228万名MeetMindful用户的数据被泄露
ShinyHunters黑客组织窃取了大量的用户信息,其中包括用户的位置信息,联系信息,约会偏好和身体描述等,这些资料在网上可以供人们免费下载。
据报道,在线约会网站MeetMindful的 228万名会员的数据被泄露,他们的Facebook的支付信息和个人的身体特征都被公开。
根据ZDNet的报道,ShinyHunters黑客组织已经窃取并对外公布了MeetMindful用户的个人身份(PII)数据。据一位匿名的安全研究人员向该媒体透露,这些数据可以在一个 "开放的黑客数据库交易论坛 "上进行免费的下载。
这些数据总共有1.2GB,在论坛上有1500个浏览量。它被下载了多少次目前尚不清楚。
MeetMindful是一个将交友与生活健康、生活指导、生活小贴士和生活思考相结合的平台。
该文件中包含了MeetMindful用户在注册账户和完善个人资料时所提供的信息。因此,研究人员的调查结果显示,这些内容包括姓名,电子邮件,城市,州和邮政编码,约会偏好,出生日期,婚姻状况,IP地址,以及受Bcrypt保护的账户密码等信息。然而,对于一些用户来说,最敏感的个人信息也包括在内,比如约会偏好,"身体细节描述",甚至是具体的地理位置。此外,Facebook用户ID和认证令牌也包含在内。
Threatpost联系了MeetMindful进行确认,但截至发稿时,还没有收到回复。
可能还会有许多攻击
安全研究人员指出,约会应用是网络犯罪分子最喜欢攻击的目标。
Lookout安全解决方案高级经理Hank Schless告诉Threatpost:
- 网络攻击者逐渐开始将目标锁定在约会平台上的用户,他们这样做是因为这些约会应用程序会获取很多的个人信息,同时还需要获取大量的如地理位置,访问相机和访问联系人等权限。
他指出,这次安全事故是在国际刑警组织发出约会应用中可能存在金融诈骗的警告之后发生的。
他说:
- 这里的每一个安全事故都表明,攻击者对约会应用用户的攻击方式并非只有一种,应用开发者和用户都应该意识到将个人数据托付给移动应用可能会带来的风险。应用开发者需要提高移动应用程序的安全性,随着攻击者攻击策略的不断发展,需要不断提高自身基础设施的安全性。约会应用程序的用户应该对于那些主动在互联网上和你进行互动的人提高警惕,并在手机上安装一个移动安全应用程序,以保证他们自身的安全。社会工程学攻击是一种常见的攻击策略,主要用来对用户进行钓鱼攻击,窃取他们的个人信息,或者说服他们下载恶意应用。
目前还发现了一种利用平台进行sextortion攻击的趋势,即利用交友平台中发现的性偏好和其他个人信息来攻击用户。
Schless说:
- 攻击者意识到,个人用户很可能愿意付出更高的代价来防止自己的这些个人信息被公之于众,Lookout最近发现了一个名为Goontact的sextortion攻击活动,该活动主要是对非法网站的用户进行攻击,然后窃取他们手机中的个人数据。
新网科技(NNT)全球副总裁Dirk Schrader指出,利用这些个人信息可以进行许多攻击。
他告诉Threatpost :
- 这种利用个人信息进行攻击的危害是很大的。最简单的方法是在数据中设置一些过滤条件,比如婚姻状况,然后利用电子邮件对用户进行逐个攻击尝试。更险恶的是将不同的数据信息组合起来,然后在工作场所对于目标进行钓鱼攻击。不过,大数据对于黑客来说并不陌生,因此他们只需要对Facebook账户和电子邮件地址进行一些研究即可。
ShinyHunters再次出击
该网站的数据是由一个名为ShinyHunters的网络黑客团伙泄露的。该组织在去年5月份曾作案多起,据称该团伙泄露了全球超过11家公司的7320万条用户记录,其中包括Homechef等在线快递服务、照片打印服务公司ChatBooks和高等教育新闻网站Chronicle.com等。
ShinyHunters做过的影响最大的案件是窃取了印尼最大电商平台Tokopedia的9100万用户的登录数据,然后以5000美元的价格在暗网上出售。
该组织去年还声称,它闯入了微软的GitHub账户,并从这家科技巨头托管在平台上的私人仓库中窃取了500GB数据。
上周,该组织窃取了1280万Teespring用户的详细信息,这是一个让用户创建和销售定制服装的网络门户。同时,网络犯罪分子对外免费公布了这些数据。
黑客的攻击目标:云环境
目前还不清楚ShinyHunters是如何获取权限来访问该网站的数据的,但网络安全专家、Cymulate的CTO Avihai Ben-Yossef怀疑可能是由于云端配置不当造成的。
他通过电子邮件说:
- 攻击者ShinyHunters......有一个特点,就是优先对使用云服务的公司进行攻击,那些从一开始就把基础设施放在云端的公司,很容易受到攻击,企业在进行云安全建设方面还有很多工作要做,包括多因素认证、良好的证书和身份存储管理、更好的配置和账户控制、良好的工作负载划分等;同时还要进行持续的安全评估工作。
Schrader指出:
- 这些公司似乎对攻击本身知之甚少,如果他们缺少包括漏洞、补丁、变更控制和文件完整性监控在内的所有安全控制措施,这种情况下很可能会受到攻击。《linux就该这么学》不错的linux自学书籍