在线销售了4000万个Wishbone App用户记录

Wishbone Data Breach

正如我们昨天提到的那样 ,网络犯罪分子经常试图从几年前被盗用的数据中获利。 ZDNet的安全记者之一Catalin Cimpanu在一个地下论坛上发现了一则出售Wishbone应用程序用户信息的广告时,他可能认为这正是正在发生的事情。

流行的测验应用程序在2016年遭受数据泄露,当时黑客泄露了一个包含约220万用户个人信息的数据库。当时,网络罪犯声称他们只释放了一小部分被盗信息,新广告看起来可能包含了四年前窃取的其余细节。在查看了新发布的数据库中的示例之后,Cimpanu意识到这是一个全新的黑客。

一名网络犯罪分子以8000美元的价格出售了4000万份Wishbone唱片

卖方确实指出该数据库是在2020年建立的,ZDNet的记者通过检查时间戳并对照几个违规通知服务检查了样本数据来证实了这一点,这表明它确实是最近的。受影响的人数约为4000万人,记录中包括姓名,用户名,电子邮件地址,电话号码,地理位置和哈希密码。卖方要价0.85比特币(约合8000美元),这意味着每个账户的价格为0.0002美元。

Wishbone的开发人员尚未发表正式声明,但ZDNet已确认该数据是真实的。它相对便宜,由经验丰富的交易员提供。 Catalin CImpanu的调查显示,同一卖方正在提供从各种服务提供商窃取的数十个数据库。总体而言,记者估计网络犯罪分子拥有多达15亿条被盗记录。

卖方很可能在转移Wishbone数据库方面不会有任何问题,并且当他/她计算利润时,应用程序的用户必须考虑违规的潜在后果。

Wishbone的数据泄露如何影响用户?

尽管不涉及财务数据,但是有足够的个人身份信息可以促进各种骗局。通过联系方式,黑客可以轻松地与潜在目标取得联系,其余数据可以帮助他们发动受害者可能陷入的社会工程陷阱。考虑到Wishbone的用户群中绝大多数是对于十几岁的女孩来说,数据泄露的后果是可怕的。

您可能会辩称,该漏洞不应该发生,但正如我们过去所说的那样,没有哪家公司能够幸免于遭受网络攻击的打击。然而,事实是,尽管Wishbone已经经历了一次安全事件,但其开发人员似乎并未吸取教训。

在广告中,数据的卖方说密码是用SHA1哈希的。这是一个问题,因为SHA1不是最可靠的哈希函数,并且可以反转。但是,当Catalin Cimpanu查看泄露的凭证的样本时,他意识到密码实际上是用MD5进行哈希处理的-该算法可以通过免费访问的工具在几秒钟内破解。

人们的Wishbone帐户受到的威胁是非常真实的,如果受影响的用户将相同的密码重新用于多项服务,则损失可能会更大。

May 21, 2020

发表评论