游戏网站Gamigo泄露800万个电子邮件地址和密码

Laowang  1827天前

66.jpg

以下是Gamigo的声明。

称之为缓慢泄漏。据数据泄露警报服务PwnedList显示,在游戏网站Gamigo警告用户有黑客入侵进入其部分用户凭据4个月后,该网站已经发布了800多万个用户名、电子邮件和加密密码。半千兆字节的用户数据被窃取,本月早些时候被发布到Pro内部的密码破解论坛上,直到上周晚些时候才上线。

PwnedList的创始人Steve Thomas在从网上删除之前下载了这个文件,并与我分享了它,我可以确认它似乎是一个巨大的用户电子邮件列表,密码被加密散列所掩盖。

“这是我见过的最大规模的泄密事件,”托马斯说,他的初创公司试图跟踪数据泄露,并在用户信息发布时向用户发出警报当这个漏洞最初发生时,数据并没有被公布,所以这不是一个大问题。现在,800万个电子邮件地址和密码已经在线,任何黑客都可以看到实时数据。”

Gamigo用户可以在PwnedList的网站上查看他们的电子邮件地址是否包含在泄漏中。

虽然密码最初不是以可读的形式发布的,但它们仍然可能受到危害。半小时内,Inside Pro forum线程中的另一个用户回复了该文件的帖子,并显示消息“found 94%”,这意味着密码可能很容易从其散列形式中导出。

德国出版公司Axel Springer AG旗下的免费游戏网站Gamigo在今年3月宣布遭到黑客攻击后,强迫所有用户更改密码,因此暴露的密码可能不会让任何人访问Gamigo.com本身的用户帐户。但考虑到用户经常在网站之间重复使用密码,被破解的密码可能会提供对电子邮件或银行网站上更敏感账户的访问。在Gamigo.com 3月份被攻破之前,任何与Gamigo有过账户的人都应该确保在使用Gamigo.com上相同凭据的任何账户上更改密码。

根据PwnedList的分析,泄露的数据包括300万个美国账户,包括Hotmail、Gmail和Yahoo!邮件地址,240万德国账户,130万法国账户。该公司发现了数十个来自IBM、安联、西门子、德意志银行和埃克森美孚等公司的电子邮件地址。

尽管将文件发布到InsidePro的用户统计了1100万个散列密码,但PwnedList的托马斯说,他在文件中只找到了8244o00个唯一的电子邮件地址。超过5000个电子邮件地址中包括“gamigo”一词,这是一个专门为gamigo注册而创建的标志,有力证明被盗的数据库实际上是从gamigo的服务器上获取的。

3月初,Gamigo警告用户,它的“数据库在过去几天受到攻击”,“入侵者设法获取(化名)用户名和加密的Gamigo用户密码。”其中几百个证书被张贴在Gamigo论坛上。

“我们不能排除入侵者仍然拥有额外的个人数据,尽管到目前为止我们还没有收到任何欺诈性使用的报告,”阅读消息为了防止未经授权访问您的帐户,我们已重置gamigo帐户系统和所有gamigo游戏的所有密码!”

我已经联系了Gamigo征求意见,当我收到回复时,我会添加公司的任何更新。

最新消息:Gamigo在一份声明中回应称,虽然它在3月份确实遭遇了一次破解,但它并没有确认所有800万个密码实际上都是从Gamigo那里获取的,而且据它所知,“公布的记录中没有新的数据。”

其声明继续:

当时立即采取了一切必要措施,尽量减少袭击的影响。这包括通知所有受影响的用户、重置密码、使被黑客攻击的数据库脱机、彻底审查公司的IT安全政策、从互联网上删除公司的部分产品、通知相关民事当局以及澄清

随之而来的法律问题。

重新公布被盗数据强烈提醒人们,必须保持警惕,并不断对我们的程序和政策进行严格审查。

PwnedList的史蒂夫托马斯(Steve Thomas)说,他相信Gamigo并没有不负责任地应对这一漏洞,尽管他没有警告用户更改他们在其他账户中重复使用的任何密码。但他强调,确实重复使用密码的用户现在应该采取行动,立即更改密码。”现在这些详细信息已经公布,我们可以期待更多的账户被接管或恶意使用,”他说。

◆来源:CNET. CBS Interactive

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论