属于webhost用户的1300万个明文密码在线泄露

admin 2018-06-21

一名安全研究人员发现了一个超过1300万个明文密码的宝库,这些密码似乎属于1000个web host的用户,这是一项免费提供可靠高速web host的服务。

泄露的数据,也包括用户姓名和电子邮件地址,是由澳大利亚研究人员Troy Hunt获得的,他是我的运营商吗?,这是一项帮助人们了解自己的个人数据是否在网站违规中暴露出来的服务。亨特从与他联系的人那里收到了数据,他说这是五个月前在1000名网络主机上遭黑客攻击的结果。

Hunt到目前为止已经与名单上的五个人确认,名单上包含了他们用来访问000台网络主机的姓名、密码和IP地址。他在周三发表的一篇博客文章中写道:「到目前为止,毫无疑问,违规行为是合法的,受影响的用户必须知道。」他说,他努力通知公司官员,让他们公开警告用户密码已被泄露。他说,到目前为止,所发生的一切都是,服务已经通知登录的用户,出于安全原因,他们的密码已经被000个网络主机系统重置。

更新2015年10月28日上午11 : 04 PDT :在周三上午发布的Facebook帖子中,000名web host官员证实了这一漏洞,并表示这是黑客利用PHP编程语言的旧版本访问000个web host系统的结果。该建议没有提及明文密码,但建议用户更改其凭据。亨特还发现,这一漏洞可能会扩展到其他网络主机提供商,可能是因为他们与数千个网络主机建立了合作伙伴关系。

Hunt揭露了各种弱点,包括在登入页面上使用未加密的HTTP通讯,以及在产生的URL中放置使用者明文密码的程式码例程。这意味着未加密的密码可能会写入各种管理日志。也有可能网站没有遵循标准行业惯例,在存储密码时对密码进行加密散列。无论如何,这些数据可能是通过执行SQL注入漏洞攻击或其他常见的网站攻击来访问的,或者是通过拥有对000个web主机系统的特权访问的内部人员来访问的。

随着密码泄露的进行,1300万是一个很大的数字,但与一些最大的漏洞相比,它仍然相形见绌。例如,最近秘密事务网站阿什利·麦迪逊泄露了3400万个密码。然后阿什利·麦迪逊管理员再次经历了使用极其繁重的bcrypt函数散列密码的麻烦(尽管一个严重的编程错误最终使得破解1100万个密码成为可能)。尽管这一措施并不完美,但它给阿什利·麦迪逊用户更改密码的时间,并要求破解者付出相当大的努力。相比之下,这里明文密码的可用性使得滥用密码变得很容易,意味着即使是非常强的密码也可以立即获得。

进一步了解为什么密码从来没有变弱过,破解者从来没有变强过使用了000台主机的eranyone应该警惕欺诈。如果用户在其他网站上使用相同或相似的密码,他们应该立即更改。将1300万个密码重新注入已经庞大的现有密码库中,应该会给经常重复的警告带来新的紧迫性,即使用每个站点独有的随机生成的长密码。关于如何做到这一点的建议在这里。


点赞: