信息來源:FreeBuf
像是每個公司都會把“保持謹慎的態(tài)度”掛在嘴邊一樣,亞馬遜最近“出于謹慎的考慮”,開始重置一部分用戶的密碼,這些用戶的個人信息都曾在網(wǎng)上有過不同程度的泄露。
亞馬遜表示,這次密碼重置并不是因為我們被入侵了,公司服務(wù)器還是十分安全的。只是亞馬遜的一個安全人員在網(wǎng)上發(fā)現(xiàn)了部分亞馬遜用戶的個人信息,應(yīng)該是這些用戶注冊的其他網(wǎng)站在被入侵的時候不小心泄露出來的。所以亞馬遜只是為了以防萬一才決定重置下部分用戶密碼。
不是我們泄露的——亞馬遜
因為亞馬遜不能確定他們的用戶會不會再次使用那些已經(jīng)被泄露的密碼,所以為了安全起見,亞馬遜選擇了重置。
從上周開始,就有用戶發(fā)Twitter證明他們收到了亞馬遜發(fā)來的密碼重置的郵件,但這還只是一小部分。在接下來的一周內(nèi),相信有更多用戶會陸續(xù)收到這封郵件。郵件如下圖所示:
截至目前,還無法確定亞馬遜此次密碼重置的行為到底覆蓋了多少用戶。
2015年7月事件回溯
類似的密碼重置事件還發(fā)生在去年7月。一個名為0x2Taylor的黑客在Twitter上上傳了一份文件,文件內(nèi)包含亞馬遜8萬Kindle用戶的賬戶信息。
在當(dāng)時的情況下,亞馬遜否認被黑了并不是沒有道理的。要知道,想要收集信息,不一定非要去入侵固若金湯的服務(wù)器。黑客可以直接通過惡意軟件來收集用戶的登錄信息,像是password dumpers, infostealers, 鍵盤記錄器這些工具,都可以在用戶不知不覺的時候就完成了信息的收集。
但這次事件證明,事實并非如此。在幾小時后,因為亞馬遜無視了0x2Taylor報告的安全問題,他又po出了一些截圖,都是關(guān)于泄露數(shù)據(jù)的。
有人設(shè)法在文件被刪除之前進行了備份,據(jù)說泄露的數(shù)據(jù)信息包括用戶的電子郵箱,密碼,所在城市和國家,電話號碼,郵政編碼,useragent字符串,IP地址和街道信息。
這次事件的似乎是更加傾向于0x2Taylor的版本,不過亞馬遜應(yīng)該對自己沒有被牽扯進更大型的信息泄露丑聞中去而感到慶幸。不像雅虎,動輒就是上億的用戶信息泄露。