is成员名单泄露
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
谷歌应用漏洞泄漏超过28万条私人WHOIS数据 JackFree2015-03-16金币奖励+5共145684人围观 ,发现 16 个不明物体 漏洞资讯
whois-google1.jpg
谷歌在近日通知了数十万个域名注册者,他们的私人WHOIS信息已经彻底暴露,本来这些域名都已经使用了注册商提供的whois隐私信息保护;此次泄漏使这些用户陷入身份盗窃、网络钓鱼等安全风险之中。
FreeBuf科普:whois
whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。
通过whois来实现对域名信息的查询。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。
影响范围
此次泄漏由思科的研究人员首先发现,通知谷歌后6天内谷歌修复了此漏洞。Google Apps for Work servicee和域名注册服务提供商eNom进行合作,提供域名注册服务,额外交6美元可以隐藏whois信息,但不幸的是,Google Apps中存在了漏洞,泄漏了这些本该隐藏的域名敏感信息。
该漏洞公开暴露了WHOIS目录的注册信息。虽然谷歌已经修复了该漏洞,但问题是有永久存档WHOIS信息的在线数据库,这就将曾经的私人数据置于无尽的危险境地。
此次泄漏事件中,不仅合法网站所有者受了影响,而且也有一些令人讨厌的网站受到影响。思科称很多网站的WHOIS记录在声誉服务评分前都没有好的评价。同时,泄漏的数据中有超过280000个WHOIS记录属于合法的注册者。
思科报道说,该问题在2月19日被报告给谷歌,在6天之内谷歌就为它的eNom客户解决了该问题,并对其加以保护以防止类似泄漏的发生。思科在报告中说:
“显而易见的风险是,其中一些受影响的域名注册者可能现在正处于某种形式的危险之中,对个人和各种规模的机构来说,隐私的保护仍然一个主要的问题。”
泄漏原因
Cisco Talos的研究人员说,问题可能存在于谷歌的一个注册合作伙伴eNom,此次泄漏事件影响到了通过eNom注册的305925个域名中的94%,下图中显示了暴露前后的域名记录。
googlewhoisleak-680x400.png
由eNom提供的WHOIS隐私保护服务覆盖了来自公共WHOIS列表中的用户名、物理地址、邮箱和其他可识别的个人信息,而此次泄漏事件影响了所有这些信息。谷歌在他的通知信中表示,发生泄漏是因为Google Apps和eNom的域名注册程序接口之间出了问题,成为了这次泄漏事件的罪魁祸首。
安全总结
谷歌的这个超级失误,提醒人们为什么在大多数情况下在网上注册时提供虚假资料的必要性。在某些情况下,准确的信息是必需的,更多的时候使用虚拟信息或使用随机字符也是一种方法。
[参考来源threatpost,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
JackFree
JackFree
174 篇文章
等级: 8级
||
上一篇:使命召唤、魔兽世界、英雄联盟……专攻游戏的勒索软件TeslaCrypt下一篇:雅虎和谷歌联手对抗NSA:基于浏览器的邮箱加密插件即将上线
发表评论已有 16 条评论
tk 2015-03-16回复 1楼
whois信息不是公开的吗?为什么有泄露之说
亮了(2)
angellover08 (4级) 2015-03-16回复
@ tk 同问。
亮了(1)
a 2015-03-16回复
@ angellover08 隐私保护后的whois
亮了(1)
WeirdBird007 (3级) 干过开发,日过渗透,某乙方渗透>_< '... 2015-03-16回复 @ tk 可以付费购买服务,保护注册者的信息 亮了(4) JackFree (8级) 冒个泡,表示我还关注着FB······ 2015-03-16回复 @ tk 已更新内容,域名注册者可以购买隐私保护服务,以保密一些隐私信息,此次泄露的就是这些本该受保护的隐私信息。 亮了(3) balabala 2015-03-16回复 2楼 Hai hao wo WHOIs yi zhi shi tian jia de . 亮了(1) softbug 认证作者专栏作者(7级) i am here! 2015-03-16回复 3楼 谷歌的这个超级失误,提醒人们为什么在大多数情况下在网上注册时应该提供虚假资料。 亮了(2) a 2015-03-16回复 @ softbug 购买隐私保护的都是多少有价值的域名,虚假信息会导致更多的问题吧。 亮了(0) JackFree (8级) 冒个泡,表示我还关注着FB······ 2015-03-16回复 @ softbug 此处指的注册不一定是申请域名,也有可能是论坛账号、社区这些环境等等。 亮了(0) Xgrick 2015-03-16回复 4楼 个人认为注册信息就像工商登记 应该属实但机构应负责信息安全 且有正规查询渠道 亮了(0) Server110 2015-03-16回复 5楼 严格来说,域名资料是不允许虚拟信息的,尤其是邮箱,GODADDY经常封虚拟注册信息的域名。 亮了(0) Hi2vd 2015-03-16回复 6楼 一直网上注册填写假信息 //:谷歌的域名注册服务,额外交6美元可以隐藏whois信息,但不幸的是,Google Apps中存在了漏洞,泄漏了这些本该隐藏的域名敏感信息。谷歌的这个超级失误,也许在提醒人们在大多数情况下在网上注册时应该填虚假资料拜拜 亮了(0) Marco韬 2015-03-16回复 7楼 whois隐藏最好还是namesilo 亮了(0) betaFish 2015-03-16回复 8楼 namecheap注册就有保护的 亮了(0) 安全狗safedog 2015-03-17回复 9楼 转 亮了(0) 香港新世界机房-罗排超 2015-03-17回复 10楼 转发微博 亮了(1) 昵称 请输入昵称 必须您当前尚未登录。登陆?注册邮箱 请输入邮箱地址 必须(保密)表情插图 有人回复时邮件通知我 JackFree JackFree 冒个泡,表示我还关注着FB······ 174 文章数 147 评论数 最近文章 BypassUAC:Windows系统UAC绕过利器 2016.02.04 Dridex出现新型变种木马,专攻英国银行客户 2016.01.27 RWMC:利用PowerShell提取Windows账号密码的利器 2016.01.27 浏览更多 相关阅读 IP whois介绍和部署实践 HITB 2018 | 安卓厂商隐藏的事实:安全补丁的更新部署并不真实完整你的比特币安全吗?美媒:中国拥有强大的电子战武器“超级加农炮(The Great Cannon)”FreeBuf小酒馆:“宇宙首款黑客啤酒”酒标投票 特别推荐 关注我们 分享每日精选文章 活动预告 11月 FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气 已结束 10月 【16课时-连载中】挖掘CVE不是梦(系列课程2) 已结束 10月 【首节课仅需1元】挖掘CVE不是梦 已结束 9月 【已结束】自炼神兵之自动化批量刷SRC 已结束 FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们 官方微信 新浪微博腾讯微博Twitter赞助商 Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号 css.php 正在加载中...0daybank
文章评论