據LeakedSource網站披露,黑客從Mail.Ru子網站中竊取了2500萬條賬戶資訊。但這家俄羅斯網際網路公司說,被洩露出來的憑據資訊是無效的,并向客戶保證他們并未面臨風險。
Mail.ru是俄羅斯最大門戶網站,在全球16個辦事處擁有2450名員工,2011年11月成為俄羅斯第一個成功在倫敦上市的網際網路公司。Mail.ru每天通路網站人數超過千萬,高效的信箱服務也使它成為中亞地區最受歡迎的電子信箱服務網。2012年2月Mail.ru推出微網誌服務。
LeakedSource,一項資料洩露監控服務,曾經披露了11樁新的資料洩露事件。此次Mail.ru平台vBulletin漏洞洩露了超過2700多萬條賬戶資訊,其中很多為Mail.Ru遊戲玩家賬戶。截止釋出通知時,LeakedSource的研究人員已經成功破解了12463300個密碼。
LeakedSource服務允許個人和企業檢查他們的網上賬号是否被洩露。LeakedSource說目前已經收集了超過20億條洩露資料,并聲稱還有更多的資料正等待錄入資料庫。相較之下,安全專家Troy Hunt營運的Have I Been Pwned服務收集了來自125個被攻擊網站的13億多個賬号資訊。
過去幾個月間,LeakedSource揭露了數次資料洩露事件,包括一次洩露了30萬SocialBlade賬号、4500萬VerticalSCope賬号、1億VK賬号、3.6億Myspace賬号的事件。
LeakedSource報告,黑客從下列三個域中獲得了大約2500萬個使用者名和密碼組合:cifre.mail.ru、parapa.mail.ru和tanks.mail.ru。
在過去幾年,這三個域一直托管着Mail.Ru集團所并購遊戲的論壇。2016年8月被黑的Mail.Ru子域包括:
cfire.mail.ru — 釋出通知時已破解 12881787 個 使用者名、 6226196 個 密碼。
parapa.mail.ru ( 遊戲 ) — 釋出通知時已破解 5029530 個使用者名、 3329532 個密碼。
Parapa.mail.ru ( 論壇 ) — 釋出通知時已破解 3986234 個使用者名、 2907572 個密碼。
tanks.mail.ru — 釋出通知時已破解 3236254 個使用者名、 0 個密碼。
仔細觀察這些被洩露的Mail.Ru賬号發現,它們來自CFire遊戲、parapa.mail.ru(ParaPa Dance City遊戲)、以及tanks.mail.ru(Ground War: Tank遊戲)。這些密碼以MD5哈希值的形式儲存,有的加了鹽,有的沒有。這使得LeakedSource能輕易破解數以百萬計的密碼。最常用的密碼看來是123456789、12345678、123456和1234567980。
Mail.Ru賬号的資訊包括使用者名、電郵位址、IP位址和電話号碼。其他洩露賬号的資訊包括使用者名、密碼、電郵位址、生日和IP位址。
LeakedSource 說 :“ 沒有一個網站使用恰當的密碼存儲機制。他們全都用MD5的某個變種,加上或者不加獨特的鹽。 ”
被攻擊的域全部使用vBulletin CMS的未更新檔版本。通過利用vBulletin 4.2.2、4.2.3或更早版本中Forumrunner插件上的SQL注入漏洞,黑客侵入了資料庫。
重申一下,錯誤的安全姿态是這些資料洩露事件的根本原因是錯誤的安全姿态。vBulletin在數月前就修複好了這些漏洞,但是網站未能及時更新更新檔,導緻數百萬使用者資訊被洩露。
vBulletin 在6月份釋出了一份安全公告,說: ” 有人向我們報告了一個影響 vBulletin 4 的漏洞。我們已經針對vBulletin 4.2.2和4.2.3釋出了安全更新檔,修複了這個漏洞。該漏洞可能允許黑客通過Forumrunner插件執行SQL注入攻擊。建議所有使用者盡快更新更新檔。如果您正在使用低于4.2.2的vBulletin 4版本,建議盡快更新至最新版本。請注意,不管您是否啟用Forumrunner插件,都需要更新更新檔。可從下列網址下載下傳用版本的更新檔: http://members.vbulletin.com/patches.php“
雖然這看起來像一次嚴重的資料洩露事件,但Mail.Ru集團說洩露出來的密碼已經失效,并且這些遊戲論壇現在使用了一套新的授權系統。該公司還指出,被洩露的密碼跟Mail.Ru郵箱或者其他服務的賬号沒有關系。
然而,多家公司(比如Facebook、GitHub、Reddit和Netflix)近期檢測到的許多密碼複用攻擊表明,即使是舊的憑據資訊,對惡意使用者來說也是有用的,比如撞庫。
Hold Security在5月份曾報告,識别出2.72億個郵箱賬号的憑據資訊。這些憑據資訊是黑客攻破多個公司的系統後擷取的。在此次事件發生後,研究人員發現,其中5700萬是Mail.Ru賬号的憑據資訊。但Mail.Ru集團随後确認,這些使用者名和密碼的99%都是無效的。
experlaw.com經曆的另一樁洩漏事件洩露了超過19萬多條賬号資訊。另外,gamesforum.com經曆的一樁類似事件洩露了超過10萬條賬号資訊。
LeakedSource說目前已經收集了超過20億條洩露資料,并聲稱還有更多的資料正等待錄入資料庫。過去幾個月間,LeakedSource揭露了數次資料洩露事件,包括一次洩露了30萬SocialBlade賬号、4500萬VerticalSCope賬号、1億VK賬号、3.6億Myspace賬号的事件。
相較之下,安全專家Troy Hunt營運的Have I Been Pwned服務收集了來自125個被攻擊網站的13億多個賬号資訊。
原文釋出時間:2017年3月24日
本文由:securityWeek 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/mail-ru-leaked-25-million-user-account
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站