我个人认为其事情的发生,应该不是 NTT 、Fastly 、三大运营商干的,正所谓事出反常必有妖。
这个证书的签署带有一个简略地址是 CN GD SZ COM NSP,电子邮件 [email protected] ,签发于 2019 年 9 月 26 日的一张自签名证书。
说明这不得了,已经不是 DV 证书所包含的信息了,是 OV 级别。当然都是假的,不可信。但建立一个假设,这个 QQ 邮箱是真的,这是一个重要的前提。所以这位很有可能即将被全中国 GitHub 用户骂死的无辜(可能的)大哥就泄露了他的 QQ 邮箱。
根据大家的信息,全国各地的网友都反馈几乎都无法访问,这就不是三大运营商存在那一家当 sb 自己封的问题。我同时推测这位很有可能签发的是一张测试的无证书结构的证书,通用名称就是 CA,而一般的应该是*.website.tld
根据蓝点网、CnBeta 的报道,京东也收到了牵连。依我的河北联通家宽、4G 网来看,京东云至少在我正在写稿的时间没有问题。
无独有偶,Zaker 、月光、solidot 、知乎、搜狐、卡饭、隔壁 loc 、IT 之家也有报道,维基百科已经更新,微博、推特、FB 尚未引发较强舆论。同时作为吃瓜群众的我在开始后的十几分钟就在 V2 见证了历史😂😂,顺便感谢站长感谢的十个铜板😃。
好了不多废话,知乎问题 382718053 、382702036 已经有很多大佬图文并茂的解释了,我觉得我直接找人就好。(有些说已经恢复,但就我码字时间( 3 月 27 日夜)仍然没有恢复,河北联通 4G 网 /家宽)。另外还有一些同志提供信息指出不只是 GitHub 受到影响。V2 656367 、656394
这位背锅的先生
1.QQ 邮箱 [email protected]
2.QQ 名称 心即灵山
3.微信昵称 张勇
4.双边地区均为 黑龙江省哈尔滨市
5.证书签发位于 广东省深圳市
6.在邮箱栏留下网址 www.138qb.cn
7.留下年龄 47 岁
8.留下生日 1 月 1 日
9.性别为 男士
10.手机号 158xxxxxxxx
11.QQ 等级 74 级
这里插嘴一路,根据 CnBeta 的报道,根据他们的小道消息疑似此人为一个高中生
但是我就我正在看到的信息认为不会是这样的,虽然 QQ 的年龄可能不对,但是依据其 QQ 等级和 QQ 昵称、微信昵称,并且其从未开通会员,不应该为一个「当代青年」的那种。
有趣的是,截止我码字的时间,这位大哥是一个登录连续长达 927 天的 QQ 达人,但还是被我一千多天打败了 (逃
12.CSDN 随机昵称 qq_29158525
13.CSDN 注册时间 5 年
14.CSDN 介绍 从事软件开发工作近 16 年
由上述信息,基本否定了 CnBeta 的小道消息。假设如果其介绍是自己注册时填写的,而其等级为 1,活动为零。所以推测其填写的日子为 2015 年左右,因为太模糊,只能定这个时间,再往前推算其参加工作时间为 1999 年,那么出生时间约为 1973 年,参加工作时年龄是 26 岁,按照 70 年代特征,不符合任意专科毕业后直接参加软件开发工作的年龄。
然后呢,以上文字形成于今天的深夜,目前河北联通 4G 网 /家宽的 io 域名已经恢复,com 域名挂了,但是不是一个 mymail.com 证书,而是响应时间过长
1
lostberryzz 2020-03-27 11:28:16 +08:00 via iPhone
估计就是某神秘部门一线小兵误操作了
|
2
Windelight OP @lostberryzz 至少觉得目前网络盛传的高中生,做攻击测试,绝对是纯属臆测。当然我不否认高中生的创造能力,但是目前已知的数据的倒推绝对比 CnBeta 里的那些小道消息准确的多。不过这大哥好像高中学历和模糊的家庭住址都被 po,也真是应该注意一下网络隐私保护。
|
3
Windelight OP 我仍然相信这个人是接盘侠,而这次攻击目标是骨干网出口段,或者墙的边缘代理,不应该是一个在家中闲来无事厌生厌世的人。推测其不应该是 Fastly 或者 Amazon 或者 NTT 负责 CDN 的员工,同时应该在广州深圳的或者其它地方的 Synjones 新中新上班,希望他别号里去就得了。
我同时排除这位张先生不出名的可能性😂😂 |
4
Windelight OP 同时网上有人反馈说网址 138qb.cn 曾经是一个盗号网站,但是,纵使是,他在去年 10 月还在 QQ 空间更新动态,十分「老龄化」的语言,也说明它不是一个高中生,毕竟 10 月还上课呢。根据其历史说说,还猜测它可能已经是一个有孩子的父亲了,同时他应该是被盗号过、又找回来,但没注意到改了个人资料中简介的信息( 2007/2008 )。
|
5
Windelight OP 但还有一个更值得注意的是,部分网友反馈的新的劫持用到了一张 [email protected] 的证书,虽然前面的数字看似是滚键盘,但是其中 OV 的信息仍旧是 CN GD SZ COM NSP 的一串地址。有效期依旧是 10 年。一般的 CA 提供商都是前后差一天。比如去年 5 月 21 日到今年 5 月 20 日这个样子的,我绝对相信这两次不同的劫持是同一个人(包括的自然人、组织、机构、法人)的行为。去各个外贸网站搜索,找不到强关联于 SZ COM NSP 的公司,并且只有一家 Shenzhen NSP Ligting Technology Co.,Ltd,经过查看他们的 FB 主页,是一个销售灯管的,和这件事无关,但这两个劫持绝对是一个团体。
|
6
hwenwur 2020-03-28 19:43:26 +08:00
信息来源是 2013 年 QQ 群关系泄露,这号加的一个高中的班级群,群昵称叫张勇。可以推断这位一定是 2013 年之前读的高中。
|
7
Windelight OP @hwenwur 那个群名就叫建三江一中 89 届同学,群号 4823518,建立于 2005 年
而且这么推算一下 16 岁上的高中,是一个正常的年龄, |