Myspace 史上最大用户數據遭泄露,社交網站該注意修補這個漏洞了
繼領英1.67億用户用數據被爆泄漏後,著名付費黑客數據搜索引擎LeakedSource發表博文稱Myspace也被黑,近4.3億用户數據被泄漏,並已獲得數據副本,可在他們的網站上進行查詢。
目前,Myspace官方還未證實這一消息的可靠性,但如果情況屬實,這將是史上最大規模的密碼泄露事件。外媒調侃道,這個世界上只有兩種公司,一種是被黑過的公司,一種是被黑了也不知情的公司。顯然,Myspace屬於第二種。
雖然Myspace現在的用户量遠不及Facebook,但仍是世界上最受歡迎的英文網站之一,曾有數據顯示,每個註冊用户的平均瀏覽頁面數高達30以上,具有很高的用户粘性,這次被泄露的數據包括用户名、郵箱地址以及一級密碼與二級密碼。
與領英相同,這次事件的“幕後黑手”仍是“Peace_of_mind”, 他已經將獲取的信息掛在暗網黑市上售賣,價格高達6比特幣。據LeakedSource 發表的博文稱,他們是通過即時通訊服務器Jabber上的匿名用户[email protected]獲取的資料,由此可以得知,Myspace被泄露的的數據已被多個黑客掌握。除此之外,LeakedSource還在博文中提到,這些泄露的數據和領英一樣,也是以“SHA-1”的哈希加密的方式存儲的,也同樣沒有“加鹽”,可以輕而易舉地被破解。
然而不僅是國外,國內的許多社交網站如新浪微博、天涯、人人網等也曾遭黑客侵入,大量用户信息遭泄露,不僅涉及個人隱私,還被用於傳播惡意病毒軟件,網站、個人用户以及企業都有可能成為這類病毒軟件的受害者。
據雷鋒網(搜索“雷鋒網”公眾號關注)了解,社交網站較容易存在的安全隱患主要有兩類:一類是蠕蟲攻擊,另一類是由於社交網站並未恰當使用Cookies,而導致發動跨站請求偽造攻擊。Myspace就屬於第一類,主要是因為在網站開發時採用Ajax技術而導致的。
Ajax主要被用來使網頁實現異步更新,即在不重新加載整個網頁的情況下,對網頁的某部分進行更新,讓其可以更快、更靈敏的刷新數據。但如果網站沒有對用户輸入的數據信息做嚴格地過濾,就會導致被寫入的惡意代碼被解析並執行,結合Ajax的異步提交功能,就實現了惡意代碼的幾何數級傳播,不僅感染速度非常快,攻擊效果也非常可怕。這種惡意代碼就是蠕蟲病毒。
因此,使用這種技術的網站想要避免黑客利用這種漏洞竊取數據,就需要對用户輸入內容的可靠性進行驗證,並對用户可以輸入頁面的代碼進行詳盡的測試,來避免漏洞的產生。同時,還要經常使用各種漏洞檢測工具來掃描和過濾漏洞,以便於及早發現問題並及時進行補救措施。
相關安全專家建議,用户以及企業也可以通過以下方式來增強個人隱私信息的防護。
資料來源:雷鋒網
作者/編輯:張丹
目前,Myspace官方還未證實這一消息的可靠性,但如果情況屬實,這將是史上最大規模的密碼泄露事件。外媒調侃道,這個世界上只有兩種公司,一種是被黑過的公司,一種是被黑了也不知情的公司。顯然,Myspace屬於第二種。
雖然Myspace現在的用户量遠不及Facebook,但仍是世界上最受歡迎的英文網站之一,曾有數據顯示,每個註冊用户的平均瀏覽頁面數高達30以上,具有很高的用户粘性,這次被泄露的數據包括用户名、郵箱地址以及一級密碼與二級密碼。
與領英相同,這次事件的“幕後黑手”仍是“Peace_of_mind”, 他已經將獲取的信息掛在暗網黑市上售賣,價格高達6比特幣。據LeakedSource 發表的博文稱,他們是通過即時通訊服務器Jabber上的匿名用户[email protected]獲取的資料,由此可以得知,Myspace被泄露的的數據已被多個黑客掌握。除此之外,LeakedSource還在博文中提到,這些泄露的數據和領英一樣,也是以“SHA-1”的哈希加密的方式存儲的,也同樣沒有“加鹽”,可以輕而易舉地被破解。
然而不僅是國外,國內的許多社交網站如新浪微博、天涯、人人網等也曾遭黑客侵入,大量用户信息遭泄露,不僅涉及個人隱私,還被用於傳播惡意病毒軟件,網站、個人用户以及企業都有可能成為這類病毒軟件的受害者。
據雷鋒網(搜索“雷鋒網”公眾號關注)了解,社交網站較容易存在的安全隱患主要有兩類:一類是蠕蟲攻擊,另一類是由於社交網站並未恰當使用Cookies,而導致發動跨站請求偽造攻擊。Myspace就屬於第一類,主要是因為在網站開發時採用Ajax技術而導致的。
Ajax主要被用來使網頁實現異步更新,即在不重新加載整個網頁的情況下,對網頁的某部分進行更新,讓其可以更快、更靈敏的刷新數據。但如果網站沒有對用户輸入的數據信息做嚴格地過濾,就會導致被寫入的惡意代碼被解析並執行,結合Ajax的異步提交功能,就實現了惡意代碼的幾何數級傳播,不僅感染速度非常快,攻擊效果也非常可怕。這種惡意代碼就是蠕蟲病毒。
因此,使用這種技術的網站想要避免黑客利用這種漏洞竊取數據,就需要對用户輸入內容的可靠性進行驗證,並對用户可以輸入頁面的代碼進行詳盡的測試,來避免漏洞的產生。同時,還要經常使用各種漏洞檢測工具來掃描和過濾漏洞,以便於及早發現問題並及時進行補救措施。
相關安全專家建議,用户以及企業也可以通過以下方式來增強個人隱私信息的防護。
引用
- 提高網絡安全防範意識,不要填寫過於詳盡的個人資料;
- 不使用過於簡單的密碼;
- 習慣於在安全的網絡環境下上網;
- 為避免在職工個人信息被泄露時受牽連,企業應對所有網絡進行監控,從而最大程度屏蔽惡意軟件和病毒。
資料來源:雷鋒網
作者/編輯:張丹