360泄露隐私数据分析报告.docVIP

360泄露隐私数据分析报告 数据来源： 2010年12月31日上午11时许，金山客服中心接到用户举报，称使用搜索引擎找到自己的邮箱密码，查毒并未报告病毒。同时，在多个安全论坛、贴吧，以及安全讨论QQ群中，有人反映google 可以下载大量信息。金山网络的工程师对该事件进行了调查。 最早曝光该事件的百度贴吧截图 卡饭论坛网友访问时对泄露目录的截图 网上泄露的部分下载列表 金山网络工程师访问这些截图提供的地址，发现部分资料可以下载。同时，发现这些数据正在被删除，使用google搜索的快照仍然可以下载。金山网络从和google快照中下载了部分资料。 据此分析可知上载了大量涉及到隐私的数据，泄露原因可能有：1.服务器安全配置失效；2.黑客入侵；这些资源公网可以访问之后，首先知道的人可能下载了最多的数据，具体数量未知。Google收录的内容只占泄露数据的一部分，金山网络下载的数据又是其中的一部分。根据360官方后来的声明，可知这部分泄露的数据，仅仅只在360所收集数据中占极少一部分。 类似mid_url_w8_20101205112005_584949.txt.bak.txt的文件内容示例如下： 其中一个文件名urlreport.log，接近300MB 使用editplus打开的效果展示： 数据内容分析： 研读以上扩展名为txt或log的日志文件，发现包含以下涉密数据： 用户名、密码（邮箱、网站登录密码等） 上图为某网民通过360泄露的数据登录某政府机关的内部邮箱 记录网民上网路径：某特定mid在若干日志文件中的浏览路径某网民在12月8日到20日期间，在23个日志文件中出现了268次，记录了该用户访问QQ空间，下载软件，看在线电影，使用百度搜索引擎的详细点击路径。 记录用户搜索关键字：据搜索词条可推断网民的喜好 记录企业、机关的内网信息：可推断网民的职业特征 1/cnet/teacheradmin2/dutyinfo/dutyinfoadmin.jsp?modid=TA020modname=人事信息53/down.jsp?source=/uploadFiles/2010-12-03/76/党[2010]32号关于2010年度干部工作情况进行考核的通知.docfilename=党[2010]32号关于2010年度干部工作情况进行考核的通知.doc+53/grbg/nbyj/view.jsp?id=20343jsessionid=zhangdl+53/index.jsp+53/login?act=userLogIn+53/login.jsp 记录了用户淘宝购物的详细信息：包括商品名、单价、快递费、单号、下单日期（精确到秒）、收件人姓名、电话、邮箱、住址。 urlreport.log这样的日志文件中，还记录了mid和IP地址信息，可精确定位到网民的所处位置。 ip=90time=1292498029execapi=cpwexecrsn=4execinf=QzpcV0lORE9XU1xzeXN0ZW0zMlxkcnd0c24zMiAtcCAzNDgwIC1lIDIyODggLWc=content=/scm/wuliu/caigb/LBJWL/ckdshjh.xlsscene=execmid=a371a6ebe8667d72292a54winver=5.1.2600.256.1.2iever=iexplore.exe_8.0.6001.18702fver=001 根据该IP地址和访问/scm/wuliu/caigb/LBJWL/ckdshjh.xls下载奇瑞中心的内部文档，可以大致推算该IP为奇瑞中心员工。 查询IP和域名，证实该IP和域名均为安徽芜湖电信。再根据所对应的mid值a371a6ebe8667d72292a54，查询到该员工的多次访问QQ号为474397134的QQ空间。该mid编号的电脑均使用同一个IP访问，更能确定该计算机为企业内网的计算机。 事件早期还可以使用Google搜索site: sqloledb 或搜索site: sa获取数据库访问权限，日志中也有类似信息可查阅。 有网民还将该搜索结果下载后通过论坛分享 对这些日志文件进行分析，统计结果如下： 总条数141万条，包含了目前能找到的所有泄密记录，其中： 涉及用户名信息的条目有 247326 个，既包含用户名又包含密码条目：816 1. url包含的各关键词情况，第一列是包含的关键词，第二列是记录数 pass= 472 #可能涉及口令# 103993 #可读取搜索结果# 5902