A Month After Poshmark Confirmed a Data Breach, Private User Information Is Sold Online

Poshmark Data Breach

几乎就在一个月前,北美在线服装市场Poshmark宣布遭遇数据泄露。由于原因尚不清楚,该网站决定不透露有多少人受到影响,但正如有关此事件的新闻媒体指出,Poshmark拥有数千万用户,因此潜在影响从一开始就非常显着。不幸的是,被盗数据库的实际大小仍然未知。直到昨天,就是这样。

上周,一个想通过他的电子邮件地址提交的人 - JimScott.Sec@protonmail.com--得到了从Poshmark窃取的数据,他决定与网络安全传奇人物Troy Hunt分享。 Hunt处理了这些信息并将其加载到他的HaveIBeenPwned数据泄露警报服务中。多亏了这一点,我们现在知道已经暴露了超过3600万个账户。

很多人都受到了影响。但他们有多担心?

黑客窃取了什么?

Poshmark从一开始就热衷于指出,网络犯罪分子并没有窃取任何与客户实际地址相关的财务数据或信息。 该博客文章称,除了公开可用的名称和用户名等信息之外,网络犯罪分子还设法使用包含人员电子邮件和推送通知设置的内部数据库。

到目前为止,这一点并不起眼,但Poshmark确实承认内部账户数据也已曝光。这包括人们的电子邮件地址,用户ID,大小首选项,最重要的是,“每个用户唯一加密的单向加密密码”。然后零售商继续解释它已经使用了bcrypt - 少数几种被认为足够安全的散列算法用于存储密码 。尽管如此,Poshmark建议其用户更改密码以防万一。

从表面上看,虽然3600万Poshmark客户应该留意垃圾邮件和网络钓鱼电子邮件,但恐慌情绪并不多。然而,周一出现了新的信息,这听起来有点令人担忧。

据称黑客正在销售破解的Poshmark密码

在Troy Hunt宣布将Poshmark数据加载到HaveIBeenPwned之后,Bleeping Computer与JimScott.Sec@protonmail.com(顺便提一下处理此类事件的经验 )取得了联系,并询问了几个关于信息。这位神秘的人告诉安全新闻网站,他已经看到了完整的数据库,其中包含了3600万个账户,只需750美元即可在黑暗网站上换手. 然而,他还指出,他已经看到大约100万破获的Poshmark账户以更高的价格提供。如果这是真的,那么黑客就会销售完整的登录凭证,这意味着他们已经设法检索人们的明文密码。

这是一个有趣的转折,因为如果Poshmark的初始披露是真实的,那么密码就不应该是可检索的。专家表示,bcrypt是一种适用于哈希密码的算法,这是一个很好的理由。虽然理论上可能破解它,即使使用当今强大的硬件,但这样做并不实际。这表明服装零售商的实施不正确,或者黑客只是猜测他们销售的100万张Poshmark密码。

无论如何,这些凭证在地下市场上交易的事实再一次强调了用强大的,唯一的密码保护所有账户的重要性。

September 4, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
7 + 5是什么?