将近80万名Brazzers论坛用户的详细信息已经泄露。
早在2009年,它就获得了AVN最佳成人网站奖。三年后,共有790,724位用户的私人信息遭到破坏。这是一场隐私噩梦,类似于2015年的Ashley Madison数据转储。
好像泄露用户的色情习惯还不够糟糕,这可能会产生更广泛的影响。
发生了什么?
我们应该已经看到了类似这样的事情。有些人认为这会影响到曾经访问成人网站的每个人,但事实并非如此。尽管如此,它确实暗示了一个广泛的漏洞,它可能会通过一个讨论论坛影响大多数站点。
但是首先,让我们关注一下在排名前125,000的Brazzers中发生了什么世界上最受欢迎的网站。如果我们将Alexa搜索限制在印度范围内,则它排名前25,000。看起来似乎没什么,但是考虑到Internet上有大约10亿个站点,这确实令人印象深刻。
*重置密码*
“新密码不能与旧密码相同密码" pic.twitter.com/7uo7Z97CSL
-不切实际的小丑(@ItsFunnyJokers)2016年9月6日
该漏洞发生在2012年,这是很久以前的事情了。奇怪的是,那一年我们只是听说过很多泄密事件,包括LinkedIn。
Brazzers本身并没有受到破坏-相反,它是它的论坛,实际上这更令人担忧。另外,普通的Brazzers帐户持有人可能仍然需要担心。该网站的公共关系经理马特·史蒂文斯(Matt Stevens)解释:
该事件的发生是由于所述第三方软件,“ vBulletin"软件而不是Brazzers本身存在漏洞。话虽如此,用户帐户在Brazzers和为方便用户而创建的“ Brazzersforum"之间共享。这样一来,我们的用户帐户中的一小部分就被暴露了,在事件发生后的几天里,我们采取了纠正措施来保护我们的用户。
这很好,但是没有人知道它的实际发生时间。这与Moonfruit应对最近一次攻击的令人钦佩的方式相去甚远。
用户名,电子邮件地址和密码被泄露,但该论坛是让人们讨论他们最深切渴望的地方:而以前,那些幻想是隐藏在一个神秘的用户名后面,该链接将用户的特殊问题与他们的电子邮件地址联系起来。
尽管数据集包含928,072封电子邮件,但很多都是重复的。仍然有790,724位唯一用户受到影响。
这怎么会变得更糟?
考虑到我们只是听说过,您可能会认为影响不大。毕竟,如果受害者从这个问题中脱颖而出,我们已经听说过。但是,这非常令人担忧,尤其是随着性别歧视的增加。
但是有两个主要原因,这可能会比最初听起来更糟。
第一个是这些密码是纯文本的。您可能想知道负责任的网站如何安全地存储所有时间的密码:黑客只能读取它。
纯文本表示没有加密,没有加盐,没有哈希。任何网站仍然以这种形式存储重要内容绝对是疯狂的。色情网站的用户特别希望获得很高的加密水平,但是Brazzers的这一漏洞提醒我们,即使是一些最受欢迎的网站也使用不安全的方式来处理您的私人信息。论坛软件允许用户根据自己的喜好对密码进行加密,因此我们可以推断出Brazzers本身应负责使用纯文本。
但是,核心问题在于,这确实是vBulletin中的一个漏洞-这是有将近40,000个现场站点使用。已经修补了漏洞,但它们自然依赖于网站管理员进行升级。
GTA粉丝也受到影响
GTAGaming上有近20万个帐户的详细信息,GTAGaming是一个广受赞誉的 The Grand Theft Auto 系列网站上个月被泄露,包括电子邮件地址,出生日期,IP地址和密码,后者至少经过两次哈希处理(尽管仅使用M5算法)并加了盐。它提示该网站完全放弃vBulletin:
我们现已永久关闭了该论坛,并且在接下来的两周内未更新的所有帐户都将从数据库中删除。我们将把帐户数据库转移到一个更安全的身份验证系统中,删除vBulletin论坛软件的所有痕迹,直到那时为止我们都会密切注意以防止任何进一步的破坏。
使用vBulletin的概要文件站点-特别是包括ubuntuforums.org(Linux操作系统的官方论坛)-vBulletin的主要问题可能会造成严重麻烦。 VBulletin本身去年就遭到攻击,导致所有用户都必须更改密码,开发人员链接的站点VBTeam也是如此。
您能做什么?
您要做的第一件事应该做的是检查您的电子邮件地址是否属于泄漏的一部分。如果您使用的是Brazzers,那是非常值得的。如果不是,您仍然可以查看“我是否被拥有?",它会告诉您是否是任何漏洞的受害者,无论是在NSFW网站还是MySpace等社交媒体网站上。
如果您是受害者,则肯定需要在Brazzers'Forum和您的电子邮件地址上更改密码。仅仅因为您的数据已包含在漏洞中,这并不意味着骗子实际上已经设法通过垃圾邮件轰炸您或欺骗您的地址。另一方面,由于这次泄漏发生在2012年,因此您很有可能已经遭受了任何后果。
…并且他们将其更改回原始密码。#daft pic.twitter.com/ BHUPnMjum1
— Paul Moore(@Paul_Reviews)2016年9月4日
不过,如果您拥有Gmail帐户,则可以检查“活动监视器",以防万一。
如果您注册的网站可能需要您希望保密的信息(例如任何令人尴尬的秘密),请使用唯一的电子邮件和密码,以免潜在的网络犯罪分子将您的链接链接起来
如果您是依赖vBulletin的网站上的管理员,请确保对其进行更新。最新的补丁程序是在上个月才发布的,该补丁程序是在多人游戏 Dota 2 的论坛被破坏,影响了190万个帐户之后出现的。
可以学到什么?
这不是使用Brazzers论坛的用户的错,但是如果输入敏感数据,该讨论社区的用户仍应格外警惕。使用其他成人网站的人也应注意。
公司正值时候意识到使用M5加密的密码并不安全,更不用说纯文本了!如果您发现使用后者的网站,则应告知纯文字违规者。
您对受影响的人或确实担心类似网站可能成为黑客目标的任何人有什么进一步的提示? ?
标签: 安全漏洞
