分析:小米泄露数据密码破解率高达 37.8%

jopen 10年前

        李普君

        作者:猪猪侠(@王音 )

  • 泄露数据的条数 8281387 条 
  • 具体被脱裤时间 2012-06-15 14:08 
  • 开始被传播时间 2014/5/13 15:51 
  • 上传百度盘时间 2014-5-13 21:29 

        密码破解成功率

取样记录数:1000 条 

取样成功数:378 条 

取样成功率:37.8%

        数据被打包时间为:2014/5/13 15:51,本次测试将取样 1000 条密码为样本进行破解; 

        破解算法:md5(md5($pass).$salt) 

        通过打包时间来选取开始 id:5/13 15:51 5131551

SELECT id,`password` FROM `xiaomi_com` WHERE id > 5131551 LIMIT 0,1000

        得到的密码 HASH 如下:

id password 

5131552 ****e68c4acfbf7bc1c23e01b07c60d8:b504fa 

5131553 ****8a9f3ce2e47753ce7d42594d1846:ca2432 

5131554 ****4b4913ce7112611cdac6dce63fcc:9e23e4 

5131555 ****94ec40f716fb01484b6974baaecb:6aa615 

5131556 ****6c06304ff9fd0968766677add251:a0902b 

5131557 ****f52a95e52678d69605765876cdce:db813a 

5131558 ****c03f0a0a9511ec18fe98151b3b54:065eac 

5131559 ****a2f4ddea6ad792c21f6b7d1c7171:4157c9 

5131560 ****90dcd2228377ea14aecedbfd06f2:5cb259 

5131561 ****da81d2428f2644cca2927449cbb1:a3ecba 

5131562 ****968a660fdb124d16e82c9f66a3dd:4c371d 

5131563 ****07d4ceac1de709e9c32943df2817:6d50ea 

5131564 ****450f5e7618f7276c882fa13e518a:f213e3 

5131565 ****0baf08c5b30ab502c7b99e4f2878:bb1ef0 

5131566 ****e41e51c75d101ac12c925cd2ce4f:3df167 

5131567 ****dee82e95174a3d32d8c4e0c9527b:9dd0ee 

5131568 ****f63f7768f8cdcf8bd4b97d3e839d:b90fcd 

5131569 ****8122182e2fe53218976e2d6372a5:d59b2b 

5131570 ****bd09dafa13b8109b02672163d031:a72128 

5131571 ****9b3a6c1211590bbf730211f6532c:0b9679 

5131572 ****a9b67ccfd6766762188b1e21bd76:79518e 

5131573 ****b5d4bdc4e20e7a24bd08946c3792:b5ca60 

5131574 ****d109a2336f0c4f5e490c62cf8601:1a8f30 

5131575 ****d2470579fe7b51e9a3c55a1b237b:033f78 

5131576 ****517db60211dcc61f3859b7c4358d:fddee6 

5131577 ****d4bc2980ab9828b5a0adf228a0d4:9e24e4 

5132546 ****b9805a8d7dbb60e87a7c9906bb61:e08f2d 

5132547 ****e1c3a35ef7727409ab4dfa21ae09:e21ca7 

5132548 ****57baf74c28c0d6d243ebeba3b430:8826c1 

5132549 ****f8a19b5e5b34a9d76d7f1a33285d:bef695 

5132550 ****735cda000097cbb9593c593f25aa:1a63a1 

5132551 ****d19447fafda7a52c55a0f87b93b2:e97998

  • 破解样本记录:1000 条
  • 破解成功记录:380 条

        传播时间

        通过匿名骇客泄露在百度网盘的地址,获得一份 xiaomi.rar 用于研究,内容为 mysql 原始数据文件。

分析:小米泄露数据密码破解率高达 37.8%

        如上图:我们可以得出该数据的具体传播时间。 

        脱裤时间

        分析被泄露的原始数据库,倒序排列 id, 

        得到最后注册的会员信息:{username:1216226680}{id:8281387}

分析:小米泄露数据密码破解率高达 37.8%

        http://home.xiaomi.cn/home.php?mod=space&username=1216226680

分析:小米泄露数据密码破解率高达 37.8%

        事件真正的影响

        这个事件真正的影响在云,不在数据的新旧,比如目前看到的流传的危害截图(用户数据被同步到云) 。

分析:小米泄露数据密码破解率高达 37.8%

分析:小米泄露数据密码破解率高达 37.8%

分析:小米泄露数据密码破解率高达 37.8%

        信用卡号、姓名、有效期、CVV2 全部泄漏,手机使用者知道么?

分析:小米泄露数据密码破解率高达 37.8%

        结论

        虽然密码 HASH 是 salt 与 md5 加密后的,但是简单的密码仍然可能被迅速破解,模糊统计概率是 37.8% 可被迅速破解(由于数据泄漏导致可能有大概 313W 用户有直接被黑客攻击的风险)。 

        你能想到的手机可能出现的隐私都可能被泄漏,改密码目前是唯一的解决方案。

        ———————————————

        发自知乎专栏「乌云君

        相关新闻:小米论坛 800 万用户数据库泄漏请立即修改密码