随着网站被黑客入侵,660万个明文密码被公开

明文密码、用户名、电子邮件地址和大量其他个人信息已经为220多万使用ClixSense创建帐户的人发布,ClixSense是一个声称支付用户观看广告和完成在线调查费用的网站。抛弃它的人说,他们正在为另外440万个账户出售数据。

Troy Hunt,违规通知服务的运营商,我被解雇了吗?他说,他审阅了文件,并得出结论,几乎可以肯定文件中包含了从ClixSense获取的数据。除了未加密的密码和电子邮件地址之外,转储还包括用户出生日期、性别、名字和姓氏、家庭地址、IP地址、帐户余额和支付历史记录。

一个发布泄露数据的帖子说,这只是从一个包含660多万ClixSense用户帐户的受损数据库中获取的个人信息样本。邮报说,较大的、未发表的数据集也包括电子邮件,正在以未公开的价格出售。虽然周末发布到pastebin . com的消息已经被删除,但在准备这篇文章时,两个示例数据库文件仍然处于活动状态。帕斯捷宾邮报周六发表,一两天后被撤下,部分内容是:

新的巨大漏洞!来自clixsense . com网站: ~数据库包括用户 6,606,008明文传递、用户名、电子邮件、地址、安全应答、SSN、DOB。~emails business + personal (发送+接收了超过70k封电子邮件)~site (完整)

的源代码,文章接着说,大部分被泄露的个人信息截至上个月是最新的,电子邮件和其他一些数据是本月早些时候更新的。如果这是真的,那么这将使数据比最近的许多泄漏更有价值,比如2012年Dropbox的泄漏。

ClixSense所有者Jim Grago在一封私人邮件中彻底黑客攻击,证实他公司的服务器、域名系统设置和电子邮件都完全受损。他还证实,该数据库包含约660万个账户的条目,进一步证实了攻击者在现已删除的Pastebin帖子中的说法。Grago在消息中写道:

这一切都是在上周日,即美国东部时间9月4日凌晨5点左右开始的,当时我的首席开发者打电话给我,说ClixSense正在重定向到一个同性恋色情网站。黑客能够接管我们的DNS并设置重定向。周一(劳动节),他们能够侵入我们的主机提供商,关闭我们的所有服务器,侵入我们的Microsoft Exchange服务器,并更改我们所有电子邮件帐户的密码。周二,他们能够访问直接连接到我们数据库服务器的服务器,并获得我们用户表的副本。

Grago还说,ClixSense在故障开始后不久,就对所有用户发布了强制密码重置。ClixSense网站上的一项声明说,数据库受损涉及一台不再使用但仍可访问数据库服务器的旧服务器。旧服务器已被终止。公告没有提及在如此大量的个人信息公开后,在线传播的个人信息或用户应该采取的防范措施。

进一步了解在线安全的秘密:谎言、随机字符和拥有ClixSense帐户的密码管理员应该特别警惕来自已知或可信方的垃圾邮件和网络钓鱼诈骗。ClixSense用户还应该更改任何密码,这些密码甚至与他们在ClixSense遭到黑客攻击时使用的密码大致相同。现在也可能是一个修改基本安全卫生的好时机,创建每个帐户唯一的长的、随机生成的密码。实现这一点的一种方法是使用密码管理器。

同样值得记住的是,个人信息的安全性与我们信任的站点一样。当服务要求提供家庭地址、出生日期或其他数据时,考虑提供这些数据是否真的有足够的好处。以ClixSense为例,它经常在社交媒体网站上这样的促销活动中被描述,我强烈怀疑它是否值得,因为数据库以明文存储密码,而不是遵循标准行业惯例。在其他情况下,可能会对地址、出生日期和其他个人详细信息的请求提供不完整或完全不正确的答案。

下次某个网站提出要求时,请记住像ClixSense这样的常见问题正在变得多么普遍。