每年全球范围内,曝光过的以及多数不为人所知的数据泄露事件不知道有多少,听到、见到、遇到的多了也就麻木了。但 *** 的数据泄露事件每每却能引起人们注意,假如你的个人信息从这些渠道泄漏出去了,意味着什么就不用多说了吧,就好像你不想让人知道你和谁在酒店开过房,类似的道理。
8个 *** 数据泄露,关闭网站安全升级
而最近,有多达8个 *** 的暴露了98MB文件,其中包含用户IP、加密密码、名称以及120万个邮件地址,鉴于 *** 的特殊性,还不能确定有多少是真实用户。这8个网站网址分别如下:
wifelov***.com
asianse***.com
bbwse***.com
indianse***.com
nudeafr***.com
nudela***.com
nude***.com
wifepos***com
值得注意的是,这8个网站的归属者都是同一个人 Robert Angelini,这些网站安全性都比较差,甚至还在采用四十年前的加密方案来保护用户密码。同时,在网站的留言板上,有不少用户分享图片等私密信息,甚至还声称是自己的配偶,至于是否属实以及是否经过本人同意均无法断定,这本身对用户隐私是比较大的伤害。
涉事网站之一,关闭前的截图
在收到黑客通知的三天后,Angelini 确认了这些信息泄露行为以及网站存在的安全问题,并关掉了所有的网站。Angelini 回应泄漏文件包含的内容称,在其经营这些网站的21年里,只有107000人在网站发帖,他不清楚为何泄漏文件会包含超过这个数字近12倍数量的电子邮件。
截止笔者发稿之时,这8个网站仍处于关闭状态,全部挂上同一个安全升级公告页面,公开这次数据泄露的详细信息,并建议用户修改自己其它账户密码,尤其是使用与这些网站账户相同密码的用户。
其实,这次数据泄露的内容影响程度还是比较有限,并不涉及信用卡、手机号等重要的信息,但仅凭泄露出来的电子邮件地址,的确能搜索关联到一注册的Instagram、亚马逊、Facebook等大型网站账户,如果继续深入查找还是能够锁定到用户的真实身份的。尤其是,在留言板上上传的图片也可能对本人造成很大伤害。
网站竟然采用有40年历史的加密算法
另外,网站本身的安全问题也是令人震惊。网站的密码数据采用一种散列算法的保护,该算法非常脆弱和过时,以至于密码破解专家Jens Steube只花了7分钟就识别出了散列方案,并破译了给定的散列。
这种散列算法被称为Descrypt,创建于1979年,基于旧的数据加密标准。Descrypt 提供了当时设计的改进,使 Hash 不太容易被破解。例如,它使用了加盐的方式,以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代,以增加破解输出散列所需的时间和计算。但以2018年的标准来看,Descrypt 的算法早已经不够用了。它只提供12位盐,仅使用所选密码的前八个字符,导致几乎不能够使用强密码。
根据密码安全专家的说法,这种算法早在20年前就已经被淘汰,目前已经出现了多种更好的加密方案,Descrypt 本就不应该继续采用。
Angelini 表示已经积极与安全研究人员合作,来解决网站的安全性问题,在问题没有完全修复好之前,这8个网站将不会上线。假如这些网站恰好存在你的收藏夹里,那么你应该知道该做什么了……
在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 Hacker...
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解...
作为慧与(HPE)的一家网络设备制造子公司,Aruba Networks 于早些时候发生了数据泄露事件。这家企业技术巨头在一份声明中称,未经授权者利用一把私钥,访问了存储于 Aruba Central 云端的客户数据。尽管未详细说明黑客是如何获取到私钥的,但 HPE 确认它可被用于访问存储客户数据的...
Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一...
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...