据KrebsOnSecurity得到的消息称,今年约会服务网站Cupid Media(国外的)被入侵,泄漏了超过4200万条记录,包括姓名,邮箱,没加密的密码和生日。
存放Cupid Media数据的服务器非常”有名”,hacker从同一台服务器上获取了Adobe,PR Newswire和National White Collar Crime Center和其他网站数以亿计的记录.
被窃取的数据库中有超过4200万的记录,这些记录的格式是下面这样的.我是11月8号接触到Cupid Media的.
8天后,我从这个公司总经理Andrew Bolton那儿听到一些消息.Bolton说这次的信息泄漏应该和2013年一月份的一次入侵有关系.
“在一月份的时候,我们在公司的网络上检测到一些可疑的活动,并且根据当时我们掌握的信息,我们采取了一些我们觉得合适的措施.我们通知了受影响的用户,并且为一些特殊的用户重置了密码,”Bolton说,”现在我们正在确认受影响的用户是否重置了密码和收到邮件通知没”.
无论是在媒体还是什么地方,我也没找到任何关于他说的”2013年一月份的入侵”的报道.当我告知Bolton我接触的用户都说自己的明文密码被公开在上面的目录中时,Bolton却告诉我我可能已经”非法接触”公司用户.他还提到”上面那份公开的记录中大部分的记录都失效了,很多用户帐号早已经就没有使用或者被删除了”.
“在这次信息泄漏时间中实际上受影响的用户数量应该比你说的4200万要少得多”,Bolton说到.
Cupid Media公司的网站和Twitter上声明Cupid Media在全球有超过3000万的用户.不幸的是,很多公司都有把失效用户的信息也存放起来的习惯.
Alex Holden是 Hold Security LLC公司的首席安全工程师,他说Bolton的声明让他响起软件巨头公司Adobe.Ad
在那次Adobe被入侵的事件中,超过15000万人的eamil和密码被泄漏,但Adobe说目前他们只需要通知3800万的用户就行,因为其他的用户都是早就不存在的.
“Adobe说他们有3800万的用户,却泄漏了15000万人的信息”,Holdent说,”这个就涉及到公司的安全观了,要看公司是怎么区分用户和相信公司而愿意把信息存放在他们公司服务器上的个人了”.
这种大规模的入侵带来的问题是由于很多人都是在不同网站上用的都是一个一样的密码,这样获得了一个密码和eamil就可能获得很多个人信息.在这点上,Facebook做的很好,他通知那些Adobe的用户修改他们的Facebook帐号密码,降低了Adobe数据泄漏带来的影响.
3400万Cupid用户用Yahoo,Hotmail或者Gmail邮箱注册.56个本地安全公司的雇员也在这里寻找真爱.
Holden还说Cupid Media的数据库对于很多发垃圾邮件的人是个金矿.Cupid的用户对于那些垃圾邮件特别是打广告的邮件要比一般人要重视的多.想一下,那种伟哥,约会服务,和减肥药的广告投放到他们的邮箱中,会发生什么?
Bolton后来在他的邮件中语气要缓和的多,他表示公司没有完全理解这次入侵带来的后果.
“因为你提供了很多信息,我们现在已经清楚地知道了一月的入侵使我们失去了什么”,Bolton写道,”我们现在正在再次确认受影响的用户是否已经重置密码,并且是否收到我们的邮件通知”.
Bolton还写道:
在一月份被入侵之后,我们聘请了外面的安全团队完成一次大范围的安全加固.我们将密码已经哈希和加盐处理过了,我们还提示用户使用强密码,并且我们还做了一些其他的安全措施.
我们想要感谢你让我们重视到了这个问题,我肯定我们有责任深入调查这次入侵并且做任何有必要的改进。保护用户的隐私和数据对我们来说非常重要,我们会继续加强安全措施.我们真诚地对这次事件对用户带来的不变感到歉意.
看样子Cupid公司不会再明文储存密码了.至少Cupid Media不会在你要求重置密码的时候明文发送密码,而很多大公司却还是明文发送.在2011年二月的时候,有一件事情引起广泛关注.这件事是关于pof.com网站3000万用户的数据被曝光,pof也是一个约会服务公司,而且它也承认明文存储用户密码.
尽管我不会crack任何密码,但是我觉得看一下Cupid Media用户的常用密码还是可以的.看起来Cupid用户对密码并不是很重视,因为很大一部分用户用了超级弱的弱口令.根据我的统计,超过十分之一的Cupid用户用了下面是个密码:
排名前十的非数字密码,这组密码很可能被很多约会网站的会员使用哟.
