是非常危险的事情。此前 GDI 就指出过几次 MongoDB 数据库的问题,包括上个月深网视界的泄露,也是因为使用了未加安全验证的 MongoDB。

另外据 Victor Gevers 介绍,这个数据库是 3 月 2 日突然出现在 IPv4 网络的(原话是「only since 2 of March…these popped out suddenly out of nowhere」),我们的分析可能是周末恒邦的运维对数据库做了某些改动,无意中将访问的权限开放给了所有人。

国务院 2016 年修订颁布的《 互联网上网服务营业场所管理条例 》第三章二十三条规定:「互联网上网服务营业场所经营单位应当对上网消费者的身份证等有效证件进行核对、登记,并 记录有关上网信息。登记内容和记录备份保存时间不得少于 60 日 ,并在文化行政部门、公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或者删除。」

这条规定可能就是目前网吧内容进行监控的法律依据。我们在政府招标的公开信息平台上 以网吧为关键字搜索 ,仅仅 2019 年就得到不少全国各地相关监控系统的招投标信息。

这次盐城网吧数据库泄露事件中,6 个涉及监视的聊天软件疑似为 IS 语音(而不是苹果的 iMessage)、QQ 群聊、QQ 私聊、阿里旺旺、微信、YY 语音,涵盖聊天,游戏,购物等方面。值得注意的是,两段数据库收录的私人对话没有任何敏感信息,只是日常的 QQ 聊天,连卖游戏帐号的广告信息也收录进去。

安全研究人员披露中国一城市网吧监控数据库的安全漏洞

遗憾的是,他并没有披露其他 5 个聊天软件在数据库中是如何呈现的,包括坚称「 不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上 」的微信。

Can anyone (from China) identify these Messaging services?

imsg <–…

qg <–…

qqmesg. <– https://t.co/AnxlLDLztf

wwmsg <–…

wxmsg <–…

yymsg <–…

In China, they have a surveillance program on social networks which looks like a jerry-rigged PRISM clone of the NSA.

— Victor Gevers (@0xDUDE) March 2, 2019

Thank you. The imsg they refer to appears to be ""C:\Users\Administrator\AppData\Roaming\iSpeak/im/users"

— Victor Gevers (@0xDUDE) March 2, 2019

如果微信严格遵守《 微信隐私保护指引 》,使用技术手段(如 SSL)保护用户信息在传输到微信服务器期间不被第三方获取,那么理论上只有在网吧终端 伪造证书,使用中间人攻击 的方法才可以获得微信聊天的具体内容。至于究竟是谁开了后门,这需要进一步的分析。

就事论事,中文世界里,各路人马对这起事件中关键词的转译摘取,重新组合,二次演绎,在几十个小时之内已经完全失去客观。开放互联网这端自说自话,封闭局域网那端封杀殆尽,只得捕风捉影,唯能说一句非常遗憾。

当然,我们并不想为政府开脱,我们非常清楚政府对网吧的监控并不止于盐城,对网络的监控并不止于网吧。这次是很多普通人第一次看到一个监控系统可以收集什么样的信息,做到什么样的程度,即使它只是一个三线城市的网吧的监控系统。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入浅出数据分析

深入浅出数据分析

Michael Milton / 李芳 / 电子工业出版社 / 2009 / 88.00元

《深入浅出数据分析》以类似“章回小说”的活泼形式,生动地向读者展现优秀的数据分析人员应知应会的技术:数据分析基本步骤、实验方法、最优化方法、假设检验方法、贝叶斯统计方法、主观概率法、启发法、直方图法、回归法、误差处理、相关数据库、数据整理技巧;正文以后,意犹未尽地以三篇附录介绍数据分析十大要务、R工具及ToolPak工具,在充分展现目标知识以外,为读者搭建了走向深入研究的桥梁。 本书构思跌宕......一起来看看 《深入浅出数据分析》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码