當(dāng)前位置:網(wǎng)站首頁>微信營銷
Dropbox泄密事務(wù)仍在舒展,一家成人網(wǎng)站被爆掉80萬帳號暗碼
發(fā)布時(shí)間:2016-09-06
上周黑客在暗網(wǎng)相繼上泄漏了 Dropbox 和 Last.fm 兩家公司的上億條賬號密碼�,暴露了互聯(lián)網(wǎng)公司在保護(hù)用戶信息上的嚴(yán)重缺陷。但現(xiàn)在這場“泄密事件”仍沒有停止的跡象��,最新的消息是黑客團(tuán)隊(duì)泄漏了色情網(wǎng)站 Brazzers 近 80 萬條用戶賬號密碼�。
這個(gè)被黑客公布在暗網(wǎng)上的數(shù)據(jù)庫包含條 928072 個(gè)賬號的信息,其中包括 790724 個(gè)不同的電子郵箱地址以及許多用戶名和明文密碼����。
在接受 The Next Web 采訪時(shí)��,Brazzers 的公關(guān)經(jīng)理 Matt Stevens 說:“這個(gè)數(shù)據(jù)庫最早是于 2012 在我們的 Brazzers 論壇上被泄漏的���,但這個(gè)論壇由一個(gè)第三方機(jī)構(gòu)管理。”
Stevens 說這個(gè)“第三方機(jī)構(gòu)”使用的 vBulletin 管理軟件上存在的漏洞是數(shù)據(jù)庫泄漏的原因��。而為了讓用戶使用方便�, Brazzers 網(wǎng)站和 Brazzers 論壇之間的賬號是共享的。
上周一�,Dropbox 披露該公司于 2012 年泄漏的 6800 萬條用戶的賬號密碼已經(jīng)流出至暗網(wǎng)中,當(dāng)時(shí)的數(shù)據(jù)泄漏源于 Dropbox 的一次“安全事故”�。
2012 年 Dropbox 官方博客對此事件的解釋是:“丟失的密碼被用于訪問 Dropbox 的員工賬號,其中包括帶用戶電子郵件地址的項(xiàng)目文件���。我們認(rèn)為���,這一非法訪問導(dǎo)致了垃圾郵件的出現(xiàn)。我們對此感到抱歉���,并采取了額外的控制措施�,確保這種事故不會再次發(fā)生���。”
也就是說 Dropbox 一直認(rèn)為被泄露的只有用戶的電子郵箱地址�����,所以他們才會擔(dān)心用戶受到垃圾郵件的侵染��。但實(shí)際情況更加可怕���,那就是這 6800 萬用戶的郵箱地址和密碼都被泄漏了。
但令人欣慰的是����,這些被泄漏的密碼是已經(jīng)被加密過的暗文密碼,而不是用戶直接輸入的明文密碼���。在 2012 年信息被泄漏之前�,Dropbox 曾將自己的加密算法從 SHA-1 升級為 bcrypt��,此外這些密碼還采用了隨機(jī)數(shù)據(jù)串去強(qiáng)化加密的 salt 技術(shù)�。也就是說即使黑客拿到了這些密碼,他們也只能看到一串沒有意義的字符����。
而在上周五,黑客又將 2012 年從音樂服務(wù)網(wǎng)站 Last.fm 上竊取的 4357 萬條用戶密碼公布在了 LeakedSource 網(wǎng)站上。這個(gè)數(shù)據(jù)庫是在 2012 年 5 月 22 日被泄漏的��,當(dāng)時(shí) Last.fm 要求用戶重置自己的密碼���。
LeakedSource 表示�,他們花了 2 小時(shí)便破解了這個(gè)數(shù)據(jù)庫里 96% 的密碼���,這是因?yàn)?Last.fm 用戶的密碼并沒有用 salt 技術(shù)加強(qiáng)加密����。
在 2012 年 6 月 7 日����,也就是密碼被泄漏之后,Last.fm 的研發(fā)人員 Russ Garrett 就曾在 Twitter 上承認(rèn)該公司用戶密碼使用的是 MD5 加密方法�,但這種方法早在 2012 年之前就被認(rèn)定是一種弱加密方法,目前已經(jīng)有很多網(wǎng)站提供了 MD5 加密的一鍵破解工具��。
根據(jù) LeakedSource 公布的信息��,這批被泄漏的數(shù)據(jù)包括用戶的電子郵箱地址�、用戶名、密碼��、注冊日期和一些 Last.fm 內(nèi)部的服務(wù)數(shù)據(jù)。
在這些被泄漏的密碼中��,諸如 123456�、password、qwerty����、abc123、music 這樣的低級別密碼也占據(jù)了相當(dāng)大一部分���,可見用戶對信息安全有多么不重視�����。
今年 5 月,職業(yè)社交網(wǎng)站 LinkedIn 也曾許宣布有 1 億多條用戶的電子郵箱和密碼被泄漏至暗網(wǎng)����,這些數(shù)據(jù)同樣來自 2012 年的一場黑客攻擊。
2012 年 6 月����,一個(gè)名叫“dwdm”的黑客在一家俄羅斯論壇上公布了 650 萬條 LinkedIn 的用戶加密密碼,隨后 LinkedIn 證實(shí)有 1 億用戶的賬號信息被泄漏�。
直到最近��,一個(gè)名為“Peace”的黑客在暗網(wǎng)上以 5 個(gè)比特幣(約 2200 美元)的價(jià)格公開出售這個(gè)數(shù)據(jù)庫���。經(jīng)驗(yàn)證,這個(gè)數(shù)據(jù)庫里包含了 1.17 億LinkedIn 用戶的賬號密碼�����,而很多用戶目前仍在使用這些密碼�����。
有趣的是����,2012 年 Dropbox 的用戶密碼被泄漏的原因就是黑客利用了該公司開發(fā)人員的 LinkedIn 賬號信息登錄了 Dropbox 的后臺管理系統(tǒng)。
