最近線民風聞香港大學民意研究計劃主理的“6.22民間全民投票”PopVote系統被駭客入侵盜取個人資料。而民研又立即出來信誓旦旦:PopVote投票系統設計精密,操作嚴謹,PopVote投票系統的伺服器由CloudFlare提供雲端防火牆保護,第三者絕不可能直接存取伺服器資料。又有港人發現www.crimeflare.com網站赫然羅列列出PopVote投票系統的真實IP位址。論壇熱議,不少民間內行人士稱其實使用CDN工具直接存取CloudFlare的伺服器,尋回舊有的功能變數名稱資料是很方便的。這數種矛盾之說讓人一頭霧水,不知何去何從。今天小編就來給你破一破這個民研洩露投票者身份的悶。
港大民研說的一句留下了線索:“至於正在流傳的所謂個人資料,就算屬實,亦不會是由PopVote投票系統取得。”說明他們至少是承認有個人資料洩露的傳聞,但他們堅持的是洩露的途徑不經電腦網路系統。其實任何安全問題最脆弱的恰恰是電腦網路系統,所以最掩蓋之處正是最可疑的地方。你CloudFlare牛嗎?FACEBOOK更牛呢,2013年不是照樣洩密10億使用者資料。國內的CSDN那是網路高精尖人才紮堆的論壇社區,隨便一篇貼文都是網路技術的神貼,那又怎麼樣,曾經600萬使用者資料洩密,資料庫全是明文!
那麼如果電腦投票系統洩密又是如何進行的呢?民研知事情不好弄特別是安全隱私方面肯定無法交待,於是轉移責任,換IP 將投票伺服轉移到國外,然後全上了cloudflare,這樣即使有問題也可以提供足夠藉口了。而透過clouflare的cdn防護,找到真實ip,幾乎有無數方法可能成功:
1、www.baidu.com,去掉www來ping,或者ping二級功能變數名稱;
2、對方網站能上傳檔(論壇之類),加上代碼,返回真實ip;
3、對方有郵箱(一般是同一伺服器),發郵件給對方,對方回郵件,返回真實ip;
4、有些whois查詢會記錄網站的ip變化情況,通過歷史ip位址可以找到真實ip。
5、如果攻破了cloudflare的伺服器,神馬什麼真實ip,那都不是事兒了。
6、被人在網上盲掃成肉雞,直接就拿下了。
早該大徹大悟 早該聲明退出
回覆刪除這是要作死的節奏啊!
回覆刪除