导语:本周二晚上,名为Revolver的黑客称已经黑了Adult FriendFinder的服务器,并发了两张证明截图。另一臭名昭著的黑客Peace也声称黑了这家网站,并获取了其中一个数据库。
在线交友网站“Adult FriendFinder”疑似再次被黑。
本周二晚上,一位名为Revolver(1 x0123)的黑客声称已经黑了Adult FriendFinder的服务器,并发了两张证明截图。另一个臭名昭著的黑客Peace也声称黑了这家网站,并获取了其中一个数据库的数据,该数据库含有7300万个用户的数据。如下为1 x0123的发推截图:
该截图并没法证明Revolver真的黑了这家网站,上周Peace已经告诉Motherboard,他已经黑了Adult FriendFinder。Revolver在Twitter发声后,我们联系了Peace,他声称“几乎是整个FriendFinder的所有数据被盗”,自己还把数据分享给了其他的一些黑客,其中就包括Revolver。
Adult FriendFinder屡遭黑客入侵
Adult FriendFinder自诩是“世界上最大的性和男女交友的社区”,而在2015年他们就被黑过了。当时一个叫做ROR(RG)的黑客涉嫌入侵了这家网站,并偷取了一个数据库的数据,这个数据库包含了几乎4百万用户的数据。这数据其中包括了极度敏感的信息,如用户的关系状态,性取向,他们的电子邮件地址,用户名,和所处位置。该黑客在黑客论坛Hell上出售这些数据,售价为70比特币(约16700美元)。
安全研究员Dan Tentler(Phobos Group的创始人)称,他对这些泄露在网上的数据进行了评估,其中还包括Peace发送到Motherboard的一组文件。根据这些文件,Tentler表示该黑客所说的应该是真的,同时他还指出了Adult FriendFinder的一个严重的数据泄露。
Tentler说:
从理论上讲,此次黑客几乎是把整个网站给端了,他还附上了一份被盗取的文档为例。这份文档里面包含了员工的姓名,家庭IP地址,甚至还有用来进行远程访问Adult FriendFinder服务器的虚拟私人网络密钥。
看到Revolver在推特上发的声明,安全研究人员表示,该黑客所利用的漏洞似乎是一个本地文件包含,这是编写得很差的网络应用程序中的一个常见漏洞,它能允许攻击者侵入一个网站并读取系统里的文件。Peace和Revolver还表示,他们所利用的漏洞是相同的。
一位绰号叫做Munin的安全防护顾问称,黑客能利用这种漏洞做各种各样的事,包括访问服务器的任何文件,在服务器上运行代码,甚至从理论上来说可以对用户的日常活动进行监视。
Revolver在Twitter发推称,上个月他就已利用这个漏洞,而现在他正在获取数据库的访问权限。本周三上午,FriendFinder发言人称,他们已“意识到了关于此次安全事件的报道。”他在声明中写道,“我们目前正在进行调查,以确定该报道的真实性。如果我们确认了这次安全事件确实发生了,我们将努力解决任何问题,并通知那些可能会受到该漏洞影响的客户。”
Revolver继续在Adult FriendFinder的这个漏洞话题上发推,公开宣称他将这个能入侵服务器的漏洞报告给了公司。但是几小时后他就要崩溃了,他继续发推称“adult friendfinder并没有回复他,是时候该去睡会觉了”,“他们一定会说这是个骗局,而我会把这所有泄露的数据发出来。”