如果Dailymotion注销了你,那么在最新攻击期间你的密码可能会被破坏
您可能知道,Dailymotion是仅次于YouTube的第二大网站。它远远不如谷歌的视频分享平台那么大,但我们仍然在谈论每个月数以亿计的独特访问,因此当Dailymotion宣布某些帐户存在问题时,许多人倾向于倾听。到目前为止,我们已经看到过两次这样的场合:一次是在2016年,一次是在上周。
第一次违规发生在2016年10月。当时,一个黑客组织设法渗透到Dailymotion的后端,并用大约8500万个电子邮件地址和大约1800万个密码起飞。那时候,好消息是密码已经用bcrypt进行了哈希处理 - 这种算法几乎不可能强制执行凭证。换句话说,对用户的损害,特别是那些没有使用过任何特别糟糕的密码的用户,受到的损害有些限制。上周的事件怎么样?
黑客试图劫持用户的Dailymotion帐户
周五,Dailymotion宣布它再次受到攻击。这一次,没有关于受影响个体确切人数的信息。事实上,此时的信息非常稀缺。 与媒体分享的所有Dailymotion都是在1月19日首次发现攻击,并立即采取了缓解措施。可能已受影响的用户已注销,其密码已重置。他们应该有一封电子邮件通知,告诉他们发生了什么,以及一个让他们重新获得对帐户控制权的链接。 CNIL(法国数据保护局)也已被告知并将需要决定是否应根据欧盟的一般数据保护条例(GDPR)对Dailymotion进行处罚。然而,运行视频共享网站的人认为他们没有做错任何事。
根据Dailymotion,这是一个凭证填充攻击
新闻稿有点含糊不清,但确实表示攻击者要么试图猜测用户的密码,要么使用其他供应商窃取的凭据。换句话说,他们认为他们很可能是凭证填充攻击的目标 。
鉴于这种情况,就Dailymotion而言,这一点已接近一线希望。然而,对于用户来说,这个消息并不是很好。
这是一系列事件中的最新事件,据报道这些事件是凭证填充的结果. 11月, 汇丰银行的客户在遭受类似攻击后被迫更改密码,几周后,英国连锁超市冰岛表示其客户也可能成为同一密码猜测机制的受害者。最近,Reddit在他们被凭证填充作为目标后将人们从他们的帐户中记录下来 ,这表明问题日益严重。最近发现的具有数百万用户名和密码组合的数据转储不太可能逆转这一趋势。
避免密码重用的情况从未如此强烈。多年来,安全专家告诉我们凭证填充的后果是多么可怕,而且现在,越来越多的人正在亲身体验它。避免这种情况的唯一方法是为所有帐户使用唯一的密码,这样做并不像以前那么困难。 Cyclonis Password Manager等密码管理工具可以为您提供帮助。要了解有关它的更多信息,请单击此处 。