It Was Confirmed: XKCD Users' Passwords Were Breached During a Data Breach

XKCD Webcomic Forum Data Breach

那些對數學,技術和信息安全感興趣的人可能聽說過Randall Munroe這個名字。他是XKCD webcomic的創造者,使用精彩的棒圖漫畫和健康的幽默來討論這些主題。使用XKCD,Munroe推廣了他的“ 正確的電影主義 ”理論,根據該理論,由四個隨機單詞組成的長密碼短語 比拼寫的字母,數字和特殊字符串更容易記憶和更安全。

星期五,網絡安全專家和Have I Been Pwned警報服務的創建者Troy Hunt 使用他龐大的Twitter跟隨試圖與Randall Munroe取得聯繫。他並沒有試圖解釋為什麼“正確的電影主義”理論可能在現實世界中不起作用。他剛才這樣做了 。 Hunt試圖告訴Munroe,屬於XKCD粉絲的信息已經曝光。

XKCD的論壇遭到破壞

Troy Hunt最初是由名叫Adam Davies的道德黑客聯繫的,他告訴他人們討論與XKCD相關的所有事情的論壇在幾個月前遭到破壞。最終,亨特設法與論壇的管理員取得聯繫,該管理員承認違規並採取措施解決問題。

電子郵件通知被發送給受影響的個人,論壇被脫機,並且它將保持關閉,而負責它的人試圖弄清楚究竟發生了什麼。與此同時,Troy Hunt收到了Adam Davies洩露的信息,並將其加載到他的數據洩露警報服務中,這意味著您可以在https://haveibeenpwned.com/上輸入您的電子郵件,看看您的帳戶是否已被盜用。

違規有多大?

XKCD是世界上最受歡迎的網絡漫畫之一,分析工具表明它每月訪問量達數百萬。鑑於此,論壇的違規行為似乎並不那麼糟糕。僅有不到562,000個帳戶受到影響,雖然數量仍然很大,但遠遠不及其他網站和應用程序每天洩漏的數十萬條記錄

除此之外,XKCD論壇可以免費使用,這意味著它不存儲任何財務信息. 根據目前在論壇上發布的聲明 ,確實暴露的數據包括註冊時的IP地址,用戶名,電子郵件和“鹽漬,散列密碼”。

可以安全地假設當論壇重新聯機時,受影響帳戶的密碼將被重置。然而,管理員正確地警告用戶,如果他們將XKCD密碼用於其他帳戶,他們應該作為緊急事項進行更改。並有充分的理由。

即使是最強的密碼也無法擊敗弱哈希算法

我們很確定你們中的一些人使用Randall Munroe的“correcthorsebatterystaple”系統,而其他人,比如Troy Hunt,則依賴於密碼生成器。無論您的立場是什麼,您的每個帳戶都必須使用強大的唯一密碼進行保護。不幸的是,有時甚至這還不夠。

XKCD的數據洩露通知顯示,黑客利用了論壇底層平台phpBB中的漏洞。漏洞存在這一事實表明並未安裝所有安全更新。密碼散列函數也指向過時的軟件。

根據Have I Been Pwned,密碼是用MD5進行的,正如我們很久以前提到的那樣,這是一個可悲的過時和不安全的哈希算法。實際上,它們也被醃製,這將使得檢索憑證變得更加困難,但即便如此,您的XKCD密碼受MD5保護這一事實意味著它應被視為已被妥協,並且永遠不應再次使用。

September 4, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
10 + 2是什麼?