【译】8个成人网站上泄露了120万私密用户数据

xiannv 2012天前

Wife Lovers底层的数据库被攻击 - 一个致力于发布关于妻子的裸体和情色的网站，将用户的私密信息和属于他们妻子的照片置于危险之中，总共暴露了超过120万个唯一的电子邮件地址和用户密码等私密信息。

数据泄露

在周末，人们发现Wife Lovers和七个姊妹成人网站数据遭泄露，这八个网站由于依赖的同一个98 MB的数据库遭到攻击而受到攻击。该数据库只是通过简单易破解，过时的哈希技术（称为DEScrypt算法）来保护用户信息。

其他网站：

asiansex4u.com
bbwsex4u.com
indiansex4u.com
nudeafrica.com
nudelatins.com
nudemen.com
wifeposter.com

违规信息包括：

电子邮件地址
发布ID
加密密码
用于在站点上注册的IP地址

wifelovers.com及其他七个数据泄露网站的所有者Robert Angelini周六早上告诉Ars，在他们经营的21年中，只有不到107,000人向他们发帖。他说他不知道这个近98兆字节的文件是为何包含超过用户数量12倍的电子邮件地址，目前尚不清楚所有电子邮件地址是否属于合法用户。

网站关闭

在收到黑客通知的三天后，Angelini终于确认了这次泄露并在周六早上取消了这些网站。他还在关闭的网站上发布通知，警告用户在其他地方更改密码，特别是如果他们在多个网站上重复使用密码：

当您在留言板上发帖时，您的电子邮件地址和发布ID已经显示在您的帖子中。因此，如果有人能够“破解加密发布密码的代码”，他们可能能够登录到您使用与我们网站上的发布ID或电子邮件地址相关联的相同密码的其他网站。

“我们不会再恢复网站，除非这个问题得到解决，即使这意味着我们永远关闭了网站，”Angelini在一封电子邮件中写道。“不管我们泄露的是29,312个密码，77,000个密码，还是120万个，或者介于两者之间的实际数字。正如您所看到的，我们开始鼓励用户在任何地方更改所有密码。“

密码破解 - DEScrypt算法

至于破解代码，它几乎是瞬间完成的。密码上使用的加密是毫无价值的：正如Ars Technica的Dan Goodin所描述的那样，这是一个四十年前的弱哈希方案，这种算法非常脆弱和过时，密码破解专家Jens Steube说只需要七分钟就可以识别并解密给定的哈希值。

哈希函数称为DEScrypt。创建于1979年，它基于旧的数据加密标准（DES）。Descrypt当时改进了其设计，使得哈希不易开裂。例如，它添加了加密盐以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代，以增加破解输出散列所需的时间和计算。但到了2018年的标准，Descrypt严重不足。它只提供12位盐，仅使用所选密码的前八个字符，并且受到其他更细微差别的限制。

泄露的数据可能被用来威胁用户及其配偶

无论真实账户的数量是多少，类似数据泄露的最近的事件可以追溯到2015年违反Ashley Madison约会服务的骗子。那次数据泄露暴露了100GB数据，3600万账户持有人的私密细节包括用户的街道地址，部分支付卡号码，电话号码和近1000万笔交易的记录。几周之内，受影响的用户收到来自不明身份者的电子邮件，威胁要通知其对配偶不忠，除非用户支付了巨额赎金，当时至少有两名成员自杀的报道。

然而，对暴露的数据库的快速检查展示了它可能造成的潜在损害。Goodin指出，网站的用户可以将其帐户公开链接到一个电子邮件地址，同时将不同的私人电子邮件地址与其帐户相关联。这可能导致不仅泄露用户的个人资料ID，还会泄露他们的身份：