Imperva數據洩露中暴露了密碼混亂

有時不幸的事件會迫使我們學習新知識。畢竟，我們不是都從錯誤中學習嗎？今天，我們可以從Imperva的錯誤中學習。

Imperva是一家網絡安全軟件公司，總部位於加利福尼亞州紅木海岸。該公司為客戶提供企業數據保護。客戶從Imperva購買Internet防火牆服務，以防止網絡攻擊和其他惡意網絡活動。

不幸的是，Imperva 宣布它在八月份經歷了一次數據洩露，並且這種數據洩露已經影響了成千上萬的客戶。根據該報告，在此漏洞期間暴露了API密鑰，電子郵件地址，SSL證書和多個加擾密碼。

關於此數據洩露，有多個方面可以討論，尤其是當我們考慮到一家擁有網絡安全的DEALS公司受到影響的事實時。但是，這次，我們將向您簡要介紹此問題，然後重點介紹同樣暴露出來的密碼混亂。您是否想過密碼是什麼？

Imperva怎麼了？

如前所述，Imperva經歷了一次數據洩露，使客戶的數據暴露給了黑客。似乎整個事件都是疏忽的結果，因為可以從Internet訪問內部系統。可從Internet訪問的系統存儲了Imperva的AWS API密鑰的副本。

現在，那是什麼？ AWS指的是Amazon Web Services，這是專門提供雲計算平台的Amazon子公司。 API密鑰表示應用程序編程接口（API）密鑰。它是唯一的標識符，它允許系統對試圖訪問API的用戶或程序進行身份驗證。反過來，API是客戶端和服務器之間的通信協議。它可以是基於雲平台，操作系統，硬件等的系統。因此，隨著API密鑰被盜，黑客可以從外部訪問Imperva的系統。

網絡安全記者認為，Imperva 最初並不了解數據洩露 ，幾個月後他們得知黑客下載了其數據庫快照的副本，該副本用於評估其云平台上的關係數據庫服務（RDS）。這意味著什麼？這意味著黑客可以竊取快照中的數據，並且在快照創建後創建的數據不受漏洞影響。

總而言之，該公司沒有明確說明有多少客戶受到數據洩露的影響。但是，在通知受影響的客戶之後，更改並輪換了超過13,000個密碼和13,000個SSL證書。因此，很容易或多或少地掌握事件的範圍。

什麼是加密碼？

由於我們已經完成了對漏洞的總體概述，因此我們可以仔細研究一下暴露和洩漏的數據類型之一。我們在這裡談論的是密碼混亂。當您聽到“加擾”一詞時，您可能會想到流行的在線遊戲或加擾的雞蛋，但確實，我們也可以加擾密碼。

密碼加擾是安全存儲密碼並增強密碼強度的方法之一. 例如， Cyclonis密碼管理器還使用密碼加擾功能將其客戶密碼存儲在其保管庫中。對於密碼管理器，它使用加密來擾亂保存的密碼。但是，還有其他保護密碼的方法，有關Imperva數據洩露的信息表明，公開的加擾密碼是經過哈希處理和添加鹽分的。

這到底是什麼意思？好吧，您可能知道，如果您擁有解密密鑰，則可以在加密後對某些內容進行解密。另一方面，散列意味著數據一旦被加密就無法解碼。另外，無論您要散列哪種數據字符串，輸出的長度始終是固定的。也就是說，無論您要爭奪我愛的蘋果還是討厭下雨，請走開 ，最終輸出的長度將是相同的（如果您使用相同的算法對其進行哈希處理）。

由於哈希不能反過來工作，但是使用相同的算法對字符串進行加擾會產生相同的輸出，因此可以將其用於檢查和驗證訪問。例如，如果數據庫存儲了散列密碼，並且有人輸入了試圖進入數據庫的純文本密碼，則係統需要應用相同的算法對純文本密碼進行散列。如果哈希值與數據庫中存儲的值匹配，則將授予身份驗證。破解散列密碼也確實很困難，並且唯一的方法是強制執行。

如果加鹽醃就更難破解了。在網絡安全中，鹽是指添加到密碼中的隨機數據值。用戶看不到該值，但是該值附加在計算機系統中的密碼上，以提供更好的安全性。換句話說，您的密碼不會以純文本形式保存，因為這將完全導致嚴重的數據洩露。

在系統內，鹽值是隨機生成的。它被添加到純文本密碼中，然後通常對整個字符串進行哈希處理（如上所述）。對相同的密碼使用不同的salt值會導致完全不同的哈希值，因此在密碼上撒上salt（象徵性地講）會使它們更強。

以此為基礎，我們可以假設，只有在黑客擁有暴力破解密碼的手段時，竊取密碼密碼才可能是有利可圖的。當然，這種可能性始終存在，這就是Imperva敦促其客戶更改其密碼的原因。但是，也可以說竊取加密密碼實際上與竊取沒有密鑰的保險箱相同。它不會改變數據洩露的事實，但是至少那裡有一線希望。