A Month After Poshmark Confirmed a Data Breach, Private User Information Is Sold Online

Poshmark Data Breach

幾乎就在一個月前,北美在線服裝市場Poshmark宣布遭遇數據洩露。由於原因尚不清楚,該網站決定不透露有多少人受到影響,但正如有關此事件的新聞媒體指出,Poshmark擁有數千萬用戶,因此潛在影響從一開始就非常顯著。不幸的是,被盜數據庫的實際大小仍然未知。直到昨天,就是這樣。

上週,一個想通過他的電子郵件地址提交的人 - JimScott.Sec@protonmail.com--得到了從Poshmark竊取的數據,他決定與網絡安全傳奇人物Troy Hunt分享。 Hunt處理了這些信息並將其加載到他的HaveIBeenPwned數據洩露警報服務中。多虧了這一點,我們現在知道已經暴露了超過3600萬個賬戶。

很多人都受到了影響。但他們有多擔心?

黑客竊取了什麼?

Poshmark從一開始就熱衷於指出,網絡犯罪分子並沒有竊取任何與客戶實際地址相關的財務數據或信息。 該博客文章稱,除了公開可用的名稱和用戶名等信息之外,網絡犯罪分子還設法使用包含人員電子郵件和推送通知設置的內部數據庫。

到目前為止,這一點並不起眼,但Poshmark確實承認內部賬戶數據也已曝光。這包括人們的電子郵件地址,用戶ID,大小首選項,最重要的是,“每個用戶唯一加密的單向加密密碼”。然後零售商繼續解釋它已經使用了bcrypt - 少數幾種被認為足夠安全的散列算法用於存儲密碼 。儘管如此,Poshmark建議其用戶更改密碼以防萬一。

從表面上看,雖然3600萬Poshmark客戶應該留意垃圾郵件和網絡釣魚電子郵件,但恐慌情緒並不多。然而,週一出現了新的信息,這聽起來有點令人擔憂。

據稱黑客正在銷售破解的Poshmark密碼

在Troy Hunt宣布將Poshmark數據加載到HaveIBeenPwned之後,Bleeping Computer與JimScott.Sec@protonmail.com(順便提一下處理此類事件的經驗 )取得了聯繫,並詢問了幾個關於信息。這位神秘的人告訴安全新聞網站,他已經看到了完整的數據庫,其中包含了3600萬個賬戶,只需750美元即可在黑暗網站上換手. 然而,他還指出,他已經看到大約100萬破獲的Poshmark賬戶以更高的價格提供。如果這是真的,那麼黑客就會銷售完整的登錄憑證,這意味著他們已經設法檢索人們的明文密碼。

這是一個有趣的轉折,因為如果Poshmark的初始披露是真實的,那麼密碼就不應該是可檢索的。專家表示,bcrypt是一種適用於哈希密碼的算法,這是一個很好的理由。雖然理論上可能破解它,即使使用當今強大的硬件,但這樣做並不實際。這表明服裝零售商的實施不正確,或者黑客只是猜測他們銷售的100萬張Poshmark密碼。

無論如何,這些憑證在地下市場上交易的事實再一次強調了用強大的,唯一的密碼保護所有賬戶的重要性。

September 4, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 9是什麼?