每年全球范围内,曝光过的以及多数不为人所知的数据泄露事件不知道有多少,听到、见到、遇到的多了也就麻木了。但成人网站的数据泄露事件每每却能引起人们注意,假如你的个人信息从这些渠道泄漏出去了,意味着什么就不用多说了吧,就好像你不想让人知道你和谁在酒店开过房,类似的道理。
而最近,有多达8个成人网站的暴露了98MB文件,其中包含用户IP、加密密码、名称以及120万个邮件地址,鉴于成人网站的特殊性,还不能确定有多少是真实用户。这8个网站网址分别如下:
wifelov***.com
asianse***.com
bbwse***.com
indianse***.com
nudeafr***.com
nudela***.com
nude***.com
wifepos***com
值得注意的是,这8个网站的归属者都是同一个人 Robert Angelini,这些网站安全性都比较差,甚至还在采用四十年前的加密方案来保护用户密码。同时,在网站的留言板上,有不少用户分享图片等私密信息,甚至还声称是自己的配偶,至于是否属实以及是否经过本人同意均无法断定,这本身对用户隐私是比较大的伤害。
涉事网站之一,关闭前的截图
在收到黑客通知的三天后,Angelini 确认了这些信息泄露行为以及网站存在的安全问题,并关掉了所有的网站。Angelini 回应泄漏文件包含的内容称,在其经营这些网站的21年里,只有107000人在网站发帖,他不清楚为何泄漏文件会包含超过这个数字近12倍数量的电子邮件。
截止笔者发稿之时,这8个网站仍处于关闭状态,全部挂上同一个安全升级公告页面,公开这次数据泄露的详细信息,并建议用户修改自己其它账户密码,尤其是使用与这些网站账户相同密码的用户。
其实,这次数据泄露的内容影响程度还是比较有限,并不涉及信用卡、手机号等重要的信息,但仅凭泄露出来的电子邮件地址,的确能搜索关联到一注册的Instagram、亚马逊、Facebook等大型网站账户,如果继续深入查找还是能够锁定到用户的真实身份的。尤其是,在留言板上上传的图片也可能对本人造成很大伤害。
另外,网站本身的安全问题也是令人震惊。网站的密码数据采用一种散列算法的保护,该算法非常脆弱和过时,以至于密码破解专家Jens Steube只花了7分钟就识别出了散列方案,并破译了给定的散列。
这种散列算法被称为Descrypt,创建于1979年,基于旧的数据加密标准。Descrypt 提供了当时设计的改进,使 Hash 不太容易被破解。例如,它使用了加盐的方式,以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代,以增加破解输出散列所需的时间和计算。但以2018年的标准来看,Descrypt 的算法早已经不够用了。它只提供12位盐,仅使用所选密码的前八个字符,导致几乎不能够使用强密码。
根据密码安全专家的说法,这种算法早在20年前就已经被淘汰,目前已经出现了多种更好的加密方案,Descrypt 本就不应该继续采用。
Angelini 表示已经积极与安全研究人员合作,来解决网站的安全性问题,在问题没有完全修复好之前,这8个网站将不会上线。假如这些网站恰好存在你的收藏夹里,那么你应该知道该做什么了……
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态