Poloniex加密货币交易所数据泄露

事件

12月30日，加密货币交易所Poloniex通过电子邮件向用户发送电子邮件，称用户该网站的的用户名和密码可能已经泄露在Twitter上，攻击者可能会被这些泄露的用户名和密码登陆Poloniex帐户。

邮件中同时提到说，泄露的部分邮件地址并不是合法的Poloniex账户，但是为了确保安全，交易所仍强制要求拥有该交易所帐户用户重置密码。

由于邮件中给出的信息不全面，因此有些用户并不确定这是垃圾邮件、钓鱼邮件还是真的来自Poloniex的邮件。

很快，Poloniex的官方Twitter账户发推称，邮件确实是Poloniex发送的，用户应尽快重置密码。

Poloniex确认邮件的真实性

但目前还不清楚这些泄露的账户是怎么创建的，也可能是利用其他数据泄露的账户通过凭证填充攻击 (Credential Stuffing Attack，俗称撞库)来编译生成的。甚至Poloniex官方也不清楚数据源是什么，因此BleepingComputer研究人员也建议用户重置密码以确保账户的安全性。

修改密码防撞库攻击

如果你接收到来自Poloniex的邮件，并且你在其他网站上使用了与该网站相同的用户名和密码，研究人员强烈建议用户同时修改其他网站的密码以防止撞库攻击。撞库攻击是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。该攻击对在不同网站使用相同的用户名和密码的用户来说非常有效。

更新：在Medium的博客文章中，Poloniex称泄露的数据只影响约1%的用户，而且数据泄露并非来自于Poloniex。研究人员调查发现，其中泄露的密码中约有90%出现在haveibeenpwned.com网站上。