前段日子已發生不少大規模的信息泄露事件,比如Linkedin、Myspace、VK.com、Tumblr和Dropbox等等。近期又有一家公司加入了“數據泄露豪華午餐”。而且此次泄露比以往的更加糟糕。
這家發生數據泄露的公司名為Clixsence,是歐美知名的廣告運營公司,ClixSense的會員則可以在網站上通過瀏覽廣告、填寫問卷、完成小任務或抽獎等方式來獲取現金獎勵,有些類似于我們熟悉的廣告墻、積分墻服務。
被黑客端了個底朝天
上周末,該公司超過220萬人的個人敏感信息被公開,而在此之前已經有440萬的用戶數據被公開售賣。內容包括明文密碼、電子郵件,轉存的數據庫還包括用戶的姓名、出生日期、性別、家庭住址、IP地址、付款記錄以及其他銀行賬戶細節。
如此規模的數據加上多到令人咋舌的細節,讓人不敢相信這是真的,然而知名數據泄露查詢服務“Have i been owned”目前已經驗證了泄露出來的數據的真實性。
最慘的還不只是這些,黑客將440萬個賬戶信息賣給出價最高的人之后,還掛出了廣告,售賣其所有用戶的社會安全號碼、Clixsence網站完整的網站代碼,以及7000封內部郵件。
入侵事件始末
Clixsence 承認數據泄露的原因是黑客攻破了其服務器,他們有一臺老舊服務器早已不再使用,然而這臺服務器卻一直連接著他們主要的數據服務器,黑客正是通過那臺服務器實施的入侵。入侵成功后,黑客復制了服務器上絕大部分用戶數據表以及代碼,黑客甚至可以隨意刪除內容和設置用戶的賬戶余額。
Clisense老板Jim承認,該數據庫包含大約660萬個條目,公司意識到黑客入侵之后立刻實施了措施,并重新接管了DNS服務,然而已是亡羊補牢之舉。
這一切都開始于上個星期日,9月4日早上5點左右,當時我的技術負責人打電話告訴我網站被重定向到了一個同性戀色情網站。黑客接管了我們的DNS并設置了重定向。到上周一,他們就入侵了我們所有托管服務器以及微軟的Exchage服務器并將所有電子郵件賬戶更改了密碼。到了星期二他們就成功入侵了我們的主要的數據服務器并拷貝走了我們的用戶數據表。”
用戶的補救措施
發生如此徹底的信息泄露事件,除了建議用戶更改他們的密碼之外,更應提醒他們及時修改其他網站使用的相同賬號密碼,以防止黑客撞庫。在網站被黑客攻陷的情況下,使用再復雜的密碼也無濟于事,這時更重要的是,不要在多個網站使用相同的賬號密碼,以便于控制信息泄露產生的后果。
建議大家選擇一款合適的密碼管理器來幫助你在不同的網站創建不同而復雜的密碼,并且幫助你記憶。你可以根據自己實際需求選用不同的密碼管理器,比如本地存儲數據的1password、Keepass或是跨平臺在線存儲數據的lastpass、洋蔥密碼管理器、Dashlane等等。
京公網安備 11010502049343號