LiveAuctioneers揭露了数百万个密码,电子邮件地址和电话号码的数据泄露
上周六,在线平台LiveAuctioneers允许用户参与现实生活中的古董,艺术品和珠宝拍卖,该公司宣布其一些客户的个人数据可能已经遭到破坏。 通知很快指出该泄露事件发生在第三方数据处理合作伙伴处,并且LiveAuctioneers只是受影响的许多在线服务之一,但是我们无法想象这可以起到任何提振作用的作用。数据泄漏的人群。
Table of Contents
黑客在第三方违规后访问LiveAuctioneers数据
数据泄露通知的最初版本声称,除其他外,黑客可能已经访问了某些用户信用卡的后四位数字。但是,7月12日的更新删除了该信息。相反,经修改的通知指出,6月19日,黑客攻击了LiveAuctioneers的数据处理合作伙伴,并获得了用户名,电子邮件和邮寄地址,电话号码以及“加密密码”的访问权限。
网络安全专家Graham Cluley 很好奇地发现LiveAuctioneers所说的“加密密码”是什么,他还想知道有多少人受到了影响,这就是为什么他试图与该公司联系并寻求更多信息。昨天,他得到了答案。不幸的是,它们不是来自LiveAuctioneers,而是来自网络犯罪分子买卖被盗数据的黑客论坛。
黑客试图出售受损的LiveAuctioneers数据
昨天, CloudSEK的研究人员宣布,他们的风险监控平台已在一个清晰的网络黑客论坛上检测到340万条LiveAuctioneers记录被盗的广告。该帖子的发布日期为7月10日,即平台宣布该漏洞的前一天,就像LiveAuctioneers所说的那样,记录中包含姓名,电子邮件和邮寄地址,在某些情况下还包含IP。但是,对于约300万个帐户,卖方还声称拥有破解的密码。
广告说,密码是用MD5进行哈希处理的,正如Graham Cluley 指出的那样 ,它在保护凭据方面“几乎是无用的”,而事实上,黑客设法以不到5英镑的价格检索了大多数登录数据。一个月应该足以证明算法的安全性有多严重。
可以公平地说,现在应该认为所有密码都已被泄露,但这是一件坏事吗?
结果有多严重?
乍一看,您会认为该漏洞并不是什么大问题,这是可以原谅的。 LiveAuctioneers的网络安全团队显然知道他们没有使用最安全的密码存储方法,并且当他们了解到该违规行为后,便立即禁用了所有竞标者帐户的最新密码。不管喜欢与否,受到攻击影响的用户将需要更改LiveAuctioneers密码。
他们还必须确保,任何其他网站或服务上都不会使用受损的登录详细信息。否则,黑客可以通过简单的凭据填充攻击轻松地接管其帐户。不幸的是,对于LiveAuctioneers用户而言,这只是问题之一。
别忘了LiveAuctioneers是一个平台,可以帮助销售艺术品,古董,珠宝和其他昂贵商品。使用它的人有很多钱可以花,因此是进行复杂的鱼叉式攻击的理想目标。个人数据也不是免费提供的,这意味着无论购买者是谁,都可能会努力争取投资回报。换句话说,LiveAuctioneers用户必须比平时更加小心。