回归最本质的信息安全

青少年社交网站泄露数百万用户密码

2016年9月30日发布

3,859
0
0

导语:Arstechnica通知i-Dressup官方已经有黑客下载了该网站多达220万的用户数据,但i-Dressup并未给出回应。

一个少女社交聚会的网站因为存在漏洞,导致550万用户的明文密码被泄露了。

Arstechnica通知i-Dressup官方已经有黑客下载了该网站多达220万的用户数据,但i-Dressup并未给出回应。该黑客表示,他花了约三个星期时间得到并下载了这个多于550万条项目的数据库,期间没有任何安全策略对其进行拦截。他还表示,他是通过SQL漏洞获取到的这些邮件地址和密码。

该黑客向Arstechnica和Have I BeenPwned提供了220万个样例数据,通过随机选择邮件地址到i-Dressup网站进行密码找回操作,Arstechnica和Have I Been Pwned的主要负责人Troy Hunt发现,这些邮箱都已经被注册过。之后Arstechnica在i-Dressup网站上通过联系我们页面,私底下通知了官方,但五六天后,仍没有人给予回复,且漏洞仍未被修复。

数据泄露的道路还很漫长

这只是最近大规模数据泄露的冰山一角,在两周前,Arstechnica报道过ClixSense数据库泄露,包括明文密码、用户名,邮件地址和其他详细的个人信息,总共约220万条数据。泄露该数据的黑客声称,该数据共有660万条,并公开出售未公布的440万条数据。

I-Dressup自诩是一个安全的网站,声称可以保护用户的数据隐私,尤其是那些13岁以下的用户。但那些保证不仅没有兑现,甚至他们对待安全的态度都有些随意。更糟糕的是在得知因为SQL注入漏洞而导致用户数据被窃取的报告后,他们还不对漏洞进行修复!而且最让人感到震惊的是,泄露的数据库包含了明文密码。行业标准中的规定是网站需要对用户的密码进行哈希,而不是明文,这会使攻击者花大量的时间进行密码破解甚至根本破解不出来。

任何一个有i-Dressup账户的人都应考虑注销掉它,同时用户也应警惕诈骗邮件,更改使用了相同密码的其他网站账户的密码。

本文翻译于arstechnica,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/1776.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Mystery

Mystery

这个人很懒,什么也没留下

发私信

发表评论