CashCrate网站遭到破坏,600万账户被盗 2017-05-12 01:39:04

$888.88
所属分类 :金融

CashCrate是一个用户可以完成调查以换取金钱的网站,已被黑客攻击,超过600万个帐户和密码被盗

主板确认的黑客攻击包含了大量有关CashCrate用户的信息

被破坏的数据库包含与被盗帐户相关联的姓名,电子邮件地址,密码和物理地址

阅读:DaFont.com被黑客攻击:几乎所有用户名和密码来自流行的字体共享网站被盗虽然没有黑客对所涉及的人特别好,但CashCrate违规行为显示该网站持续缺乏适当的安全协议来保护其用户信息 - 这是一个日期问题早在2006年的调查网站上

2010年后在CashCrate创建的帐户会对其密码进行哈希处理,这一过程会将密码转换为不可读的文本字符串

然而,它们使用MD5算法进行散列,MD5算法相对容易破解

之前在字体共享网站DaFont.com上的漏洞也涉及使用MD5算法进行密码散列

在那次破坏中,黑客能够解密数据库中98%以上的所有密码

如果获得CashCrate数据库访问权限的黑客想要,他们可能会破解用于保护密码的哈希方案并以明文方式显示密码

新闻周刊将于9月26日至27日在旧金山举办结构安全活动

照片:新闻周刊媒体集团对于在2010年之前创建帐户的用户,访问明文密码不需要这样的破解

CashCrate存储的用户密码没有任何此类保护,这意味着黑客可以立即访问与这些帐户关联的密码

该漏洞包括早在2006年注册的帐户

阅读:OneLogin被黑客攻击:ID管理器数据库被破坏,用户信息受到破坏对于已经重复使用与其CashCrate帐户相关联的密码进行其他服务的任何用户而言,暴露的密码存在严重问题

通过数据库中提供的姓名和电子邮件地址,人们可以轻松地交叉引用先前的违规行为或尝试使用公开的密码登录用户的帐户

建议可能在CashCrate黑客中暴露的用户更改可能与其CashCrate帐户共享相同密码的任何帐户的密码

除了CashCrate的密码散列习惯不严格之外,该网站还缺乏基本的网络加密 - 包括登录页面 - 这意味着任何恶意行为者都可能在用户和不安全网站之间交换时拦截敏感数据

CashCrate表示,2013年之后创建的所有用户帐户都会对其密码进行哈希处理和加密 - 这是一种安全措施,可在密码中插入其他随机字符,使其更难破解

该公司告诉主板,它不知道为什么旧密码没有这种保护

“我们正在通知我们的所有成员有关违规行为

虽然我们仍在调查原因,但此时似乎我们的第三方论坛软件遭到了破坏,导致了违规行为

我们已停用直到我们确信它是安全的,“该公司的发言人说