在淫穢網站的黑客中暴露用戶的密碼

Eight Pornographic Websites Hacked

假設您玩的中等熱門在線遊戲遭到黑客入侵。您使用的個人電子郵件地址主要用於垃圾郵件。除此之外,黑客竊取您的家庭IP地址,您在玩遊戲時使用的暱稱,並且他們也可以獲得遊戲開發者存儲的密碼。

如果您的網絡配置正確,黑客無法對您的IP做太多工作,並且因為開發人員是一個負責任的組織,認真對待安全性,您的密碼在存儲之前會被正確加密和散列,這意味著騙子無法恢復它。結果是,雖然您可能會看到洩露的電子郵件地址中收到的垃圾郵件數量有所增加,但您不太可能遭受任何其他後果。

雖然看似合理,但這種情況已經彌補。不幸的是,下一個不是。

8個成人網站洩露了超過120萬條記錄

上週,HaveIBeenPwned數據洩露通知服務的運營商和全力以赴的信息安全傳奇人物Troy Hunt獲得了一個包含120萬條記錄的98MB文件。經過進一步調查,他發現該數據庫由八個獨立的成人網站共享 - wifelovers [。] com,wifeposter [。] com,asiansex4u [。] com,indiansex4u [。] com,bbwsex4u [。] com,nudemen [ 。] com,nudelatins [。] com,nudeafrica [。] com。數據轉儲包括名稱,用戶名,電子郵件和IP地址以及散列密碼。

這些不僅僅是普通的色情網站。其中一些顯然是用戶發布配偶親密照片的平台。沒有人知道上述配偶是否同意將他們的照片與世界分享,這意味著如果他們發現發生的事情他們可能會非常沮喪。

成人網站公開您的數據總是令人尷尬,但這並不一定會破壞您的婚姻。在這種情況下,它可能很好。不幸的是,這不是唯一的壞消息。

可憐的密碼存儲錯誤

Wifelovers [。] com,這個遭受攻擊的主要網站是在二十多年前推出的,但即使按照當時的標準,也沒有很好地保護用戶的密碼。在接下來的二十年裡,沒有任何改變。使用稱為Descrypt的算法對密碼進行哈希處理。 Descrypt基於舊的數據加密標準,它創建於1979年。即使在1997年,使用這種古老的算法保護密碼被認為是一個壞主意。 Descrypt確實比MD5略勝一籌,並且它會自動對密碼進行加密。但是,鹽太小,並且不允許用戶創建長度超過八個字符的密碼。因此,現代硬件可以在幾秒鐘內使用Descrypt恢復密碼。

因此,在他們被告知洩漏後(並非沒有Ars Technica的幫助),受攻擊網站的所有者將他們的服務脫機並發布了違規通知,敦促所有用戶在任何地方使用密碼時更改密碼其他。

您可以看到不同的數據洩露會產生不同的後果。 Wifelovers的成員發生的事情幾乎和它一樣糟糕,它確實表明你永遠無法確定你的數據何時何地被洩露。

April 30, 2019

發表評論