每年全球范围内,曝光过的以及多数不为人所知的数据泄露事件不知道有多少,听到、见到、遇到的多了也就麻木了。但成人网站的数据泄露事件每每却能引起人们注意,假如你的个人信息从这些渠道泄漏出去了,意味着什么就不用多说了吧,就好像你不想让人知道你和谁在酒店开过房,类似的道理。
8个成人网站数据泄露,关闭网站安全升级
而最近,有多达8个成人网站的暴露了98mb文件,其中包含用户ip、加密密码、名称以及120万个邮件地址,鉴于成人网站的特殊性,还不能确定有多少是真实用户。这8个网站网址分别如下:
wifelovers.com
asiansex4u.com
bbwsex4u.com
indiansex4u.com
nudeafrica.com
nudelatins.com
nudemen.com
wifeposter.com
值得注意的是,这8个网站的归属者都是同一个人 robert angelini,这些网站安全性都比较差,甚至还在采用四十年前的加密方案来保护用户密码。同时,在网站的留言板上,有不少用户分享图片等私密信息,甚至还声称是自己的配偶,至于是否属实以及是否经过本人同意均无法断定,这本身对用户隐私是比较大的伤害。
涉事网站之一,关闭前的截图
在收到黑客通知的三天后,angelini 确认了这些信息泄露行为以及网站存在的安全问题,并关掉了所有的网站。angelini 回应泄漏文件包含的内容称,在其经营这些网站的21年里,只有107000人在网站发帖,他不清楚为何泄漏文件会包含超过这个数字近12倍数量的电子邮件。
截止笔者发稿之时,这8个网站仍处于关闭状态,全部挂上同一个安全升级公告页面,公开这次数据泄露的详细信息,并建议用户修改自己其它账户密码,尤其是使用与这些网站账户相同密码的用户。
其实,这次数据泄露的内容影响程度还是比较有限,并不涉及信用卡、手机号等重要的信息,但仅凭泄露出来的电子邮件地址,的确能搜索关联到一注册的instagram、亚马逊、facebook等大型网站账户,如果继续深入查找还是能够锁定到用户的真实身份的。尤其是,在留言板上上传的图片也可能对本人造成很大伤害。
网站竟然采用有40年历史的加密算法
另外,网站本身的安全问题也是令人震惊。网站的密码数据采用一种散列算法的保护,该算法非常脆弱和过时,以至于密码破解专家jens steube只花了7分钟就识别出了散列方案,并破译了给定的散列。
这种散列算法被称为descrypt,创建于1979年,基于旧的数据加密标准。descrypt 提供了当时设计的改进,使 hash 不太容易被破解。例如,它使用了加盐的方式,以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代,以增加破解输出散列所需的时间和计算。但以2018年的标准来看,descrypt 的算法早已经不够用了。它只提供12位盐,仅使用所选密码的前八个字符,导致几乎不能够使用强密码。
根据密码安全专家的说法,这种算法早在20年前就已经被淘汰,目前已经出现了多种更好的加密方案,descrypt 本就不应该继续采用。
angelini 表示已经积极与安全研究人员合作,来解决网站的安全性问题,在问题没有完全修复好之前,这8个网站将不会上线。假如这些网站恰好存在你的收藏夹里,那么你应该知道该做什么了……
突然发现,万恶的小编间接的给各位宅男提供资源……尽管现在不可访问。
*本文作者:andy.i,转载请注明来自freebuf.com
试用申请