【大紀元2015年10月04日訊】(大紀元記者古昱綜合報導)籌資捐款網站Patreon近期受駭客攻擊,大量個人數據被公佈於眾。專家警告,或有更多採用與Patreon同樣技術的網站也處於危險之中,個人數據有可能會被竊。
近期,Patreon網站15GB的個人隱私數據,包括密碼、捐款記錄、以及被駭客竊取的源代碼都被公佈在互聯網上。但有人稱還不能立刻肯定這些數據的真偽。網絡安全研究員亨特(Troy Hunt)在下載這些數據併進行檢查後得出結論,這些數據幾乎可以肯定是來自Patreon服務器。他說,被駭客公開的數據的數量和類型說明,駭客攻擊的程度和對Patreon用戶潛在的損害比他之前想像的要嚴重得多。
亨特打開了這個巨大的存檔文件,整理內容,並發現230萬個唯一的電子郵件地址,其中包括他自己的。各種Patreon訂戶也都在推特上說他們發現自己的電子郵件地址在駭客公開的數據之中。
「有源代碼的事實……很有趣,並表明這遠不只是一個典型的SQL注入式攻擊,而是指向一個更大範圍的侵入,」亨特告訴技術新聞和資訊網站Ars Technica。
早在Patreon數據庫遭受大規模攻擊的幾天前,Patreon公司就已經接到警告,指其網站的一個關鍵的編程問題可能會導致信息外洩。
Ars Technica的一份特別報告記載了瑞典計算機安全公司Detectify是如何通知Patreon其嚴重錯誤的。該公司相信就是那個錯誤被駭客所利用,竊取並公開了15GB的用戶敏感信息。該公司還指出其它網站可能有會同樣的錯誤,在將來也可能會被駭客侵入。
Patreon的一個實時網絡應用程序允許Werkzeug應用程序庫在公開的子域zach.patreon.com上運行,Detectify公司通過服務器搜尋引擎Shodan無意間發現這個漏洞,並在9月23日向Patroen示警。Detectify公司的搜索還發現數千其它網站也都有相同的錯誤。
Werzkeug軟件允許駭客在他們自己的瀏覽器中執行任何種類的代碼,程序調試開發員們很早就已經警告過人們這一潛在的漏洞,以及其對實際運行系統的嚴重威脅。但這些警告大多數都被當成了耳旁風。這次Detectify再次告知大家這一漏洞是多麼的致命,稱其為「遊戲結束」漏洞,該漏洞可以讓允許Werzkeug軟件運行的服務器上的所有數據立刻被公開於世。
Patreon官員說,其用戶的密碼都受到bcrypt的加密保護,駭客需要花費大量的計算時間和資源來破解。但是駭客截獲系統的源代碼,就完全可能大大加速破解過程。上個月,駭客正是利用了這一點破解了偷情網站Ashley Madison的加密密碼。截獲源碼還可以找出保護美國人的社會安全號和稅務編號的加密密鑰。
被駭客公開的數據中包括大量用戶發送和接收的私人信息,亨特在推特上說,「你可以確定那些使用Patreon的用戶賺多少錢……,所有隱私現在都被公開。」 Patreon用戶在該捐款網站上做的任何事就極為可能成為互聯網記錄永久的一部份。
責任編輯:李緣
