文/牛智超

该来的终究还是来了。数据泄露，就像是匿名社交软件这个水桶底部的木塞，突然被拔了。

微博用户ringzero（安全从业者）曝出了两张截图，像是无密（秘密更名）的后台，并宣称——#秘密#细节咱们7月乌云见。

这个ringzero就是此前“携程信用卡漏洞”的发现人。

上面“秘密Admin”的管理后台是不是秘密的后台，秘密（无秘）方面并没有回应。

自媒体“人生如戏“在文章中推测：

“这次爆料的动机有几种可能，其中一种是：某黑客早已拖库得手了，玩服务器也玩腻了，于是就公开让行业内震精一下。

最近匿名社交打得很厉害，于是黑客成为了竞争中的兵器，在已拖库的前提下，爆料漏洞，可以起到公关上震慑的效果，如果是这个可能性的话，黑客可能掌握了非常多的商业机密和用户隐私，很可能有很多后续问题。无秘不认真处理的话，还会有更多问题爆料出来。”

不过无秘否认被拖库。

无秘在微博声明：

无秘数据库里没有保存手机号，注册时的手机号是为了匹配朋友关系，会经过不可逆加密，同时密钥存放在客户端，即便内部人员也无法知道具体秘密的发布者，请放心使用。

超哥做了个实验，用了一部从未下载过无秘的手机测试，下载无秘后，可以用手机号正常登陆。

就有两种可能：要么存了手机号，要么登陆时经过相同的不可逆加密算法与数据库匹配。

此外，微博网友还有以下疑问：

既然是不可逆加密，为什么还会有密钥呢？

如果密钥保存在客户端，谁知道你和好友手机号被加密成了什么？这样一来，一条信息如何判断是否是你通讯里的好友？

秘密内网被攻破

昨日晚间，乌云漏洞平台上，ID“猪猪侠”，也就是微博上的ringzero发布漏洞：”安全诟病之一无秘网络边界可被绕过成功进入内网”。

具体细节为：

无觅网网络边界可被绕过，成功进入内网也就代表能够接触到大量的服务器和数据。

测试过程读了一些开发历史文档，发现用户的手机号码信息是被不可逆算法加密的，就算获取到数据库，也无法还原秘密究竟是出自哪个手机号。

貌似每个手机号都对应一个固定的加密值，给所有13*，15*，18*的手机号码段生成一个固定的彩虹表，毕竟手机号资源是有限的(也就几百亿条)，找出秘密出自谁手又好像不是那么难，具体实现方法有兴趣的可自行研究。

（彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。

越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。）

也就是说，秘密发布者存在被破译的可能性。

厂商回复：

无秘技术人员在获知消息后立即联系猪猪侠，并且于30分钟内完成修复。微博消息给部分用户造成误解，目前所知数据库没有泄漏，没有用户有受到影响。同时数据库敏感信息均经过不可逆加密，只有获取了用户的手机才能确切知道秘密的发布者。无秘对信息安全非常重视，如有进一步消息将持续更新。

匿名社交APP的拐点

安全是匿名类社交APP的根本，与电子商务网站的漏洞不一样，泄露地址等信息不算特别大的事。

而在秘密等软件上吐槽别人、炫耀自己约炮之类的被曝光，就是人格的问题了。各路仇家会找上门。

近期也有一大波匿名社交软件出来，秘密被攻破事件后，它们也许会出来大谈自家安全如何坚不可破。

猪猪侠公布的漏洞是“安全诟病之一”，这是一个系列，假如真到了“7月乌云见”，无论拖库是不是属实，匿名社交APP的死期就真的不远了。