楼主 2006-10-04 00:17
[讨论]关于论坛注册信息与个人信息网络安全的讨论
平常注册很多论坛,大部分只是简单的写些信息,对于特别喜欢的论坛就写详细一点,不过看了一下这篇文章后,的确有点担心。
不知道大家怎么预防泄密事件,怎么设密码,怎么保护好个人信息网络安全?
不少AD区的朋友在大多数论坛的ID和密码都应该相同吧~有没有这方面的担忧?
浅谈个人信息泄漏(ZT)
在21世纪的网络,大家下班回来除了到外面锻炼下身体,到网络上听听歌,看看新闻外,还有部分朋友喜欢到人气极旺的论坛,社区上灌灌水,发表下自己的见解。就在同时,大家知道在论坛注册一般都要填写身份ID,联系方式的EMAIL,QQ,MSN,还有就是取回社区的密码资料等等,大家可能还以为这是很普通的,没有什么泄漏可言。但是这里就是个人信息泄漏的开端了。而且对于入侵者来说,可是采集信息的前奏呢。信息采集得越多,准确,对于入侵成功率就越高。
提起QQ号码被盗,EMAIL被黑,银行账号钱被转移,还有可能QQ号码密码保护被修改,这都得大家上网可能会碰到的事,当然,这事谁也不想碰到,大家可能会想到,在系统上装杀毒软件,防火墙,定时升级下系统补丁,就万事无忧了。其实并不是无忧哦,前面已经说过,就在大家在社区上发表见解时注册留下的信息就已经80%泄漏了,还有大家在校友录中也泄漏了不少呢,例如:cat用户在论坛上注册,选用ID是:cat,联系EMAIL:[url=mailto:cat@XXX.COM]cat@XXX.COM[/url]。提的问题是:我喜欢的动物是什么?回答是:猫。还有QQ联系:191626XX5。电话号码联系,出生年月日等等,就这么一部分就可能知道了这位论坛用户的资料泄漏了。怎么?还不知道!没错,在论坛上,用户是不可能知道大家在注册上的问题与答案的,但是这并不是不可能知道,可能你注册的论坛有严重的漏洞,让非法者得到了论坛数据库,又或者论坛的BT管理员有意查看你的信息,这问题就出来了。一般入侵者得到了论坛数据库后,第一时间查看并破解管理员账号跟密码,进了论坛或者网站管理后台,有的是想进一步得到主机权限,有的可能是在论坛上挂木马。这样倒没有什么大不了,最多就是自己装个病毒监控就是了。但是也有入侵者并不想得到WEBSHELL就算了事,而且还利用数据库里面用户注册的信息进行下一步的信息收集。如果大家填的资料真实的,那大家的QQ号码可能被盗了,有朋友会说怕什么,我有密码保护啊,但是你在论坛上注册时填上的取回论坛密码的资料如同QQ密码保护一样的,这样有密码保护跟没有的有什么区别呢?其实泄漏信息就是大家在无形无迹之中留下的。可能大家还不相信吧,好的,废话少说了,下面就用实例说说吧。
首先非法者下载了X论坛的数据库dvbbs7.mdb,下载方法好多种,如利用默认数据库路径(bbs/data/dvbbsX.mdb)或者暴库(%5c、conn.inc)得到的,数据列表清楚记录了好多会员曾在该论坛注册时留下来的重要信息,有QQ号码、邮箱地址、出生年月、还有就是该论坛设置的提的问题及回答的答案呢,细心看了下,数据库列表中有一个会员填写信息非常认真的,该填的都填了,好的,现在就拿他来作个测试……….我只作测试哦,大家别作坏事啊~后果自负的!
现在就要利用社会工程学+运气了,进入了腾讯网站中的密码保护修改页面。
接着在号码修改资料栏中依次填上在数据库中得到的重要数据,证件号码就选择了该朋友在论坛上填写的联系的电话号码、出生年月、密码提示问题。就试下跟论坛一样的数据吧,提的问题一样了,就看看回答的是什么了,最好填上的就是该会员的EMAIL了,一切填完就到了第二步,就是填写新的密码保护资料。提的问题没改,现在测试嘛,不要做坏事啊,只是将对方邮箱改下,测试测试嘛。点击下一步,好快就成功了。汗,这不是在线破密码保护吗?唉!这样的密码保护安全强度有多高呢?
看到了吧,将论坛得到的信息在QQ修改密码保护上试用,具然成功了,那试多几个号码吧,在该论坛上有好多会员好认真的,资料填写很全面的,后面测试好几个号码都成功了,只是证件号码有点问题,问题就是利用了出生年月作为证件号码,还有的就是将顺序掉换了。例:该会员是在1985年5月26号出生,那证件号就有可能是:19850526或者65505891。这个信息可以在数据库中得到的,又或者直接到论坛上查看个人资料就是啦。如果对方改了,你也可以变换出生年月的排列顺序测试哦。说不定也可以成功呢。在上面就是利用了论坛数据中的信息来测试QQ的密码保护资料的修改。大家如果有时间的可以用MD5破解工具将论坛中所有用户QQ,邮箱的会员的论坛登陆用户密码解出来,可能还有更多意想不到的惊喜呢,如果对方QQ没有密码保护的,而且解出来的论坛密码跟QQ密码一致的,那就是在线破QQ了。
关于这种情况,本人在各个校友录网站也能找到不少信息呢,在Google或百度查查相关字眼“校友录”这样可多啊,有部分网站用陌生人去浏览查看也收集不少有用的信息呢。
看到了吧。相关信息不少啊,大家在毕业的时候或者出来工作了,大家都争先恐后填写联系的信息,怕大家联系不了,但是网站或者论坛安全性也不是很高,而你的QQ,MAIL,MSN的相关保密信息也一样的,哪有一天这种“好事”就会落到你身上了。
在这里总结以上的安全隐患,给几个建议大家:
第一:在论坛上注册的信息最好不要填太详细哦。
第二:论坛的密码最好跟QQ,邮箱,MSN的密码不一样才行,如果记忆力好的,可以在各论坛上的密码,QQ密码,邮箱,MSN密码设置成各不相同。
第三:就是设置的各密码保护资料了,不要设置成太容易的。有需要的可能将提的问题跟答案,设置成问题非所答就最好了。例如:我喜欢的植物是什么?答的就是:网络系统,这样谁也破不了吧!呵呵。
大家看了上面的内容后,觉得你在网络上众多的论坛,网站,校友录,有没有泄漏过相关的信息呢?如果有的,还不快去修改下,免得“好事”接着来哦!
