3.64 亿用户私密聊天信息被泄露,包括微信、QQ、旺旺等软件

2019-03-05

本文原创为「好奇心研究所」:http://www.qdaily.com/articles/61747.html


非营利荷兰网络安全机构 GDI Foundation 安全研究人员维克多·葛弗斯(Victor Gevers)发布 Twitter 称,3.64 亿条中国用户的私密聊天记录被泄露到了互联网上,其中包括微信和 QQ 的私信内容、iSpeak 语音软件的聊天记录、阿里旺旺私信记录、YY 私信记录以及微信支付记录等等。

一同被泄露的还有用户名、身份证号、身份证照片、网络信息、网吧名称、地址、GPS 座标以及对口的派出所在内的信息。更糟糕的是,主数据库还将数据传输给了其他 18 个未经加密的 MongoDB 数据库。只要搜索其 IP 地址,任何人都可以随意访问该数据库。

葛弗斯表示,由这 18 个数据库的数字代码可以看出,这些数据似乎最终会被分发到各个城市或省份的警察局。

其中许多记录都包含网吧地址,表明用户可能是经常出入网吧的游戏玩家。根据葛弗斯提供的截图和他本人的陈述,此次泄露信息的服务器中的很多内容看上去就是“青少年的聊天记录”。

你在网吧的活动确实正被记录。国务院 2016 年修订颁布的《互联网上网服务营业场所管理条例》第三章二十三条规定:互联网上网服务营业场所经营单位应当对上网消费者的身份证等有效证件进行核对、登记,并记录有关上网信息。登记内容和记录备份保存时间不得少于 60 日 ,并在文化行政部门、公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或者删除。

TechCrunch 对葛弗斯公布的内容进行了整理,发现这个数据库是针对网吧的环境定制的。赋予“新苹果网吧”的地区代码是 0001,另一个是 0010,同时两个网吧都处在盐城市的范围内,TechCrunch 猜测这可能代表此数据库划定的物理范围并没有想象中那么大。

接下来搜索 OrgCode 的赋值 55080760X,可以得到山东恒邦网络技术有限公司的信息。再查询盐城市相关部门的公开采购信息,TechCrunch 发现 2017 年 9 月,山东恒邦以 96500 元的价格竞得盐城市公安局警用系统采购招标(项目编号 YCGACG2017-TP09)。

MongoDB 是目前流行的数据库技术,由于 MongoDB 默认不启用身份验证 ,若安装在本地则没有大碍,一旦将数据库置于可被外界访问的状态,运维忘记或者忽视安全工作就会导致泄密。此前 GDI Foundation 就指出过几次 MongoDB 数据库的问题。

维克多·葛弗斯上个月刚刚披露了深圳 AI 视频公司深网视界的关键数据库漏洞 ,涉及 257 万个人信息与合计约 668 万条记录,包含身份证号码、性别、国籍、地址、生日、照片、雇主等信息,以及这些人过去 24 小时内经过的地点。那次泄露也是因为 MongoDB 数据库未加安全验证。

他所在的 GDI Foundation 曾参与过对多起信息安全事故的调查,比如 2017 年的与美国国家安全局(NSA)存在关联的黑客组织“影子经纪人”泄密事件,以及同年的 8233 台物联网设备登录凭证泄露事件等等。

根据葛弗斯的猜测,信息之所以会泄露,似乎是因为有人错设了防火墙配置,让数据库暴露无遗。

去年 1 月,吉利汽车董事长李书福称“微信天天在看用户的聊天记录”,对此微信做出回应称,“微信不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上,传言纯属误解。”

微信隐私保护指引》也写道,微信团队会使用技术手段(如 SSL)保护用户信息在传输到微信服务器期间不被第三方获取,那么理论上只有在网吧终端伪造证书,使用中间人攻击的方法才可以获得微信聊天的具体内容。总之微信的隐私安全一定是出了问题,并且在没有通知用户的前提下泄露了信息。

3 月 3 日,葛弗斯在 Twitter 称,自己不清楚数据库的所有者是谁,所以将泄露情况通知给了中国电信主干网。22 小时后,18 个服务器关闭了 17 个,仅剩下最后一台。

腾讯没有对此做出任何回应,也没有任何人宣布为数据泄露事件负责。

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。


评论请前往 2049BBS.xyz已被墙

本站已被屏蔽,分享到墙内时请转本文的 GitHub 原始页面 3.64 亿用户私密聊天信息被泄露,包括微信、QQ、旺旺等软件,或者查看可直连的镜像 网站
文章版权归原作者所有。此处收录仅供存档研究,不代表本站立场。