【译】8个成人网站上泄露了120万私密用户数据

xiannv  25天前

Wife Lovers底层的数据库被攻击 - 一个致力于发布关于妻子的裸体和情色的网站,将用户的私密信息和属于他们妻子的照片置于危险之中,总共暴露了超过120万个唯一的电子邮件地址和用户密码等私密信息。

图片.png

数据泄露

在周末,人们发现Wife Lovers和七个姊妹成人网站数据遭泄露,这八个网站由于依赖的同一个98 MB的数据库遭到攻击而受到攻击。该数据库只是通过简单易破解,过时的哈希技术(称为DEScrypt算法)来保护用户信息。

其他网站:

  • asiansex4u.com
  • bbwsex4u.com
  • indiansex4u.com
  • nudeafrica.com
  • nudelatins.com
  • nudemen.com
  • wifeposter.com

违规信息包括:

  • 电子邮件地址
  • 发布ID
  • 加密密码
  • 用于在站点上注册的IP地址

wifelovers.com及其他七个数据泄露网站的所有者Robert Angelini周六早上告诉Ars,在他们经营的21年中,只有不到107,000人向他们发帖。他说他不知道这个近98兆字节的文件是为何包含超过用户数量12倍的电子邮件地址,目前尚不清楚所有电子邮件地址是否属于合法用户

网站关闭

在收到黑客通知的三天后,Angelini终于确认了这次泄露并在周六早上取消了这些网站。他还在关闭的网站上发布通知,警告用户在其他地方更改密码,特别是如果他们在多个网站上重复使用密码:

当您在留言板上发帖时,您的电子邮件地址和发布ID已经显示在您的帖子中。因此,如果有人能够“破解加密发布密码的代码”,他们可能能够登录到您使用与我们网站上的发布ID或电子邮件地址相关联的相同密码的其他网站。

“我们不会再恢复网站,除非这个问题得到解决,即使这意味着我们永远关闭了网站,”Angelini在一封电子邮件中写道。“不管我们泄露的是29,312个密码,77,000个密码,还是120万个,或者介于两者之间的实际数字。正如您所看到的,我们开始鼓励用户在任何地方更改所有密码。“

密码破解 - DEScrypt算法

至于破解代码,它几乎是瞬间完成的。密码上使用的加密是毫无价值的:正如Ars Technica的Dan Goodin所描述的那样,这是一个四十年前的弱哈希方案,这种算法非常脆弱和过时,密码破解专家Jens Steube说只需要七分钟就可以识别并解密给定的哈希值。

哈希函数称为DEScrypt。创建于1979年,它基于旧的数据加密标准(DES)Descrypt当时改进了其设计,使得哈希不易开裂。例如,它添加了加密盐以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代,以增加破解输出散列所需的时间和计算。但到了2018年的标准,Descrypt严重不足。它只提供12位盐,仅使用所选密码的前八个字符,并且受到其他更细微差别的限制。

泄露的数据可能被用来威胁用户及其配偶

无论真实账户的数量是多少,类似数据泄露的最近的事件可以追溯到2015年违反Ashley Madison约会服务的骗子。那次数据泄露暴露了100GB数据,3600万账户持有人的私密细节包括用户的街道地址,部分支付卡号码,电话号码和近1000万笔交易的记录。几周之内,受影响的用户收到来自不明身份者的电子邮件,威胁要通知其对配偶不忠,除非用户支付了巨额赎金,当时至少有两名成员自杀的报道。

然而,对暴露的数据库的快速检查展示了它可能造成的潜在损害。Goodin指出,网站的用户可以将其帐户公开链接到一个电子邮件地址,同时将不同的私人电子邮件地址与其帐户相关联。这可能导致不仅泄露用户的个人资料ID,还会泄露他们的身份:

通过网络搜索其中一些私人电子邮件地址,可快速返回Instagram,亚马逊和其他大型网站上的帐户,这些帐户提供了用户的姓名,地理位置以及有关爱好,家庭成员和其他个人详细信息的信息。用户提供的名称不是他的真实姓名,但它确实匹配了他在其他六个网站上公开使用的用户名。

经营Have I Been Pwned网站的Troy Hunt 曝光了泄露事件然而,考虑到曝光的敏感性,他将记录标记为敏感,这意味着他不会像他的惯用做法提供可用于搜索的公开电子邮件地址。

这些网站提供各种各样的图片,成员们说这些图片显示为他们的配偶,但目前还不清楚这些照片是用户的配偶还是其他人的妻子,也不清楚所有受影响的配偶是否同意在网上提供他们亲密的照片。

“这个事件是一个巨大的隐私侵犯行为,对于像这样的人来说,如果他(或者,我认为,如果他的妻子发现了),这可能是毁灭性的。” Troy Hunt说。

这与对待Ashley Madison的态度相同:可能导致勒索威胁和多起相关自杀事件的泄露行为。

◆来源:https://nakedsecurity.sophos.com/2018/10/23/adult-websites-shuttered-after-1-2-million-user-details-exposed/

             https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号