NewsNow敦促所有用戶在數據洩露後立即更改密碼
英國新聞聚合機構NewsNow沒有使用任何官方渠道向全世界宣布這一消息,向其用戶發送了電子郵件通知,稱可能會更改一些密碼。安全專家特洛伊·亨特(Troy Hunt)週一首先分享了這條消息,有趣的是,它留下了一些未得到答复的問題。在媒體收到消息後,一位發言人確實對此事有所了解,雖然有些事情仍然未知,但我們現在總結一下事實。
究竟發生了什麼?
顯然,當NewsNow的IT人員注意到有人在他們的一些服務器上安裝了後門時,他們正在審查一些代碼。讓他們離線後,他們做了一些調查,並意識到侵入行為是通過一個狡猾的代碼系列實現的,這些代碼在NewsNow的基礎設施上停留了大約八年。代碼已修補,服務器已恢復,但不是在全新的身份驗證系統到位之前。
NewsNow決定完全取消密碼。現在,如果您想在新聞聚合網站登錄您的帳戶,請單擊登錄按鈕並輸入您的電子郵件地址。 NewsNow會向您發送一個登錄鏈接,顯然,要獲得它,您首先需要登錄到您的電子郵件。點擊鏈接後,您就會進入NewsNow帳戶。
NewsNow官員不能說是否有任何信息被洩露,但新的,相當繁瑣的認證機製表明他們要么懷疑最壞情況,要么謹慎。說到這一點,如果您曾在NewsNow註冊過賬戶,那麼您也應該非常小心。
潛在的受害者需要做什麼?
好消息是,NewsNow並沒有真正擁有那麼多用戶數據。例如,正如他們在違規通知中指出的那樣,沒有信用卡詳細信息可能被盜,因為沒有存儲信息。然而,存儲了密碼,雖然NewsNow並不熱衷於洩露太多細節,但通知稱密碼是“加密的”,這可能令人擔憂。
這不是第一次,數據洩露受害者說過這樣的事情,它可能意味著兩件事之一。也許這些密碼被散列和醃製(因為它們應該是這樣),但公司官員意識到,閱讀這封信的人很少會理解這意味著什麼,因此他們選擇了一個不太準確但更常見的術語。另一種選擇是密碼沒有正確存儲 。
不幸的是,第二種情況更有可能發生。電子郵件說“ 破解 ”密碼並不是 “ 直截了當 ”,因為NewsNow不存儲任何敏感的個人信息,所以沒有人會打擾甚至試圖破解(可能)被竊取的數據。
NewsNow可能低估了一些黑客的空閒時間和決心。然而,更糟糕的是,在沒有共享任何技術細節的情況下,它們意味著可以從存儲在後端服務器上的數據中恢復明文密碼。而且因為我們不知道何時安裝了後門,所以在NewsNow上使用過的任何密碼都必須被視為已洩密。
顯然,如果您在所有網站上使用唯一密碼,這不是一個真正的問題. NewsNow的新身份驗證機制意味著舊密碼根本不起作用。即使他們這樣做了,黑客也無法從你的賬戶中竊取太多東西。
但是,如果您在其他地方使用了相同的密碼,則必須作為緊急事項進行更改。即使你認為NewsNow的消息“不直截了當”,你必須記住,對於很多人來說,這是他們願意接受的挑戰,而不是威懾。而且由於密碼重用是如此常見,因此破解大量密碼並在憑證填充攻擊中使用它們的潛在好處是巨大的。
換句話說,不應低估這一事件。是的,我們不知道入侵者是否採取了任何措施,我們不知道密碼散列(或加密)算法是什麼。儘管如此,重用密碼的人面臨的威脅是非常真實的。正如我們幾個月前發現的那樣, 很多人會重複使用密碼 。