wait's〔三生石畔〕 善良人在追求中纵然迷惘,却终将意识到有一条正途。—— 歌德
[应急响应-代码泄露]-排查定位到人是个技术活
发表于: | 分类: 应急响应 | 评论:0 | 阅读: 1614

起源:
某业务线后端H同学,发了一个文章链接(现已经删除),并对其中的某个截图内容表示怀疑,咨询是否存在安全问题。
20211129202807-1.jpg


一开始通过图上的箭头,还以为要给后端大佬代码审计配置项呢,同时表示了疑惑,但H同学说里面的密码不知道能否能访问,并表示不敢随意连接,我这才明白这个意思,再定睛一看,这截图感情就是“github代码泄露配置项”的翻版吖。

确认环节:
首先,二话不说,默默掏出八二年的神器:Navicat Premium 给连接上,输入jdbc-url、username、passwrd,点击测试连接,提示可以连!然后连上去,确实有各种user表,也有各种内部的邮箱,各种附带的密码等,有明文的,也有密文的,反正这屁股算是坐实了代码泄露。

回过头来看文章,此文章,一开始是在某个css解析不全的博客中,经部门同学的提醒,这个博客属于盗取文章的博客,再通过浏览器搜索同样的标题,才最终定位到原创作者,此文章发布在:开源中国,1.5w的阅读量,并且上过首页的置顶推荐。署名:FP2ZK,文章标签是spring。

第一轮找人环节:
1、平常要是github上传的,起码还能根据上下文来定位一下到底是哪个业务线的,比如ec属于DC业务线,o2o属于DD业务线;但今天这个是截图,光靠生涩的代码里面,找不到适合定位的代码内容。
2、正好瞄到了截图中的user:“cw_xxxx”这一般属于另外一个独立的三级部门:KJJR业务线。立马找DBA大佬排查,得知此账号也确实是上述业务线的账号,并且根据jdbc.url中的连接字符,证实了是属于这个业务线下面的某业务团队,并帮忙找到了这个业务负责人C同学,于是,立马调转调查目标,经过沟通及排查,此账号目前不在此服务中运行,排查陷入了僵局。

第一轮紧急处置:
1、结合DBA大佬的提示,最终还是寻求了此业务线三级部门的领导,拉群,把文章以及浏览量的情况进行通报,并提出相关的整改建议:

   1、确认“cw_use01”这个账号目前归属本部门业务线
   2、确认调用此账号密码的项目范围
   3、进行重置密码,并进行再次授权获取更新(以便方便查询哪个人员出现的泄露)
   4、业务线领导通过内部群发,查找此文章的作者

2、经过紧急处置,老帐号进行废弃,新账号及密码进行私发并授权,算是解决问题的第一步完成。平常一般都是找到人之后才会进行处置,但找不到人,这多少有点尴尬。有点不死心的样子。。。。

第二轮找人环节:
1、既然内部找不到人,那就再想想别的办法。。。。
2、通过开源中国的网站所关联的找回密码环节,发现尽然可以通过用户名去尝试找回。
Q20211129235012-2.jpg
3、那还等啥呢,直接输入前面的用户名:“FP2ZK”,点击重置密码,这样不就基本能发现注册的邮箱或者手机号了嘛。
20211129235220-3.jpg
通过的提示: 我们向邮箱 330789(3个*)@qq.com 发送了一封含有重置密码链接的邮件。
4、通过提示,发现这还是个QQ邮箱呢,3个*号嘛,哪这个很符合9位数的QQ号了。虽然通过遍历000到999,一共一千次的账号机会,但在局限的时间内,这个方法其实是不可取的。到这个地方,进入了第二次僵局。

第三轮找人环节:
1、想到了这个文章的作者,肯定是内部的同事,并且内部OA上个人信息模块,会让填写手机号、QQ号,住址等信息,不管是否在职,多多少少肯定会有记录,于是立即联系负责OA的L同学帮忙,希望通过邮箱的模糊查询,去撸到关联的人员信息。通过排查内部若干环境,外部若干招聘平台,也想了下简历库,最终,还是没有找到匹配的,中间一度怀疑内部数据是不是出啥问题了。但还是通过各自证明,来证实了确实是找不到人,并非内部数据出现啥问题。第三轮僵局。。。

第四轮找人环节:
既然内部数据找不着,只能借助于发布平台(开源中国)本身去找标识,正好同部门的同事在验证这个注册模块,发现了点可以绕过的小问题。20211207232446.png
通过处理,最终排查出来只有两个账号存在:330789@38 以及330789@99(这个地方用@脱敏了哈)
从1/1000的概率变成了1/2的概率,哪应该就好排查了,通过某些“开源”的库,查询一下资料,
20211207233454.jpg
根据衍生的信息查询,此同学(W同学)曾今待过上海,并且是宝山区。
再排查另外一个QQ号,发现这个QQ号一直都是归属在广东省惠州市,没有任何上海的标识。因此判定,尾号为@38的W同学,应该为泄露配置代码的同学。遂和业务部门的领导确认,最终也是确认了,如下记录。
20211207234311.png

收尾:
1、让业务部的领导联系该W同学,进行删除(如果不删除,将动用法律来保护泄露的敏感信息)
2、该同学也在第一时间进行了删除,并表达了歉意。
3、再次对某业务线后端H同学表达感谢~!

END,排查完,开完复盘会,已经晚上八点半了。。。。
PS:中间在第四轮查人的时候,还使用了蹩脚的社会工程学给打了电话确认了一些情况

me:请问是W同学吗?
W: 是,请问什么事情?
me:我在bossXX上看到你的简历,入职过XX(我司名称)公司嘛
W:我暂时不找工作
me:其实我看了你简历上写了关于spring的项目,并且还发布了开源社区,我对这一块比较感兴趣。
W:什么事情?
me:我可以加你微信好友聊嘛(其实内心已经撑不住了)

最终的最终,确认了这个人确实入职过我司,代码也是他写的以及上传的,也加了好友~!

标签: 暂无标签

添加新评论

TOP