8個成人網站暴露大量使用者隱私,快檢查下你的收藏夾
每年全球範圍內,曝光過的以及多數不為人所知的資料洩露事件不知道有多少,聽到、見到、遇到的多了也就麻木了。但成人網站的資料洩露事件每每卻能引起人們注意,假如你的個人資訊從這些渠道洩漏出去了,意味著什麼就不用多說了吧,就好像你不想讓人知道你和誰在酒店開過房,類似的道理。
8個成人網站資料洩露,關閉網站安全升級
而最近,有多達8個成人網站的暴露了98MB檔案,其中包含使用者IP、加密密碼、名稱以及120萬個郵件地址,鑑於成人網站的特殊性,還不能確定有多少是真實使用者。這8個網站網址分別如下:
wifelovers.com asiansex4u.com bbwsex4u.com indiansex4u.com nudeafrica.com nudelatins.com nudemen.com wifeposter.com
值得注意的是,這8個網站的歸屬者都是同一個人 Robert Angelini,這些網站安全性都比較差,甚至還在採用四十年前的加密方案來保護使用者密碼。同時,在網站的留言板上,有不少使用者分享圖片等私密資訊,甚至還聲稱是自己的配偶,至於是否屬實以及是否經過本人同意均無法斷定,這本身對使用者隱私是比較大的傷害。
涉事網站之一,關閉前的截圖
在收到黑客通知的三天後,Angelini 確認了這些資訊洩露行為以及網站存在的安全問題,並關掉了所有的網站。Angelini 迴應洩漏檔案包含的內容稱,在其經營這些網站的21年裡,只有107000人在網站發帖,他不清楚為何洩漏檔案會包含超過這個數字近12倍數量的電子郵件。
截止筆者發稿之時,這8個網站仍處於關閉狀態,全部掛上同一個安全升級公告頁面,公開這次資料洩露的詳細資訊,並建議使用者修改自己其它賬戶密碼,尤其是使用與這些網站賬戶相同密碼的使用者。
其實,這次資料洩露的內容影響程度還是比較有限,並不涉及信用卡、手機號等重要的資訊,但僅憑洩露出來的電子郵件地址,的確能搜尋關聯到一註冊的Instagram、亞馬遜、Facebook等大型網站賬戶,如果繼續深入查詢還是能夠鎖定到使用者的真實身份的。尤其是,在留言板上上傳的圖片也可能對本人造成很大傷害。
網站竟然採用有40年曆史的加密演算法
另外,網站本身的安全問題也是令人震驚。網站的密碼資料採用一種雜湊演算法的保護,該演算法非常脆弱和過時,以至於密碼破解專家Jens Steube只花了7分鐘就識別出了雜湊方案,並破譯了給定的雜湊。
這種雜湊演算法被稱為Descrypt,創建於1979年,基於舊的資料加密標準。Descrypt 提供了當時設計的改進,使 Hash 不太容易被破解。例如,它使用了加鹽的方式,以防止相同的明文輸入具有相同的雜湊。它還對明文輸入進行多次迭代,以增加破解輸出雜湊所需的時間和計算。但以2018年的標準來看,Descrypt 的演算法早已經不夠用了。它只提供12位鹽,僅使用所選密碼的前八個字元,導致幾乎不能夠使用強密碼。
根據密碼安全專家的說法,這種演算法早在20年前就已經被淘汰,目前已經出現了多種更好的加密方案,Descrypt 本就不應該繼續採用。
Angelini 表示已經積極與安全研究人員合作,來解決網站的安全性問題,在問題沒有完全修復好之前,這8個網站將不會上線。
突然發現,萬惡的小編間接的給各位宅男提供資源……儘管現在不可訪問。
*本文作者:Andy.i,轉載請註明來自FreeBuf.COM