LiveAuctioneers揭露了数百万个密码,电子邮件地址和电话号码的数据泄露

LiveAuctioneers Data Breach

上周六,在线平台LiveAuctioneers允许用户参与现实生活中的古董,艺术品和珠宝拍卖,该公司宣布其一些客户的个人数据可能已经遭到破坏。 通知很快指出该泄露事件发生在第三方数据处理合作伙伴处,并且LiveAuctioneers只是受影响的许多在线服务之一,但是我们无法想象这可以起到任何提振作用的作用。数据泄漏的人群。

黑客在第三方违规后访问LiveAuctioneers数据

数据泄露通知的最初版本声称,除其他外,黑客可能已经访问了某些用户信用卡的后四位数字。但是,7月12日的更新删除了该信息。相反,经修改的通知指出,6月19日,黑客攻击了LiveAuctioneers的数据处理合作伙伴,并获得了用户名,电子邮件和邮寄地址,电话号码以及“加密密码”的访问权限。

网络安全专家Graham Cluley 很好奇地发现LiveAuctioneers所说的“加密密码”是什么,他还想知道有多少人受到了影响,这就是为什么他试图与该公司联系并寻求更多信息。昨天,他得到了答案。不幸的是,它们不是来自LiveAuctioneers,而是来自网络犯罪分子买卖被盗数据的黑客论坛。

黑客试图出售受损的LiveAuctioneers数据

昨天, CloudSEK的研究人员宣布,他们的风险监控平台已在一个清晰的网络黑客论坛上检测到340万条LiveAuctioneers记录被盗的广告。该帖子的发布日期为7月10日,即平台宣布该漏洞的前一天,就像LiveAuctioneers所说的那样,记录中包含姓名,电子邮件和邮寄地址,在某些情况下还包含IP。但是,对于约300万个帐户,卖方还声称拥有破解的密码。

广告说,密码是用MD5进行哈希处理的,正如Graham Cluley 指出的那样 ,它在保护凭据方面“几乎是无用的”,而事实上,黑客设法以不到5英镑的价格检索了大多数登录数据。一个月应该足以证明算法的安全性有多严重。

可以公平地说,现在应该认为所有密码都已被泄露,但这是一件坏事吗?

结果有多严重?

乍一看,您会认为该漏洞并不是什么大问题,这是可以原谅的。 LiveAuctioneers的网络安全团队显然知道他们没有使用最安全的密码存储方法,并且当他们了解到该违规行为后,便立即禁用了所有竞标者帐户的最新密码。不管喜欢与否,受到攻击影响的用户将需要更改LiveAuctioneers密码。

他们还必须确保,任何其他网站或服务上都不会使用受损的登录详细信息。否则,黑客可以通过简单的凭据填充攻击轻松地接管其帐户。不幸的是,对于LiveAuctioneers用户而言,这只是问题之一。

别忘了LiveAuctioneers是一个平台,可以帮助销售艺术品,古董,珠宝和其他昂贵商品。使用它的人有很多钱可以花,因此是进行复杂的鱼叉式攻击的理想目标。个人数据也不是免费提供的,这意味着无论购买者是谁,都可能会努力争取投资回报。换句话说,LiveAuctioneers用户必须比平时更加小心。

July 15, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。