繼領英1.67億使用者用資料被爆洩漏後,著名付費黑客資料搜尋引擎leakedsource發表博文稱myspace也被黑,近4.3億使用者資料被洩漏,并已獲得資料副本,可在他們的網站上進行查詢。
myspace史上最大使用者資料遭洩露,社交網站該注意修補這個漏洞了
目前,myspace官方還未證明這一消息的可靠性,但如果情況屬實,這将是史上最大規模的密碼洩露事件。外媒調侃道,這個世界上隻有兩種公司,一種是被黑過的公司,一種是被黑了也不知情的公司。顯然,myspace屬于第二種。
雖然myspace現在的使用者量遠不及facebook,但仍是世界上最受歡迎的英文網站之一,曾有資料顯示,每個注冊使用者的平均浏覽頁面數高達30以上,具有很高的使用者粘性,這次被洩露的資料包括使用者名、郵箱位址以及一級密碼與二級密碼。
與領英相同,這次事件的“幕後黑手”仍是“peace_of_mind”, 他已經将擷取的資訊挂在暗網黑市上售賣,價格高達6比特币。據leakedsource 發表的博文稱,他們是通過即時通訊伺服器jabber上的匿名使用者[email protected]擷取的資料,由此可以得知,myspace被洩露的的資料已被多個黑客掌握。除此之外,leakedsource還在博文中提到,這些洩露的資料和領英一樣,也是以“sha-1”的哈希加密的方式存儲的,也同樣沒有“加鹽”,可以輕而易舉地被破解。
然而不僅是國外,國内的許多社交網站如新浪微網誌、天涯、人人網等也曾遭黑客侵入,大量使用者資訊遭洩露,不僅涉及個人隐私,還被用于傳播惡意病毒軟體,網站、個人使用者以及企業都有可能成為這類病毒軟體的受害者。
據了解,社交網站較容易存在的安全隐患主要有兩類:一類是蠕蟲攻擊,另一類是由于社交網站并未恰當使用cookies,而導緻發動跨站請求僞造攻擊。myspace就屬于第一類,主要是因為在網站開發時采用ajax技術而導緻的。
ajax主要被用來使網頁實作異步更新,即在不重新加載整個網頁的情況下,對網頁的某部分進行更新,讓其可以更快、更靈敏的重新整理資料。但如果網站沒有對使用者輸入的資料資訊做嚴格地過濾,就會導緻被寫入的惡意代碼被解析并執行,結合ajax的異步送出功能,就實作了惡意代碼的幾何數級傳播,不僅感染速度非常快,攻擊效果也非常可怕。這種惡意代碼就是蠕蟲病毒。
是以,使用這種技術的網站想要避免黑客利用這種漏洞竊取資料,就需要對使用者輸入内容的可靠性進行驗證,并對使用者可以輸入頁面的代碼進行詳盡的測試,來避免漏洞的産生。同時,還要經常使用各種漏洞檢測工具來掃描和過濾漏洞,以便于及早發現問題并及時進行補救措施。
相關安全專家建議,使用者以及企業也可以通過以下方式來增強個人隐私資訊的防護。
提高網絡安全防範意識,不要填寫過于詳盡的個人資料;
不使用過于簡單的密碼;
習慣于在安全的網絡環境下上網;
為避免在職工個人資訊被洩露時受牽連,企業應對所有網絡進行監控,進而最大程度屏蔽惡意軟體和病毒。