黑客入侵Mixcloud並在線出售用戶數據

黑客破壞在線服務或網站後，通常會嘗試通過在黑暗的網絡上或在Google索引並易於訪問的許多黑客論壇之一上出售所竊取的數據來獲利。考慮到個人信息的價值，通常將數據出售給其他犯罪分子並不是什麼大挑戰。但是，顯然，竊取的數據庫有時更難轉移。例如，一個暱稱為A_W_S的黑客可能很難賣掉他/她從Mixcloud流服務中偷來的數據庫，這就是為什麼他們決定通過吹噓對媒體的攻擊來聲名狼藉。

上週，A_W_S與TechCrunch的Zack Whittaker ， Motherboard的Joseph Cox和ZDNet的Catalin Cimpanu保持聯繫，並告訴他們Mixcloud遭受了數據洩露。 A_W_S說，他/她單手設法竊取了多達2100萬訂戶的記錄，並且該數據在一個黑暗的網絡市場上出售。

A_W_S實際上不是這種事情的新手。據ZDNet的記者稱，他們與另一名稱為Gnosticplayers的網絡罪犯一起工作，他們在今年年初受到幾次相對高調的攻擊後，對媒體關注的熱愛就顯而易見了。但是Mixcloud的違規行為如何與Gnosticplayers的活動相疊加？

不是世界上最可怕的漏洞

這三個新聞機構都收到了數據樣本，以確認其真實性。記者在數據庫中看到了用戶名，電子郵件和IP地址，帳戶註冊日期以及人們密碼的哈希值。他們與一些受影響的人取得了聯繫，並嘗試通過一些電子郵件註冊新的Mixcloud帳戶，他們確認該信息確實是真實的。進行某些註冊的日期表明，該攻擊是在幾週前才開始的。因此，數據是真實的，並且很有可能是有效的。那麼，好事很多，這是一件好事。

在得知該漏洞後，Mixcloud指出它不存儲任何信用卡詳細信息或實際地址。它還說，它的大多數用戶已經使用他們的Facebook帳戶註冊了該服務，這本身就在一定程度上限制了公開數據的數量。更重要的是，流媒體服務提供商表示，被盜的密碼已經過安全加密和哈希處理，新聞媒體對此進行了確認。 Mixcloud使用SHA-2 –一種幾乎不可能逆轉的哈希算法。

結果，為數據庫付費的騙子實際上並不會從他們的錢中得到很多，這可能就是為什麼數據沒有引起如此多關注的原因。當TechCrunch和Motherboard在11月29日寫出關於該漏洞的信息時，A_W_S索要0.5比特幣或4,000美元，但到ZDNet的報告於12月1日發佈時，價格已降至0.27比特幣或約2,000美元。

不是世界上最好的回應

在媒體首次報導之前，Mixcloud顯然對這一漏洞一無所知。消息傳出後約24小時，流媒體服務提供商提出了Zack Whittaker相當準確地描述為“樣板公司聲明”的內容。除了不可避免的“我們非常重視安全性”聲明外， 該博客文章還包含有關密碼存儲機制以及公開的相對有限數據量的信息。它不包含受此漏洞影響的人數，也沒有透露為將來更好地保護他們而採取的預防措施。考慮到據稱有超過2000萬條記錄被盜的事實，決定僅包含兩個問題的FAQ部分也很奇怪。

當記者要求進一步評論時，Mixcloud的發言人保持沉默，這再次證明了流媒體服務提供商的披露可能會更加透明。我們只能希望遭受數據洩露的其他供應商能夠更好地處理它們。