聲稱對SnapchatDB負責的個人或團隊在資料庫上線後的第二天上午回應了Verge的置評請求,其中包含了洩露的大約460萬個Snapchat使用者名稱和部分電話號碼。”他們說:“我們釋出這一版本的動機是提高公眾對這一問題的認識,同時也向Snapchat施加公眾壓力,要求其修複這一漏洞。”安全性和使用者體驗一樣重要。”
“即使是現在,這種攻擊仍然存在。”
在向公眾釋出詳細資訊之前,給組織一個特定的時間框架來修複產品中的安全缺陷,這是白帽駭客的常用策略,旨在向開發人員施加壓力,使其儘快修複缺陷。在Snapchat事件中,就在幾天前,Snapchat在一篇部落格文章中提到了吉布森安全公司(Gibson Security)在平安夜釋出的一個漏洞,該漏洞聲稱每幾分鐘就可以將數千個電話號碼與使用者名稱進行匹配。”從理論上講,如果有人能夠上傳大量的電話號碼,比如區號中的每一個號碼,或者美國的每一個可能的號碼,他們就可以建立一個結果資料庫,並以這種方式將使用者名稱與電話號碼進行匹配,”Snapchat寫道。
事實上,SnapchatDB背後的團隊似乎就是這麼做的:“我們使用了[Gibson Security]漏洞/方法的修改版本,”他們告訴VergeSnapchat本可以透過回覆Gibs***ec的私人通訊輕鬆避免這一披露,但他們沒有。即使在那次披露之後很久,Snapchat也不願意採取必要的措施來保護使用者資料。一旦我們開始大規模的清理,他們就決定實施一些小的障礙,但這些還遠遠不夠。即使現在,這種攻擊仍然存在。仍有可能大規模地蒐集這些資料。”
他們說,SnapchatDB的網站後來被關閉了,“不是因為法律訴訟,而是因為託管提供商受到了巨大關註的恐嚇”。
SnapchatDB提供了未經審查的資料庫
SnapchatDB表示,這與Gibson的安全性無關,這意味著他們只使用了Gibson釋出的方法來蒐集使用者資料和構建資料庫。它隱藏了該系列中電話號碼的最後兩位數字,但表示觀眾應該“隨時”與它聯絡,以獲得未經審查的版本,它聲稱將提供給一些要求的人。到目前為止是誰要的?”“來自世界各地的安全研究人員,不同大學的教授,私人調查員和律師,”SnapchatDB說Snapchat沒有與我們取得任何聯絡,但看到他們如何無視(吉布森安全公司)的通訊嘗試,以及他們註意到刮擦發生後的反應,我認為他們還不夠關心。”
Snapchat尚未對此次洩密事件發表評論。
...示,三分之二的美國成年人知道自己的社交媒體賬戶遭到駭客攻擊。此外,大多數成年人限制他們共享的個人資訊。 ...
... Facebook積極克隆Snapchat功能是眾所周知的。Instagram的故事是對這一曇花一現的簡訊應用所帶來的競爭的直接回應。這些故事取得了令人振奮的成功,遠遠超過了Snapchat自己的使用者群。在...
... 雖然網站駭客和資料洩露多年來一直是我們網路生活的主流,但2016年是每個人被迫關注的一年。眾多傷亡者中包括雲端儲存提供商Dropbox和專業社交網路LinkedIn。 ...
...受到一種稱為本地檔案包含(local file inclusion)的攻擊。駭客透過這次攻擊可以訪問許多好友查詢資料庫,包括帳單資訊、成員列表和聊天日誌。 ...
...值的商品嗎?它也不僅僅侷限於銀行賬戶,很多你認為對駭客沒用的賬戶都在黑暗的網路上**。 ...
... 像bot這樣的工具讓駭客能夠自動填充,讓他們在短時間內對數十個站點測試數百萬個登入憑據。以下是您需要了解的有關這次攻擊的資訊以及保護自己的簡單方法。 ...
... 2016年,一名名為“和平”的駭客在黑暗網路上兜售其餘被盜的LinkedIn憑據。駭客聲稱掌握了1.67億LinkedIn使用者的資訊。據報道,90%的無鹽密碼在72小時內被破解。 ...