信息來源:Cnbeta
據(jù)知名網(wǎng)絡安全新聞網(wǎng)站KrebsOnSecurity報道,有人正在網(wǎng)絡犯罪論壇上出售在北美頗受歡迎的移動停車應用ParkMobile的2100萬客戶的賬戶信息。被盜數(shù)據(jù)包括客戶的電子郵件地址、出生日期、電話號碼、車牌號、哈希密碼和郵寄地址。
KrebsOnSecurity首次從紐約市的威脅情報公司Gemini Advisory那里聽說了這一漏洞,該公司密切關注網(wǎng)絡犯罪論壇。Gemini在一個俄語犯罪論壇上分享了一個新的銷售線索,在附帶的被盜數(shù)據(jù)截圖中包含了一些用戶的ParkMobile賬戶信息、電子郵件地址和電話號碼,以及車輛的車牌號。
當被問及銷售線索時,總部位于亞特蘭大的ParkMobile表示,該公司在3月26日發(fā)布了一則通知,內容是 "發(fā)生了一起網(wǎng)絡安全事件,與我們使用的一款第三方軟件的漏洞有關"。
“作為回應,我們立即在一家領先的網(wǎng)絡安全公司的協(xié)助下展開調查,以解決這一事件,”通知中寫道?!俺鲇谥斏髌鹨?,我們也已經(jīng)通知了相關執(zhí)法部門。調查還在進行中,我們目前能提供的細節(jié)有限?!?
聲明還指出:“我們的調查表明,我們加密的敏感數(shù)據(jù)或支付卡信息均未受影響。同時,自從了解到該事件以來,我們還采取了其他預防措施,包括消除第三方漏洞,維護我們的安全性以及繼續(xù)監(jiān)視我們的系統(tǒng)?!?
當被要求澄清攻擊者確實獲取了什么信息時,ParkMobile證實其中包括基本的賬戶信息--車牌號,如果提供,還包括電子郵件地址或電話號碼等。
"在一小部分情況下,可能會有郵寄地址,"發(fā)言人Jeff Perkins說。
ParkMobile并不存儲用戶密碼,而是存儲了一種相當強大的單向密碼哈希算法的輸出,這種算法被稱為bcrypt,它比MD5等常見的替代方案更耗費資源,破解成本更高。從ParkMobile竊取并出售的數(shù)據(jù)庫包括每個用戶的bcrypt哈希值。
"你說的沒錯,bcrypt哈希值和‘加鹽’密碼都被獲得了,"當被問及數(shù)據(jù)庫銷售線程中的截圖時,Perkins說。
"注意,我們的系統(tǒng)中并沒有保留加鹽值,"他說。"此外,被泄露的數(shù)據(jù)不包括停車歷史、位置歷史或任何其他敏感信息。我們不會向用戶收集社會安全號碼或駕駛執(zhí)照號碼。"
ParkMobile表示,它正在最后確定其支持網(wǎng)站的更新,以確認其調查的結論。但不知道其有多少用戶甚至知道這次安全事件。3月26日的安全通知似乎沒有鏈接到ParkMobile網(wǎng)站的其他部分,而且該公司最近的新聞稿列表中也沒有它。
同樣令人好奇的是,ParkMobile并沒有要求或強迫其用戶更改密碼作為預防措施。安全研究人員使用ParkMobile應用來重置密碼,但應用中沒有任何信息提示這是一件及時的事情。
這次數(shù)據(jù)泄露事件對ParkMobile來說是在一個關鍵的時刻發(fā)生的。3月9日,歐洲停車集團EasyPark宣布計劃收購該公司,該公司在北美450多個城市運營。