NewsNow敦促所有用户在数据泄露后立即更改密码

英国新闻聚合机构NewsNow没有使用任何官方渠道向全世界宣布这一消息，向其用户发送了电子邮件通知，称可能会更改一些密码。安全专家特洛伊·亨特（Troy Hunt）周一首先分享了这条消息，有趣的是，它留下了一些未得到答复的问题。在媒体收到消息后，一位发言人确实对此事有所了解，虽然有些事情仍然未知，但我们现在总结一下事实。

究竟发生了什么？

显然，当NewsNow的IT人员注意到有人在他们的一些服务器上安装了后门时，他们正在审查一些代码。让他们离线后，他们做了一些调查，并意识到侵入行为是通过一个狡猾的代码系列实现的，这些代码在NewsNow的基础设施上停留了大约八年。代码已修补，服务器已恢复，但不是在全新的身份验证系统到位之前。

NewsNow决定完全取消密码。现在，如果您想在新闻聚合网站登录您的帐户，请单击登录按钮并输入您的电子邮件地址。 NewsNow会向您发送一个登录链接，显然，要获得它，您首先需要登录到您的电子邮件。点击链接后，您就会进入NewsNow帐户。

NewsNow官员不能说是否有任何信息被泄露，但新的，相当繁琐的认证机制表明他们要么怀疑最坏情况，要么谨慎。说到这一点，如果您曾在NewsNow注册过账户，那么您也应该非常小心。

潜在的受害者需要做什么？

好消息是，NewsNow并没有真正拥有那么多用户数据。例如，正如他们在违规通知中指出的那样，没有信用卡详细信息可能被盗，因为没有存储信息。然而，存储了密码，虽然NewsNow并不热衷于泄露太多细节，但通知称密码是“加密的”，这可能令人担忧。

这不是第一次，数据泄露受害者说过这样的事情，它可能意味着两件事之一。也许这些密码被散列和腌制（因为它们应该是这样），但公司官员意识到，阅读这封信的人很少会理解这意味着什么，因此他们选择了一个不太准确但更常见的术语。另一种选择是密码没有正确存储 。

不幸的是，第二种情况更有可能发生。电子邮件说“ 破解 ”密码并不是 “ 直截了当 ”，因为NewsNow不存储任何敏感的个人信息，所以没有人会打扰甚至试图破解（可能）被窃取的数据。

NewsNow可能低估了一些黑客的空闲时间和决心。然而，更糟糕的是，在没有共享任何技术细节的情况下，它们意味着可以从存储在后端服务器上的数据中恢复明文密码。而且因为我们不知道何时安装了后门，所以在NewsNow上使用过的任何密码都必须被视为已泄密。

显然，如果您在所有网站上使用唯一密码，这不是一个真正的问题. NewsNow的新身份验证机制意味着旧密码根本不起作用。即使他们这样做了，黑客也无法从你的账户中窃取太多东西。

但是，如果您在其他地方使用了相同的密码，则必须作为紧急事项进行更改。即使你认为NewsNow的消息“不直截了当”，你必须记住，对于很多人来说，这是他们愿意接受的挑战，而不是威慑。而且由于密码重用是如此常见，因此破解大量密码并在凭证填充攻击中使用它们的潜在好处是巨大的。

换句话说，不应低估这一事件。是的，我们不知道入侵者是否采取了任何措施，我们不知道密码散列（或加密）算法是什么。尽管如此，重用密码的人面临的威胁是非常真实的。正如我们几个月前发现的那样， 很多人会重复使用密码 。