网络信息安全:盘点10起互联网密码泄露事故

【2018-01-16】

  网络信息安全:库存10互联网密码泄漏事故

  不久前,一家在线票据公司Evernote向5000万用户发出重置密码通知,因为该公司发现黑客入侵了内部账户信息数据库,窃取了加密的用户名和密码组合。虽然该公司使用基于盐的MD5哈希来加密保护,但专家们却批评它是一种不易与bcrypt,scrypt或PBKDF2一样有效的加密方法。这些加密方法可以减少每秒攻击者的数量自动猜测密码的数量。评论:不可避免的,加密的信息被盗。雅虎之声2012年7月,一家名为D33Ds公司的黑客组织通过渗透雅虎子网站的SQL注入攻击盗取了一个包含超过450,000个未加密雅虎语音密码的数据库,攻击者将这条消息附加到他们公开发布在网上的密码:我们希望所有负责该子网站安全的人员将此作为警告,而不是威胁。评论:保护您的数据,自我保护和外部防范都做得很好。3,LinkedIn 2012年6月,LinkedIn获得了由于该公司有超过650万个用户密码被盗,而且这些密码的唯一保护是未经修改的密码哈希值,所以安全社区的评级很差。研究员Ching Tim Meng说:“从一个重要的线索,我们可以确定公司重视其安全性:使用未经检查的SHA1密码哈希。这是不安全地存储散列密码的一个经典错误,这是一个严重的错误。评论:未能带来用户密码被盗。 4,eHarmony在LinkedIn事故发生后不久,攻击者在eHarmony网站上发布了超过150万个不区分大小写的密码,揭示了在线约会网站的密码保护政策不佳,像LinkedIn一样,eHarmony也使用未命名的哈希来保护密码。来自Trustwave SpiderLabs的研究人员报告说,在72小时内破解了密码需要80个小时。评论:同样的案例5. Zappos 2012年1月,在线鞋履零售商Zappos发现了24位密码重置通知给所有客户百万密码被盗用,公司对其密码保护机制含糊不清,并未透露用于混淆登录信息的加密类型,虽然该公司遭到了一些批评,但很多业内人士称赞公司对漏洞的及时响应,其积极的步骤要求用户重置密码。评论:为了解决这个问题,现在还不算晚。