黑客入侵Mixcloud并在线出售用户数据

黑客破坏在线服务或网站后，通常会尝试通过在黑暗的网络上或在Google索引并易于访问的许多黑客论坛之一上出售所窃取的数据来获利。考虑到个人信息的价值，通常，将数据出售给其他罪犯并不是什么大挑战。但是，显然，窃取的数据库有时更难转移。例如，一个昵称为A_W_S的黑客可能很难卖掉他/她从Mixcloud流服务中偷来的数据库，这就是为什么他们决定通过吹嘘对媒体的攻击来声名狼藉。

上周，A_W_S与TechCrunch的Zack Whittaker ， Motherboard的Joseph Cox和ZDNet的Catalin Cimpanu保持联系，并告诉他们Mixcloud遭受了数据泄露。 A_W_S说，他/她单手设法窃取了多达2100万订户的记录，并且该数据在一个黑暗的网络市场上出售。

A_W_S实际上不是这种事情的新手。据ZDNet的记者称，他们与另一名称为Gnosticplayers的网络罪犯一起工作，他们在今年年初受到几次相对高调的攻击后，对媒体关注的热爱就显而易见了。但是Mixcloud的违规行为如何与Gnosticplayers的活动相叠加？

不是世界上最可怕的漏洞

这三个新闻机构都收到了数据样本，以确认其真实性。记者在数据库中看到了用户名，电子邮件和IP地址，帐户注册日期以及人们密码的哈希值。他们与一些受影响的人取得了联系，并尝试通过一些电子邮件注册新的Mixcloud帐户，他们确认该信息确实是真实的。进行某些注册的日期表明，该攻击是在几周前才开始的。因此，数据是真实的，并且很有可能是有效的。那么，好事很多，这是一件好事。

在得知该漏洞后，Mixcloud指出它不存储任何信用卡详细信息或实际地址。它还说，它的大多数用户已经使用他们的Facebook帐户注册了该服务，这本身在一定程度上限制了公开数据的数量。更重要的是，流媒体服务提供商表示，被盗的密码已经过安全加密和哈希处理，新闻媒体对此进行了确认。 Mixcloud使用SHA-2 –一种几乎不可能逆转的哈希算法。

结果，为数据库付费的骗子实际上并不会从他们的钱中得到很多，这可能就是为什么数据没有引起如此多关注的原因。当TechCrunch和Motherboard在11月29日写出关于该漏洞的信息时，A_W_S索要0.5比特币或4,000美元，但到ZDNet的报告于12月1日发布时，价格已降至0.27比特币或约2,000美元。

不是世界上最好的回应

在媒体首次报道之前，Mixcloud显然对这一漏洞一无所知。消息传出后约24小时，流媒体服务提供商提出了Zack Whittaker相当准确地描述为“样板公司声明”的内容。除了不可避免的“我们非常重视安全性”声明外， 该博客文章还包含有关密码存储机制以及公开的相对有限数据量的信息。它不包括受此漏洞影响的人数，也没有透露为将来更好地保护他们而采取的预防措施。考虑到据称已盗窃超过2000万条记录的事实，决定只包含两个问题的FAQ部分也很奇怪。

当记者要求进一步评论时，Mixcloud的发言人保持沉默，这再次证明了流媒体服务提供商的披露可能更加透明。我们只能希望遭受数据泄露的其他供应商能够更好地处理它们。