我们已经知道rockyou.com的SQL漏洞使得3200万用户密码遭泄露,RockYou把密码以明文的形式存在了数据库里并被入侵者盗走。很不幸 的告诉你现在这件事情变得越来越糟了。 开始RockYou打算对用户隐瞒此事,没有通知用户实际情况,而是申明说是部分的”旧”程序出现了一些问题。于是入侵者以公布一小部分用户资料作为回 应,而且表示已经成功入侵整个数据库的人不止他一个,入侵者都能恨清楚的看到密码”躺”在那里。之所以说事情变得越来越糟了,是因为数据库中还存储了用户 在其他的一些社交网络类型网站的数据,其中就包括用户在MySpace的一些数据,当然还有email账号。
Data UserAccount [32603388]
================
1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com
2|phdlance@gmail.com|mek*****|myspace|1|
3|jennaplanerunner@gmail.com|mek*****|myspace|0|
5|teamsmackage@gmail.com|pro*****|myspace|1|
6|ayul@email.com|kha*****|myspace|1|tagged.com
7|guera_n_negro@yahoo.com|emi*****|myspace|0|
8|beyootifulgirl@aol.com|hol*****|myspace|1|
9|keh2oo8@yahoo.com|cai*****|myspace|1|
10|mawabiru@yahoo.com|pur*****|myspace|1|
11|jodygold@gmail.com|att*****|myspace|1|
12|aryan_dedboy@yahoo.com|iri*****|myspace|0|
13|moe_joe_25@yahoo.com|725*****|myspace|1|
14|xxxnothingbutme@aol.com|1th*****|myspace|0|
15|meandcj069@yahoo.com|too*****|myspace|0|
16|stacey_chim@hotmail.com|cxn*****|myspace|1|
17|barne1en@cmich.edu|ilo*****|myspace|1|
18|reo154@hotmail.com|ecu*****|myspace|1|
19|natapappaslie@yahoo.com|tor*****|myspace|0|
20|ypiogirl@aol.com|tob*****|myspace|1|
21|brittanyleigh864@hotmail.com|bet*****|myspace|1|myspace.com
22|topenga68@aol.com|che*****|myspace|0|
23|marie603412@yahoo.com|cat*****|myspace|0|
24|mellowchick41@aol.com|chu*****|myspace|0|
25|baiko0o@aol.com|may*****|myspace|0|
26|indahamzah84@hotpop.com|lov*****|myspace|0|
入侵者使用的Sql注入技术是一种已经在书本上详细记载了十多年的技术,脆弱的漏洞被非常基础的手段入侵,却酿成了灾难性的影响,现在RockYou、用户都认识到了事件的严重性了。奇怪的是为什么这么一块香甜可口的瑞士奶酪(对于安全漏洞和不良行为来说)没有被早点发现,而是现在网站拥有这么多的用户数据后才爆出问题。
RockYou到底哪里出错了呢?
1.简单的密码政策
注册时只要求用户输入长度不小于5位的密码,而且没有对大小写混合、特殊字符的要求,这实际上就是在鼓励用户使用简单的密码。
2.明文密码
问题爆出之前他们使用明文存储和传输用户的密码,在漏洞爆出,人人皆知的今天,他们仍然使用email发送明文密码给新注册用户。
3.低级的反密码方式
RockYou提示用户输入进入第三方网站的直接凭据(用户名和密码),这实在是非常疯狂且低级的表单。(现在Facebook和Myspace都采用了适当的用户验证)。告诉用户你不会记住他们的密码是没有用的。
4. 糟糕的事后处理
RockYou是两天前知道的漏洞,他们的表现太糟糕了,用户要不是阅读在线新闻的话,可能他们还不知道自己的密码已经被泄漏了。这遭到了入侵者和用户的嘲讽和强烈质疑。
5.网站的隐私政策中相关的”安全”部分写道:
————————————
Our Commitment To Data Security:
RockYou! uses commercially reasonable physical, managerial, and technical safeguards to preserve the integrity and security of your personal information. We cannot, however, ensure or warrant the security of any information you transmit to RockYou! and you do so at your own risk. Once we receive your transmission of information, RockYou! makes commercially reasonable efforts to ensure the security of our systems. However, please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.
If RockYou! learns of a security systems breach, then we may attempt to notify you electronically so that you can take appropriate protective steps. RockYou! may post a notice on the RockYou! Sites if a security breach occurs. Depending on where you live, you may have a legal right to receive notice of a security breach in writing. To receive a free written notice of a security breach (or to withdraw your consent from receiving electronic notice) you should notify us using this contact form.
————————————
看完上面的文字,你应该知道下次你注册一个Web服务时,要花一点时间来看看他们的关于保护用户数据和隐私的立场和申明。
RockYou出现如此严重的安全问题,但他们没有采取纠正问题的措施或修补造成的破坏,也没有以适当的方式处理与他们的用户的关系。对于这种特大问题,其实适当的反应应该是在得知问题之后的数小时内就强制用户重新设置密码,并以加密方式存储起来。悲哀的是,该公司能够如此”泰然处事”,是因为他的大多数用户并不了解这一点,大多数用户不会受到影响,而且在他们的用户协议当中写着服务提供商是零问责制。
如果您知道任何一家公司有类似的政策,或用电子邮件发送明文密码 。请告诉他们这是非常不妥当的做法,如果他们不采取你的意见,请你马上离开。
当然如果你拥有或者管理着一个网站,而你犯有上面提到的Rockyou所犯错误中的任何一点(或几点)的话,请你马上改变策略以及程序,必须快,因为你知道Rockyou给你敲的警钟已经足够响了。
原文 http://www.techcrunch.com/2009/12/14/rockyou-hack-security-myspace-facebook-passwords/
翻译:3秒/3seconds.cn