1
本文作者: 張丹 | 2016-05-31 17:41 |
繼領(lǐng)英1.67億用戶用數(shù)據(jù)被爆泄漏后,著名付費(fèi)黑客數(shù)據(jù)搜索引擎LeakedSource發(fā)表博文稱Myspace也被黑,近4.3億用戶數(shù)據(jù)被泄漏,并已獲得數(shù)據(jù)副本,可在他們的網(wǎng)站上進(jìn)行查詢。
目前,Myspace官方還未證實(shí)這一消息的可靠性,但如果情況屬實(shí),這將是史上最大規(guī)模的密碼泄露事件。外媒調(diào)侃道,這個(gè)世界上只有兩種公司,一種是被黑過(guò)的公司,一種是被黑了也不知情的公司。顯然,Myspace屬于第二種。
雖然Myspace現(xiàn)在的用戶量遠(yuǎn)不及Facebook,但仍是世界上最受歡迎的英文網(wǎng)站之一,曾有數(shù)據(jù)顯示,每個(gè)注冊(cè)用戶的平均瀏覽頁(yè)面數(shù)高達(dá)30以上,具有很高的用戶粘性,這次被泄露的數(shù)據(jù)包括用戶名、郵箱地址以及一級(jí)密碼與二級(jí)密碼。
與領(lǐng)英相同,這次事件的“幕后黑手”仍是“Peace_of_mind”, 他已經(jīng)將獲取的信息掛在暗網(wǎng)黑市上售賣,價(jià)格高達(dá)6比特幣。據(jù)LeakedSource 發(fā)表的博文稱,他們是通過(guò)即時(shí)通訊服務(wù)器Jabber上的匿名用戶Tessa88@exploit.im獲取的資料,由此可以得知,Myspace被泄露的的數(shù)據(jù)已被多個(gè)黑客掌握。除此之外,LeakedSource還在博文中提到,這些泄露的數(shù)據(jù)和領(lǐng)英一樣,也是以“SHA-1”的哈希加密的方式存儲(chǔ)的,也同樣沒(méi)有“加鹽”,可以輕而易舉地被破解。
然而不僅是國(guó)外,國(guó)內(nèi)的許多社交網(wǎng)站如新浪微博、天涯、人人網(wǎng)等也曾遭黑客侵入,大量用戶信息遭泄露,不僅涉及個(gè)人隱私,還被用于傳播惡意病毒軟件,網(wǎng)站、個(gè)人用戶以及企業(yè)都有可能成為這類病毒軟件的受害者。
據(jù)雷鋒網(wǎng)了解,社交網(wǎng)站較容易存在的安全隱患主要有兩類:一類是蠕蟲(chóng)攻擊,另一類是由于社交網(wǎng)站并未恰當(dāng)使用Cookies,而導(dǎo)致發(fā)動(dòng)跨站請(qǐng)求偽造攻擊。Myspace就屬于第一類,主要是因?yàn)樵诰W(wǎng)站開(kāi)發(fā)時(shí)采用Ajax技術(shù)而導(dǎo)致的。
Ajax主要被用來(lái)使網(wǎng)頁(yè)實(shí)現(xiàn)異步更新,即在不重新加載整個(gè)網(wǎng)頁(yè)的情況下,對(duì)網(wǎng)頁(yè)的某部分進(jìn)行更新,讓其可以更快、更靈敏的刷新數(shù)據(jù)。但如果網(wǎng)站沒(méi)有對(duì)用戶輸入的數(shù)據(jù)信息做嚴(yán)格地過(guò)濾,就會(huì)導(dǎo)致被寫(xiě)入的惡意代碼被解析并執(zhí)行,結(jié)合Ajax的異步提交功能,就實(shí)現(xiàn)了惡意代碼的幾何數(shù)級(jí)傳播,不僅感染速度非常快,攻擊效果也非??膳隆_@種惡意代碼就是蠕蟲(chóng)病毒。
因此,使用這種技術(shù)的網(wǎng)站想要避免黑客利用這種漏洞竊取數(shù)據(jù),就需要對(duì)用戶輸入內(nèi)容的可靠性進(jìn)行驗(yàn)證,并對(duì)用戶可以輸入頁(yè)面的代碼進(jìn)行詳盡的測(cè)試,來(lái)避免漏洞的產(chǎn)生。同時(shí),還要經(jīng)常使用各種漏洞檢測(cè)工具來(lái)掃描和過(guò)濾漏洞,以便于及早發(fā)現(xiàn)問(wèn)題并及時(shí)進(jìn)行補(bǔ)救措施。
相關(guān)安全專家建議,用戶以及企業(yè)也可以通過(guò)以下方式來(lái)增強(qiáng)個(gè)人隱私信息的防護(hù)。
提高網(wǎng)絡(luò)安全防范意識(shí),不要填寫(xiě)過(guò)于詳盡的個(gè)人資料;
不使用過(guò)于簡(jiǎn)單的密碼;
習(xí)慣于在安全的網(wǎng)絡(luò)環(huán)境下上網(wǎng);
為避免在職工個(gè)人信息被泄露時(shí)受牽連,企業(yè)應(yīng)對(duì)所有網(wǎng)絡(luò)進(jìn)行監(jiān)控,從而最大程度屏蔽惡意軟件和病毒。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。