近80万Brazzers论坛用户的详细信息被泄露。

早在2009年，它就获得了AVN最佳****奖。三年后，790724名用户的私人信息遭到泄露。这是一场隐私噩梦，类似于2015年的Ashley Madison数据转储。

似乎泄露用户的色情习惯还不够糟糕，这可能会产生更广泛的影响。

发生什么事了？

我们应该看到这样的事情发生。一些人认为这会影响到所有访问过****的人，但事实并非如此。尽管如此，它确实暗示了一个广泛的漏洞，可能会影响到大多数有讨论论坛的网站。

但首先，让我们关注一下Brazzers，世界上最受欢迎的125000个网站中发生了什么。如果我们把Alexa的搜索范围限制在印度，它就在前25000名。这看起来似乎没什么，但考虑到互联网上有大约10亿个网站，这是相当令人印象深刻的。

这起违规事件发生在2012年，这是公认的很久以前。这是当年以来我们才奇怪地听到的一些泄密事件之一，其中包括LinkedIn和Dropbox，后者影响了大约6800万用户。

Brazzers本身并没有被攻破——相反，它是它的论坛，这实际上更令人担忧。另外，普通的巴西账户持有人可能仍然有理由担心。网站公关经理马特·史蒂文斯解释说：

The incident occurred because of a vulnerability in the said third party software, the "vBulletin" software, and not Brazzers itself. That being said, users' accounts were shared between Brazzers and the "Brazzersforum" which was created for user convenience. That resulted in a **all portion of our user accounts being exposed and we took corrective measures in the days following this incident to protect our users.

那很好，但是没有人知道事情发生的时间。这远非月亮果应对最近一次袭击的令人钦佩的方式。

用户名、电子邮件地址和密码都被泄露了，但论坛是人们讨论他们最深愿望的地方：而以前，这些幻想隐藏在一个神秘的用户名后面，这将用户的特殊癖好与他们的电子邮件地址联系起来。

尽管数据集包含928072封电子邮件，但其中许多都是重复的。这仍然使790724个独立用户受到影响。

怎么会更糟呢？

考虑到我们只是刚刚听说这件事，你可能会认为影响不大。毕竟，如果受害者的情况很糟糕，我们早就听说了。然而，这是非常令人关注的，特别是随着***的增加。

但有两个主要原因可能比最初听起来更糟。

首先，这些密码是纯文本的。您可能想知道负责任的网站如何安全地存储密码。答案是，不是纯文本。纯文本没有什么安全性。这意味着，如果有人要访问包含您密码的数据集，它将准确读取您如何输入密码。不管你的密码是不是有史以来最复杂、看起来最安全的密码：黑客只要读懂就行了。

纯文本意味着没有加密，没有盐渍，没有散列。任何一个网站仍然以这种形式存储一些重要的东西，这绝对是疯狂的。****的用户尤其希望得到非常高级别的加密，但这一漏洞提醒我们，即使是一些最流行的网站也会对你的私人信息使用不安全的方法。

vBulletin的进一步黑客攻击显示，论坛软件允许用户根据自己的喜好加密密码，因此我们可以推断，Brazzers本身就是使用纯文本的罪魁祸首。

然而，核心问题恰恰是vBulletin中的一个漏洞，它被近40000个实时站点使用。针对漏洞的补丁已经**完成，但它们自然要依靠网站的管理员来升级。这是个问题。

gta球迷也受到了影响

上个月，广受赞誉的侠盗猎车手系列网站GTAGaming上近20万个账户的详细信息被泄露，包括电子邮件地址、出生日期、IP地址和密码，后者至少被哈希两次（尽管只使用M5算法）并被加密。这促使网站彻底抛弃vBulletin：

We have now closed the forums permanently, and any accounts not updated within the next couple weeks will be deleted from the database. We will be moving the account database into a more secure authentication system, removing all trace of the vBulletin forum software, and until then will be keeping a close eye to prevent any further compromises.

考虑到使用vBulletin的知名网站的数量——特别是包括ubuntuforums.org网站，Linux操作系统的官方论坛——vBulletin的一个主要问题可能会引起严重的麻烦。VBulletin本身去年遭到攻击，导致所有用户都必须更改密码，开发者的链接网站VBTeam也是如此。

你能做什么？

你应该做的第一件事是检查你的电子邮件地址是否是泄露的一部分。如果你在火锅上，那就值得做了。如果你不知道，你还可以看看我被解雇了吗？，这将告诉你你是否遭受了任何违规行为的侵害，无论是在NSFW网站、MySpace等社交媒体网站上，还是Gmail这样的电子邮件提供商。

如果你是受害者，你肯定需要改变你的密码，无论是在布拉泽论坛上还是在你的电子邮件地址。仅仅因为你的数据被包含在了漏洞中，这并不意味着骗子实际上已经管理了用垃圾邮件轰炸你，或者欺骗你的地址。另一方面，由于这一泄露发生在2012年，你有可能已经遭受任何后果。

尽管如此，如果你有一个Gmail帐户，你可以检查你的活动监视器，以确保没有任何可疑的事情发生。事实上，我们总是建议跟踪最新的安全漏洞——同样，以防万一。

如果你要注册一个可能需要保密信息的网站（比如任何令人尴尬的秘密），请使用一个独特的电子邮件和密码，这将使潜在的网络犯罪分子更难将你的真实姓名与网上交易联系起来。

如果您是一个依赖vBulletin的站点的管理员，请确保更新它。最近的补丁是上个月，这是在多人Dota2的论坛被破坏后出现的，影响了190万个帐户。

可以吸取什么教训？

这并不是那些使用Brazzers论坛的人的错，但是讨论社区的用户在输入敏感数据时仍然应该格外警惕。任何使用****的人也应该注意。

是时候让公司意识到使用M5加密密码是不安全的了，更不用说纯文本了！如果你发现一个网站使用后者，你应该通知纯文本罪犯。

对于任何受影响的人，或者任何担心类似网站可能成为黑客攻击目标的人，你还有什么建议？