今天凌晨,黑客聚集的暗网突现一条售卖信息,一名黑客号称出售两个权重超高的shell+内网权限,A站acfun.cn与摩拜单车,信息中称两个网站日流量均超百万,且售价不菲。
某知情人士透露,为表示手上资源的真实性,该黑客后续又在GitHub
网站上公布了300名A站用户的用户名、邮箱和头像,并表示如果A站再不和他联系,将会公布用户数据的密码。据悉,此次泄露的A站数据库共有900万条A站用户数据,叫价40万元。
与此同时,A站发布公告确认遭到黑客攻击,近千万条用户数据泄露。公告称如果你自2017年7月7日之后从未登陆过A站,或者你的密码强度低,请立即更改密码。如果你在其他网站使用与 A 站相同的密码,也应及时修改。
据公告称,泄露的数据包括用户 ID、昵称以及加密存储的密码。同时公告也提示用户,所有的密码都是经过加密的没有明文密码。2017 年 7 月 7 日之后登录过 AcFun 的用户密码自动升级为更强的加密策略,密码是安全的,但如果密码过于简单,也要及时修改。
到目前为止,摩拜单车还没有数据库泄露传言有所回应,但不少业内人士表示数据泄露可信度很高。“因为该数据是用来出售的,如果是假的,买方一试便知。”该知情人士说。
数据库泄露对用户而言是极为危险的,因为许多人在各个网站上所注册的ID和密码是相同的,买家可以用已经泄露的数据库去“撞”其他企业网站的数据库,接着进行钓鱼或其他操作,这也是为何A站急着发公告要求用户修改别处密码的原因。
用户的网络数据受到法律保护,2017年6月1日开始施行的《中华人民共和国网络安全法》中指出,网络经营者开展经营和服务活动,必须遵守法律、行政法规,履行网络安全保护义务,接受政府和社会监督,承担社会责任。对于造成网络安全后果的,将被处于相应金额罚款。
国内领先的漏洞发现平台漏洞银行相关负责人表示,企业应接受安全风险存在的必然性,在此前提下,企业不应该“闭门造车”式的安全,应开展开放性的测试工作,对IT系统进行整体性的、开放式的、大范围的"黑客攻击"测试,从"黑客攻击"测试中获得系统问题与缺陷。ACFun已经开展了部分此类工作,建立了自己的SRC中心,但要进行更加专业全面的测试,还是建议到专业的漏洞平台进行专业的测试工作。
另外,企业还要提升风险应对能力,不能一出问题就让用户改密码。此次事件,黑客不仅植入了后门SHELL,同时还拿到了内网权限,可见企业在该方面的能力存在不足。
目前该事件已经被北京、深圳两地公安机关立案侦查。
文:沈湫莎
编辑:沈湫莎
责编:李雪林
*文汇独家稿件,转载请注明出处。