配图为疑似无秘后台截图,来源:@ringzero 微博 6 月 28 日,乌云漏洞报告平台爆料,匿名社交应用「无秘」网络边界可被绕过,黑客可进入内网接触用户数据。对此「无秘」团队回应称,发现漏洞后已在第一时间联系漏洞作者并完成修复,目前所知数据库并未泄露。
发现漏洞的白帽子猪猪侠称,「无觅网网络边界可被绕过,成功进入内网也就代表能够接触到大量的服务器和数据。测试过程读了一些开发历史文档,发现用户的手机号码信息是被不可逆算法加密的,就算获取到数据库,也无法还原秘密究竟是出自哪个手机号。」 同时他也表示,「貌似每个手机号都对应一个固定的加密值,给所有 13*,15*,18*的手机号码段生成一个固定的彩虹表 (http://baike.baidu.com/view/2143893.htm),毕竟手机号资源是有限的 (也就几百亿条),找出秘密出自谁手又好像不是那么难,具体实现方法有兴趣的可自行研究。」 「无秘」技术人员在获知消息后立即联系猪猪侠,并且于 30 分钟内完成修复。「无秘」表示,微博消息给部分用户造成误解,目前所知数据库没有泄漏,没有用户有受到影响。同时数据库敏感信息均经过不可逆加密,只有获取了用户的手机才能确切知道秘密的发布者。 作为一款匿名爆料应用,「无秘」对信息安全极为重视,这也是由它自身定位决定的。一旦用户信息泄露,将会对其造成毁灭性打击。官方表示,如有进一步消息将持续更新。 |
