近日,据LeakedSource(数据泄露索引服务公司)的报道,黑客利用vBulletin论坛中存在的多个SQL漏洞,对其发动了攻击,并泄露了来自10多个网站中约2700万用户的个人信息。
在这些遭到攻击的用户中,大部分都是来自Mail.ru网站旗下的三个游戏论坛的用户。其中,有19万的用户来自vBulletin旗下的expertlaw.com论坛,以及的10万来自gamesforum.com论坛的用户。
事件始末:
8月24日,LeakedSource向Mail.ru网站的后台数据库中新加入了25133805个用户帐号。在发表这一公告时,LeakedSource公司的安全研究人员已经破解了其中12463300位用户的论坛账户密码。
此次vBulletin论坛的数据泄露事件主要涉及到了cfire.mail.ru(Cross Fire game—穿越火线)、parapa.mail.ru(ParaPa Dance City game)以及tanks.mail.ru(Ground War:Tank game)等3大游戏论坛的用户。
LeakedSource公司的安全研究人员经过调查后发现,在黑客泄露的Mail.ru网站用户记录中包含大量的个人信息,包括:用户名,登录密码、电话号码、以及常用IP地址等;而在其他遭到泄露的帐号中也含有类似的个人信息,包括:用户名、电邮地址、生日信息等等。
下面为用户在Mail.ru游戏论坛上最常使用的密码。LeakedSource公司表示:在这些遭到攻击的网站中,没有一个网站使用了正确的密码存储方式。他们均使用了一些MD5(加盐或不加盐)变种加密方式,来维护用户数据的安全。在我们看来,用户在Mail.ru论坛上使用的这些密码,实在滑稽可笑。
这些vBulletin论坛之所以会遭到攻击,发生数据泄漏,正是因为它们仍旧在使用着旧版vBulletin论坛软件(vBulletin 4.2.2和vBulletin 4.2.3)。该软件中存在一个严重的SQL漏洞,黑客能够利用其发动SQL代码注入攻击。据报道,这一漏洞在今年6月已经被修复了。
此外,在今年8月1日,据一份最新提交的安全报告显示,安全人员在vBulletin论坛软件中又发现了一个新的安全漏洞。黑客可利用该漏洞向vBulletin论坛的各大站点,上传恶意木马附件,危险性较高。
日前,Ryan Stolte(网络安全分析服务公司Bay Dynamics的创始人兼CTO)在一份声明中说到:“很不幸的是,这次的vBulletin论坛数据泄露事件并不是一次意外,而是网络黑客发动的一次有组织有预谋的攻击行动。在大多数情况下,很多IT公司都知道要对一些重要的系统和应用程序进行安全维护,但由于在此过程中,需要付出高额的维护成本,以及存在一定的安全风险,从而使得他们没能及时对一些关键的安全漏洞进行修复。很多公司往往都抱着这样一种侥幸心理,即:放心,我们是不会遭到网络攻击的。正是受到这种侥幸心理的影响,使得他们放松了警惕,从而也就导致了事故的发生。”
“与此同时,一些IT安全团队也没能与负责提供网络服务的运营商进行及时的协调和沟通,这就使得两者之间存在信息误差。很多网络服务运营商无法在第一时间获取漏洞信息,提出解决方案,因而也就为之后事故的发生埋下了隐患。”
以下是其他一些遭到黑客攻击的论坛站点,其中2315283位用户的个人信息遭到了泄露。黑客在攻击以下站点时,使用了与之前相同的攻击方式。
在LeakedSource报道了这一事件之后,挪威丰乐公司(Funcom,曾开发出TheSecretWorld、Age of Conan、Anarchy-Online以及Longest Journey等多款游戏的游戏开发商)也在第一时间作出了回应。他们向公司的广大用户发出了一份致歉函,对个人数据遭到泄露的用户表示了歉意。
Funcom表示,他们在此之前已经修复了相关的漏洞。而现在,他们还无法确定此次数据泄露事件发生的具体时间,此事仍旧处于调查之中。但他们已经采取了相应的补救措施,即:对某些论坛的用户密码管理系统进行了初始化设置,并让相关用户及时更换密码。
Funcom公司在一份声明中表示:“我们很遗憾地通知各位用户,在被泄露的数据中包括你们的用户名、电邮地址、以及加密密码等帐户信息。即使帐户密码经过加密处理,但也有可能会遭到破解。需要着重申明的一点是,我们对论坛账号和游戏账号是实行单独保存的,相关信息是存储在装有不同安全系统的服务器中。这次数据泄露事件涉及到的是论坛账号,而游戏账号没有受到影响。对此,大家尽管放心。”
事件最新情况:
近日,关于此次vBulletin论坛数据泄漏事件,我们又听到了一个不同的声音。来自Mail.ru公司的一位发言人表示,黑客窃取的那些用户密码其实是无效的,但Mail.ru并没有对Salted Hash软件提交的问题进行解释说明。下面的一段话是Mail.ru给出的完整说明:
“在我们看来,LeakedSource公司收集到的那些密码是无效的。它们是近些年来Mail.ru公司用户一直在使用的旧密码。在很长时间里,Mail.ru公司一直都在论坛和游戏中使用着一种全新的身份验证系统,安全性较高。用户在这个系统中所使用的密码和e-mail帐户以及其他服务之间,没有任何的关联。”
Mail.ru公司是于上周三(即8月24日)发布的这份声明。对于其中提出的观点,一位来自LeakedSource公司的发言人表示了反对,他说:“在调查一起数据泄露事件的时候,我们还有必要纠结于数据是否真实吗?这恐怕已经没有任何值得讨论的价值了吧。”
“在我看来,此次vBulletin论坛数据泄漏事件与两年前的Minecraft收购事件如出一辙。(2014年,微软公司以25亿美元收购了沙盒游戏Minecraft开发商—Mojang公司,随后Minecraft用户的个人数据就遭到泄露。)是的,当时微软的安全维护做的不错,没有遭到黑客攻击,但对其子公司Mojang中的用户数据,微软没有给予高度的重视,导致其发生泄露,这是我们需要引起重视的地方。”
对于Salted Hash后续提出的一系列问题,Mail.ru公司给出了回应。他们指责LeakedSource这种随意披露问题的做法,是一种极不负责任的行为;同时也对Mail.ru的声誉造成了极为恶劣的影响。
Mail.ru公司的发言人说道:“在事件原因尚未水落石出之时,我们已经发现有大量的媒体在报道此事,使我们公司陷入到了舆论大众口诛笔伐的漩涡之中,影响极其恶劣。而爆料人正是LeakedSource公司。现在,广大媒体都在奉行着这样一个潜规则,即:有些数据服务公司在公开披露一个安全漏洞之前,不是先通知相关的服务商,要求其进行修复;而是将自己所掌握的信息迅速爆料给媒体,让其大肆报道,毫不顾及相关公司的感受和利益。这对每一家IT公司的名誉都会造成不可估量的影响。而正是由于有类似于LeakedSource这样的公司存在,使得这种潜规则横行。现在,全球范围内的很多白帽黑客也开始效仿他们的这一做法了。”
“Mail.ru公司后台数据库中存储的是用户在游戏论坛上的注册信息,包括用户名和密码等。Mail.ru已经对其使用了一种全新的安全保护机制,在其中加入了身份验证系统,进一步提高了数据的安全性。该验证系统已经投入运行一段时间了,效果显著。对于LeakedSource公司关于论坛密码与电邮帐号存在关联的说法,我们不能认同。正如我们在官方声明中说到的那样,这些密码和电邮账号以及其他服务账号没有任何联系,对此,我们需要再一次重申。”
发表评论
您还未登录,请先登录。
登录