LiveAuctioneers揭露了數百萬個密碼,電子郵件地址和電話號碼的數據洩露
上週六,在線平台LiveAuctioneers可以讓用戶參與到現實生活中的古董,藝術品和珠寶拍賣中,該公司宣布其一些客戶的個人數據可能已經遭到破壞。 通知很快指出該洩露事件發生在第三方數據處理合作夥伴處,並且LiveAuctioneers只是受影響的許多在線服務之一,但是我們無法想像這可以起到任何提振作用的作用。數據洩漏的人群。
Table of Contents
黑客在第三方違規後訪問LiveAuctioneers數據
數據洩露通知的最初版本聲稱,除其他外,黑客可能已經訪問了某些用戶信用卡的後四位數字。但是,7月12日的更新刪除了該信息。相反,經修改的通知指出,6月19日,黑客攻擊了LiveAuctioneers的數據處理合作夥伴,並獲得了用戶名,電子郵件和郵寄地址,電話號碼以及“加密密碼”的訪問權限。
網絡安全專家Graham Cluley 很好奇地發現LiveAuctioneers所說的“加密密碼”是什麼,他還想知道有多少人受到了影響,這就是為什麼他試圖與該公司聯繫並尋求更多信息。昨天,他得到了答案。不幸的是,它們不是來自LiveAuctioneers,而是來自網絡犯罪分子買賣被盜數據的黑客論壇。
黑客試圖出售受損的LiveAuctioneers數據
昨天,來自CloudSEK的研究人員宣布,他們的風險監控平台在一個清晰的網絡黑客論壇上檢測到340萬條LiveAuctioneers記錄被盜的廣告。該帖子的發布日期為7月10日,即平台宣布該漏洞的前一天,就像LiveAuctioneers所說的那樣,記錄中包含姓名,電子郵件和郵寄地址,在某些情況下還包含IP。但是,對於約300萬個帳戶,賣方還聲稱擁有破解的密碼。
廣告說,密碼是用MD5進行哈希處理的,正如Graham Cluley 指出的那樣 ,它在保護憑據方面“幾乎是無用的”,而事實上,黑客設法以不到5英鎊的價格檢索了大多數登錄數據。一個月應該足以證明算法的安全性有多嚴重。
可以公平地說,現在應該認為所有密碼都已經被洩露,但這是一件壞事嗎?
結果有多嚴重?
乍一看,您會認為該漏洞並不是什麼大問題,這是可以原諒的。 LiveAuctioneers的網絡安全團隊顯然知道他們沒有使用最安全的密碼存儲方法,並且當他們了解到該違規行為後,便立即禁用了所有競標者帳戶的最新密碼。不管喜歡與否,受到攻擊影響的用戶將需要更改LiveAuctioneers密碼。
但是,他們還必須確保任何其他網站或服務上都不會使用受損的登錄詳細信息。否則,黑客可以通過簡單的憑據填充攻擊輕鬆地接管其帳戶。不幸的是,對於LiveAuctioneers用戶而言,這只是問題之一。
別忘了LiveAuctioneers是一個平台,可以幫助銷售藝術品,古董,珠寶和其他昂貴商品。使用它的人有很多錢可以花,因此是進行複雜的魚叉式攻擊的理想目標。個人數據也不是免費提供的,這意味著無論購買者是誰,都可能會努力爭取投資回報。換句話說,LiveAuctioneers用戶必須比平時更加小心。
