导语:Arstechnica通知i-Dressup官方已经有黑客下载了该网站多达220万的用户数据,但i-Dressup并未给出回应。
一个少女社交聚会的网站因为存在漏洞,导致550万用户的明文密码被泄露了。
Arstechnica通知i-Dressup官方已经有黑客下载了该网站多达220万的用户数据,但i-Dressup并未给出回应。该黑客表示,他花了约三个星期时间得到并下载了这个多于550万条项目的数据库,期间没有任何安全策略对其进行拦截。他还表示,他是通过SQL漏洞获取到的这些邮件地址和密码。
该黑客向Arstechnica和Have I BeenPwned提供了220万个样例数据,通过随机选择邮件地址到i-Dressup网站进行密码找回操作,Arstechnica和Have I Been Pwned的主要负责人Troy Hunt发现,这些邮箱都已经被注册过。之后Arstechnica在i-Dressup网站上通过联系我们页面,私底下通知了官方,但五六天后,仍没有人给予回复,且漏洞仍未被修复。
数据泄露的道路还很漫长
这只是最近大规模数据泄露的冰山一角,在两周前,Arstechnica报道过ClixSense数据库泄露,包括明文密码、用户名,邮件地址和其他详细的个人信息,总共约220万条数据。泄露该数据的黑客声称,该数据共有660万条,并公开出售未公布的440万条数据。
I-Dressup自诩是一个安全的网站,声称可以保护用户的数据隐私,尤其是那些13岁以下的用户。但那些保证不仅没有兑现,甚至他们对待安全的态度都有些随意。更糟糕的是在得知因为SQL注入漏洞而导致用户数据被窃取的报告后,他们还不对漏洞进行修复!而且最让人感到震惊的是,泄露的数据库包含了明文密码。行业标准中的规定是网站需要对用户的密码进行哈希,而不是明文,这会使攻击者花大量的时间进行密码破解甚至根本破解不出来。
任何一个有i-Dressup账户的人都应考虑注销掉它,同时用户也应警惕诈骗邮件,更改使用了相同密码的其他网站账户的密码。