趋势网(微博|微信)讯:在最近的Patreon 基金网站遭黑客期间,黑客已经发布将近150亿密码数据,捐赠记录及源代码的字节。
数据在各个网站上循环出现,也被许多人转帖,这些人认为数据的真假性不可能立即被确认的。安全问题调查者TroyHunt已经下载了档案文件,视察了其内容,推论它们几乎敢肯定来自Patreon服务器。他说黑客宣布的数据数量和类型表明破洞更广泛,其破坏性比预想要大。
他告诉Ars,源代码存在的事实是有趣的,也暗示了更多,并非典型的SQL注射攻击,包括更宽泛的妥协。他补充到:涉及137亿字节数据库的包含内容,在Patreon运动中,至少包含测绘个人信息。还有更多的数据,一旦完成还原,我将看得更明白。
他说破解那么大的档案文件,分类文章,下载各种SOL数据库需要时间。Hunt广泛浏览了“我被分类了么”网站,说他期望指数能尽快影响邮件地址。更新提示1:Hunt现在能够筛分数据,发现了230万独立的邮件地址,包括他自己的。
根据Patreon官网,用户密码都使用隐秘性加密工具,他们是一组散列函数,解开极其慢还需要计算。它的使用是解释破洞的一个原因,因为这意味着解密者必须投入大量的时间和资源解开混杂函数。然而,因为包含着源代码,解密者可能发现加速进程的程序错误。那恰恰是约会网站AshleyMadison被黑客时解密者上个月解密加密密码数据的时候。保护社会安全号码和税务系统人说进入源代码也可能暴露密匙。
Hunt不是唯一一个浏览内容的人。好几个人在社会媒体网站上发谣传的Patreon数据,包括上边的图片。如果是真的,最近9月24日Patreon服务器上出现过一些内容。正如这篇文章所准备的,许多 Patreon订阅者,包括这一个,去Twitter说他们发现他们的邮件地址被曝。
Patreon订阅者应确保在他们在Patreon网站和其他可能用到的网站上都改了确定好的密码。Patreon用户也应为他们在捐赠网站上所做的是网络记录的永久的一部分的这一非常大的可能性准备好。
更新提示2:Hunt说这个发表似乎包括了黑客中整个数据库,包括用户相当多的发送和接收的私人信息。他在Tweet上写道:很明显,整个运动,所有用户和承诺都见证了,你可以知道Patreon用户所做的所有。在另一篇Tweet上写道:Patreon运动钱不是问题,只是用户的身份,信息等所有隐私都被公开了。