所謂「優酷數據泄露事件」的客觀事實還原

17日網路爆出疑似優酷上億數據泄漏的新聞，標題為《優酷賬號密碼瘋狂泄露！》，威脅獵人團隊通過近期的黑產監控數據給大家客觀的展現這次泄露出的數據在各維度情況，還原此次事件。

1. 數據最早泄露於今年一月份

1）已知的泄漏源

對於這類地下信息，新聞的時效性往往相對較慢。據我們的數據監控，這份數據至少在2017年1月份就已經在暗網的地下市場 HANSA Market 流通，可見銷量在20多份，價格300美金，隨後又出現過多個版本的不同賣家。

從原始數據來看，泄漏量確實在1億條以上，數據以「明文賬號+md5密碼」的形式保存，但該數據是否真實優酷數據未經過驗證。

實際上，在 HANSA Market 上還有一份被另一個黑客 doubleflag 還原過的同一份數據，md5加密被還原了大約8000萬明文密碼。可見銷量100多份，價格400美金。其危害比暴露出來的要更嚴重。

2）數據內容及格式分析

此次曝光出的數據的賬戶名全是電子郵箱格式。

郵箱服務商分布

黑產數據歷史重合度

通過抽查部分數據和歷史黑產數據進行比對，大約有73%的數據存在歷史泄漏數據中已經存在。

異常數據

通過數據分析，還發現存在不少賬號對應多個密碼，以及郵箱後綴多次拼接的痕迹，數據來自黑產拼湊的痕迹明顯。

3）廠商應對

在事件曝光後，我們發現優酷已經增加了基於這份數據的風控邏輯，針對這批帳號強制要求更換密碼，讓這批已曝光的帳號密碼進一步走身份驗證流程，把帳號還到好人手裡。這也是應對該類事件最好方式之一，因為存在長期「多人騎」的情況，通過用戶日誌數據已難以明確好人畫像。

2. 該數據早已活躍在撞庫攻擊黑產

我們翻開今年的監控數據，發現所謂的「優酷泄露數據」其實早已活躍在黑產的撞庫攻擊行為中。並且對這份數據在黑產中的行為以及危害做了客觀的統計和分析。

1）此次泄露的數據在撞庫黑產中一直存在

我們分析了最近半個月全球的撞庫攻擊黑產流量，其中來自此次泄露數據的攻擊平均佔比在1.04%，並且在可尋的半年內一直存在。

2）此次數據泄露直接危害

版權類網站一直是黑產的主要攻擊對象之一，在之前的報告中，我們曾分析過國內被撞庫攻擊的公司類型，如圖：

由於近年來網速的增長，以前大家習慣通過下載最新電影電視劇，現在則更願意在線直接看。因此許多尋找種子的用戶變成了低價購買視頻網站會員的用戶。版權類網站最直接的黑產鏈條便是從第三方購買「共享賬號「會員，相關行情，筆者在相關QQ群對「業內」報價進行了調查（價格僅供參考）：

愛奇藝：
臨時會員2.9元（質保2天）
臨時會員4.9元（質保7天）
穩定會員9.9元（質保一個月）
優酷：
會員普通 3.9元（質保2天）
會員穩定8.9元（質保一月）
一年會員40.9元（質保200天）
騰訊視頻：
好萊塢會員9.9元（質保一月）

3）其他公司受影響

從該份數據近期的二次攻擊流向上看，主要流向是幾家遊戲類公司，與前面撞庫攻擊的行業分析結論比較匹配。

3. 重新思考這次事件

最後，我們認為這並不是一起因黑客攻入核心伺服器導致的突發安全問題，而是由於長期持續的撞庫攻擊導致的密碼泄露問題。

從CSDN數據泄露事件之後，整個國內互聯網企業已經把數據加密存儲認知成基礎安全重要一項任務。從這個角度來說，對拖庫給企業帶來的影響在帳號安全方面正在降低，反而是其他的商業及個人身份信息數據，因為直接的變現路徑，成為數據泄露主要的影響。

我們是誰：威脅獵人（ThreatHunter）團隊，專註安全多年，致力於為互聯網公司解決業務安全風控問題。團隊第一個產品「帳號寶」（

https://zhanghaobao.net

），全國首家風險賬號檢測即服務平台（CADaaS），致力於解決撞庫風險和高危帳號審計。

*本文作者：威脅獵人，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！