大约220万货币和游戏网站用户的密码数据被丢弃在网上
根据特洛伊·亨特(TroyHunt)的说法,密码数据和其他属于2个网站的220万用户的个人信息----一个密码钱包服务和另一个游戏机器人提供商----根据特洛伊寻线(TroyHunt)说,我背后的安全研究人员遭到了违反通知服务。
其中包括来自GateHub加密货币钱包服务的多达140万个帐户的个人信息。另一个包含RuneScapebot提供商EpicBot上大约80万个帐户的数据。这些数据库包括注册的电子邮件地址和密码,这些密码都是用bcrypt加密的,bcrypt是最难破解的函数之一。
发布3.72GBGatehub数据库的人说,它还包括双因素身份验证密钥、助记短语和钱包散列,尽管Gatehub官员说,一项调查表明钱包散列没有被访问。与此同时,EpicBot数据库据称包括用户名和IP地址。亨特说,他从两个数据库中选择了一个有代表性的帐户样本,以验证数据的真实性。他检查的所有电子邮件地址都注册到了这两个网站的帐户。
文件中的数据属于GateHub帐户持有人的另一个指示是:这个Twitter帖子。它来自AashishKoirala,一位自称软件开发人员,他说他最近收到了消费者信用报告服务Experian的身份保护部门的通知。柯伊拉腊说,这份通知通知他说,“我的@GateHub证书在黑暗网站上被发现了。”
@troy亨特刚从Experian的IDNotify那里得到消息说,我的@GateHub的凭据在黑暗的网络上被发现了。如果你收到任何关于门枢纽入侵或黑客的消息。
-AashishKoirala(@aashishkoirala)2019年11月14日。
虽然这两个转储中有220万个唯一地址,但每个转储中可能没有包含相应的密码散列或其他数据。
8月底,Gatehub账户数据被发布到一个被广泛访问的黑客网站上。三个月前,该加密货币服务机构报告称,该网站遭到黑客攻击。GateHub说,攻击者窃取了--或至少试图窃取--1.8万多个用户账户的大量敏感信息。该帖子的措辞不清楚哪些数据是成功地获得了访问令牌之外的数据。
GateHub官员写道:
正如我们之前在调查更新中所建议的那样,我们相信犯罪人获得了未经授权的访问数据库,该数据库持有我们客户的有效访问令牌。使用这些令牌,犯罪行为人访问了18,473个加密客户帐户,这在我们的用户总数中只占很小一部分。在受影响的帐户上,以下数据被锁定:电子邮件地址、散列密码、散列恢复密钥、加密xrp分类账钱包(仅限于未删除的钱包)、名(如果提供)、姓氏(如果提供的话)。
GateHub的披露还说,网站官员通知了账户被访问的用户,并生成了新的加密密钥和重新加密的敏感信息,如分类账钱包秘密密钥。
该数据库的发布意味着钱包服务在7月份披露的漏洞比此前预期的要大得多。攻击者不仅获得访问令牌,还拿走了2FA密钥、电子邮件地址、密码哈希、助记符短语以及可能的钱包散列。更重要的是,这一漏洞影响了多达140万GateHub用户,而不仅仅是披露中提到的18,473人。在一封电子邮件中,一名未透露姓名的GateHub安全小组成员写道:
我们知道RaidForms上有一个数据库,其作者声称它属于GateHub。我们的小组正在对所谓的GateHub数据库进行彻底审查,因此,我们目前无法确认其真实性。我们将确保随时通知您的任何更新。
从我们到目前为止收集的资料来看,它不包含钱包散列。如前所述,我们仍在核实其真实性。
我们对网络攻击的最初反应之一是向所有的GateHub帐户引入重新加密。随着新的重新加密,所有的GateHub帐户都被重新加密,我们所有的客户都必须更改他们的密码。这是在2019年7月提出的。
这份声明没有解释为什么调查在发布25天后和第一次访问4个月后一直无法核实数据的真实性。官员们所说的“重新加密”也不清楚。
亨特告诉我:“(数据库中)有对PGP的引用。”“有一些似乎是PGP加密的字符串。我不确定它们是否旋转。它们是在谈论旋转密码散列,还是在谈论与钱包相关的PGP部分?”
与此同时,EpicBot泄密事件于10月25日被发至同一黑客论坛,与GateHub垃圾场同一天。亨特说,它包含大约80万个唯一的电子邮件地址,以及用户名、IP地址和bcrypt哈希密码。EpicBot的官员没有回应对这篇文章发表评论的请求。我在EpicBot网站上找不到任何关于入侵的消息。
其他类型的个人信息泄露可能高达220万个账户,这就不那么令人钦佩了,特别是因为几乎没有证据表明所有受影响的用户都及时收到了通知。EpicBot用户应该尽快更改他们的密码。对于GateHub用户来说,考虑到7月进行的强制更改,不需要重新设置密码。但是记忆短语应该被替换,假设它们还没有被替换。
为了避免不断增长的凭据填充攻击的威胁,这两个站点的用户还应该更改使用已泄漏凭据的其他站点的密码。用户还应该警惕使用他们个人信息的鱼叉、网络钓鱼和其他形式的攻击。