已确认:数据泄露期间XKCD用户密码被泄露
那些对数学,技术和信息安全感兴趣的人可能听说过Randall Munroe这个名字。他是XKCD webcomic的创造者,使用精彩的棒图漫画和健康的幽默来讨论这些主题。使用XKCD,Munroe推广了他的“ 正确的电影主义 ”理论,根据该理论,由四个随机单词组成的长密码短语 比拼写的字母,数字和特殊字符串更容易记忆和更安全。
星期五,网络安全专家和Have I Been Pwned警报服务的创建者Troy Hunt 使用他庞大的Twitter跟随试图与Randall Munroe取得联系。他并没有试图解释为什么“正确的电影主义”理论可能在现实世界中不起作用。他刚才这样做了 。 Hunt试图告诉Munroe,属于XKCD粉丝的信息已经曝光。
Table of Contents
XKCD的论坛遭到破坏
Troy Hunt最初是由名叫Adam Davies的道德黑客联系的,他告诉他人们讨论与XKCD相关的所有事情的论坛在几个月前遭到破坏。最终,亨特设法与论坛的管理员取得联系,该管理员承认违规并采取措施解决问题。
电子邮件通知被发送给受影响的个人,论坛被脱机,并且它将保持关闭,而负责它的人试图弄清楚究竟发生了什么。与此同时,Troy Hunt收到了Adam Davies泄露的信息,并将其加载到他的数据泄露警报服务中,这意味着您可以在https://haveibeenpwned.com/上输入您的电子邮件,看看您的帐户是否已被盗用。
违规有多大?
XKCD是世界上最受欢迎的网络漫画之一,分析工具表明它每月访问量达数百万。鉴于此,论坛的违规行为似乎并不那么糟糕。仅有不到562,000个帐户受到影响,虽然数量仍然很大,但远远不及其他网站和应用程序每天泄漏的数十万条记录 。
除此之外,XKCD论坛可以免费使用,这意味着它不存储任何财务信息. 根据目前在论坛上发布的声明 ,确实暴露的数据包括注册时的IP地址,用户名,电子邮件和“盐渍,散列密码”。
可以安全地假设当论坛重新联机时,受影响帐户的密码将被重置。然而,管理员正确地警告用户,如果他们将XKCD密码用于其他帐户,他们应该作为紧急事项进行更改。并有充分的理由。
即使是最强的密码也无法击败弱哈希算法
我们很确定你们中的一些人使用Randall Munroe的“correcthorsebatterystaple”系统,而其他人,比如Troy Hunt,则依赖于密码生成器。无论您的立场是什么,您的每个帐户都必须使用强大的唯一密码进行保护。不幸的是,有时甚至这还不够。
XKCD的数据泄露通知显示,黑客利用了论坛底层平台phpBB中的漏洞。漏洞存在这一事实表明并未安装所有安全更新。密码散列函数也指向过时的软件。
根据Have I Been Pwned,密码是用MD5进行的,正如我们很久以前提到的那样,这是一个可悲的过时和不安全的哈希算法。实际上,它们也被腌制,这将使得检索凭证变得更加困难,但即便如此,您的XKCD密码受MD5保护这一事实意味着它应被视为已被妥协,并且永远不应再次使用。
