freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

8个成人网站暴露大量用户隐私,快检查下你的收藏夹
2018-10-23 14:58:56

每年全球范围内,曝光过的以及多数不为人所知的数据泄露事件不知道有多少,听到、见到、遇到的多了也就麻木了。但成人网站的数据泄露事件每每却能引起人们注意,假如你的个人信息从这些渠道泄漏出去了,意味着什么就不用多说了吧,就好像你不想让人知道你和谁在酒店开过房,类似的道理。

583e4b1639444.png

8个成人网站数据泄露,关闭网站安全升级

而最近,有多达8个成人网站的暴露了98MB文件,其中包含用户IP、加密密码、名称以及120万个邮件地址,鉴于成人网站的特殊性,还不能确定有多少是真实用户。这8个网站网址分别如下:

wifelov***.com

asianse***.com

bbwse***.com

indianse***.com

nudeafr***.com

nudela***.com

nude***.com

wifepos***com

值得注意的是,这8个网站的归属者都是同一个人 Robert Angelini,这些网站安全性都比较差,甚至还在采用四十年前的加密方案来保护用户密码。同时,在网站的留言板上,有不少用户分享图片等私密信息,甚至还声称是自己的配偶,至于是否属实以及是否经过本人同意均无法断定,这本身对用户隐私是比较大的伤害。

wife-lovers.jpg

涉事网站之一,关闭前的截图

在收到黑客通知的三天后,Angelini 确认了这些信息泄露行为以及网站存在的安全问题,并关掉了所有的网站。Angelini 回应泄漏文件包含的内容称,在其经营这些网站的21年里,只有107000人在网站发帖,他不清楚为何泄漏文件会包含超过这个数字近12倍数量的电子邮件。

WX20181023-135905@2x.png

截止笔者发稿之时,这8个网站仍处于关闭状态,全部挂上同一个安全升级公告页面,公开这次数据泄露的详细信息,并建议用户修改自己其它账户密码,尤其是使用与这些网站账户相同密码的用户。

其实,这次数据泄露的内容影响程度还是比较有限,并不涉及信用卡、手机号等重要的信息,但仅凭泄露出来的电子邮件地址,的确能搜索关联到一注册的Instagram、亚马逊、Facebook等大型网站账户,如果继续深入查找还是能够锁定到用户的真实身份的。尤其是,在留言板上上传的图片也可能对本人造成很大伤害。

网站竟然采用有40年历史的加密算法

另外,网站本身的安全问题也是令人震惊。网站的密码数据采用一种散列算法的保护,该算法非常脆弱和过时,以至于密码破解专家Jens Steube只花了7分钟就识别出了散列方案,并破译了给定的散列。

WX20181023-142502@2x.png

这种散列算法被称为Descrypt,创建于1979年,基于旧的数据加密标准。Descrypt 提供了当时设计的改进,使 Hash 不太容易被破解。例如,它使用了加盐的方式,以防止相同的明文输入具有相同的散列。它还对明文输入进行多次迭代,以增加破解输出散列所需的时间和计算。但以2018年的标准来看,Descrypt 的算法早已经不够用了。它只提供12位盐,仅使用所选密码的前八个字符,导致几乎不能够使用强密码。

根据密码安全专家的说法,这种算法早在20年前就已经被淘汰,目前已经出现了多种更好的加密方案,Descrypt 本就不应该继续采用。

Angelini 表示已经积极与安全研究人员合作,来解决网站的安全性问题,在问题没有完全修复好之前,这8个网站将不会上线。假如这些网站恰好存在你的收藏夹里,那么你应该知道该做什么了……

突然发现,万恶的小编间接的给各位宅男提供资源……尽管现在不可访问。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

# 数据泄露 # 成人网站
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者