分析:小米泄露数据密码破解率高达 37.8%
李普君
作者:猪猪侠(@王音 )
- 泄露数据的条数 8281387 条
- 具体被脱裤时间 2012-06-15 14:08
- 开始被传播时间 2014/5/13 15:51
- 上传百度盘时间 2014-5-13 21:29
密码破解成功率
取样记录数:1000 条取样成功数:378 条
取样成功率:37.8%
数据被打包时间为:2014/5/13 15:51,本次测试将取样 1000 条密码为样本进行破解;
破解算法:md5(md5($pass).$salt)
通过打包时间来选取开始 id:5/13 15:51 5131551
SELECT id,`password` FROM `xiaomi_com` WHERE id > 5131551 LIMIT 0,1000
得到的密码 HASH 如下:
id password5131552 ****e68c4acfbf7bc1c23e01b07c60d8:b504fa
5131553 ****8a9f3ce2e47753ce7d42594d1846:ca2432
5131554 ****4b4913ce7112611cdac6dce63fcc:9e23e4
5131555 ****94ec40f716fb01484b6974baaecb:6aa615
5131556 ****6c06304ff9fd0968766677add251:a0902b
5131557 ****f52a95e52678d69605765876cdce:db813a
5131558 ****c03f0a0a9511ec18fe98151b3b54:065eac
5131559 ****a2f4ddea6ad792c21f6b7d1c7171:4157c9
5131560 ****90dcd2228377ea14aecedbfd06f2:5cb259
5131561 ****da81d2428f2644cca2927449cbb1:a3ecba
5131562 ****968a660fdb124d16e82c9f66a3dd:4c371d
5131563 ****07d4ceac1de709e9c32943df2817:6d50ea
5131564 ****450f5e7618f7276c882fa13e518a:f213e3
5131565 ****0baf08c5b30ab502c7b99e4f2878:bb1ef0
5131566 ****e41e51c75d101ac12c925cd2ce4f:3df167
5131567 ****dee82e95174a3d32d8c4e0c9527b:9dd0ee
5131568 ****f63f7768f8cdcf8bd4b97d3e839d:b90fcd
5131569 ****8122182e2fe53218976e2d6372a5:d59b2b
5131570 ****bd09dafa13b8109b02672163d031:a72128
5131571 ****9b3a6c1211590bbf730211f6532c:0b9679
5131572 ****a9b67ccfd6766762188b1e21bd76:79518e
5131573 ****b5d4bdc4e20e7a24bd08946c3792:b5ca60
5131574 ****d109a2336f0c4f5e490c62cf8601:1a8f30
5131575 ****d2470579fe7b51e9a3c55a1b237b:033f78
5131576 ****517db60211dcc61f3859b7c4358d:fddee6
5131577 ****d4bc2980ab9828b5a0adf228a0d4:9e24e4
5132546 ****b9805a8d7dbb60e87a7c9906bb61:e08f2d
5132547 ****e1c3a35ef7727409ab4dfa21ae09:e21ca7
5132548 ****57baf74c28c0d6d243ebeba3b430:8826c1
5132549 ****f8a19b5e5b34a9d76d7f1a33285d:bef695
5132550 ****735cda000097cbb9593c593f25aa:1a63a1
5132551 ****d19447fafda7a52c55a0f87b93b2:e97998
- 破解样本记录:1000 条
- 破解成功记录:380 条
传播时间
通过匿名骇客泄露在百度网盘的地址,获得一份 xiaomi.rar 用于研究,内容为 mysql 原始数据文件。
如上图:我们可以得出该数据的具体传播时间。
脱裤时间
分析被泄露的原始数据库,倒序排列 id,
得到最后注册的会员信息:{username:1216226680}{id:8281387}
http://home.xiaomi.cn/home.php?mod=space&username=1216226680
事件真正的影响
这个事件真正的影响在云,不在数据的新旧,比如目前看到的流传的危害截图(用户数据被同步到云) 。
信用卡号、姓名、有效期、CVV2 全部泄漏,手机使用者知道么?
结论
虽然密码 HASH 是 salt 与 md5 加密后的,但是简单的密码仍然可能被迅速破解,模糊统计概率是 37.8% 可被迅速破解(由于数据泄漏导致可能有大概 313W 用户有直接被黑客攻击的风险)。
你能想到的手机可能出现的隐私都可能被泄漏,改密码目前是唯一的解决方案。
———————————————
发自知乎专栏「乌云君」