专家警告Patreon被骇后更多网站面临危险

【大纪元2015年10月04日讯】（大纪元记者古昱综合报导）筹资捐款网站Patreon近期受骇客攻击，大量个人数据被公布于众。专家警告，或有更多采用与Patreon同样技术的网站也处于危险之中，个人数据有可能会被窃。

近期，Patreon网站15GB的个人隐私数据，包括密码、捐款记录、以及被骇客窃取的源代码都被公布在互联网上。但有人称还不能立刻肯定这些数据的真伪。网络安全研究员亨特（Troy Hunt）在下载这些数据并进行检查后得出结论，这些数据几乎可以肯定是来自Patreon服务器。他说，被骇客公开的数据的数量和类型说明，骇客攻击的程度和对Patreon用户潜在的损害比他之前想像的要严重得多。

亨特打开了这个巨大的存档文件，整理内容，并发现230万个唯一的电子邮件地址，其中包括他自己的。各种Patreon订户也都在推特上说他们发现自己的电子邮件地址在骇客公开的数据之中。

“有源代码的事实……很有趣，并表明这远不只是一个典型的SQL注入式攻击，而是指向一个更大范围的侵入，”亨特告诉技术新闻和资讯网站Ars Technica。

早在Patreon数据库遭受大规模攻击的几天前，Patreon公司就已经接到警告，指其网站的一个关键的编程问题可能会导致信息外泄。

Ars Technica的一份特别报告记载了瑞典计算机安全公司Detectify是如何通知Patreon其严重错误的。该公司相信就是那个错误被骇客所利用，窃取并公开了15GB的用户敏感信息。该公司还指出其它网站可能有会同样的错误，在将来也可能会被骇客侵入。

Patreon的一个实时网络应用程序允许Werkzeug应用程序库在公开的子域zach.patreon.com上运行，Detectify公司通过服务器搜寻引擎Shodan无意间发现这个漏洞，并在9月23日向Patroen示警。Detectify公司的搜索还发现数千其它网站也都有相同的错误。

Werzkeug软件允许骇客在他们自己的浏览器中执行任何种类的代码，程序调试开发员们很早就已经警告过人们这一潜在的漏洞，以及其对实际运行系统的严重威胁。但这些警告大多数都被当成了耳旁风。这次Detectify再次告知大家这一漏洞是多么的致命，称其为“游戏结束”漏洞，该漏洞可以让允许Werzkeug软件运行的服务器上的所有数据立刻被公开于世。

Patreon官员说，其用户的密码都受到bcrypt的加密保护，骇客需要花费大量的计算时间和资源来破解。但是骇客截获系统的源代码，就完全可能大大加速破解过程。上个月，骇客正是利用了这一点破解了偷情网站Ashley Madison的加密密码。截获源码还可以找出保护美国人的社会安全号和税务编号的加密密钥。

被骇客公开的数据中包括大量用户发送和接收的私人信息，亨特在推特上说，“你可以确定那些使用Patreon的用户赚多少钱……，所有隐私现在都被公开。” Patreon用户在该捐款网站上做的任何事就极为可能成为互联网记录永久的一部分。

责任编辑：李缘