1、Evernote

前不久，在線筆記應(yīng)用公司Evernote向其5000萬用戶發(fā)出重置密碼通知，因?yàn)樵摴景l(fā)現(xiàn)功黑客已經(jīng)侵入內(nèi)部賬戶信息數(shù)據(jù)庫來竊取加密的用戶名和密碼組合。雖然該公司使用加鹽值MD5哈希來進(jìn)行加密保護(hù)，但專家批評這是很容易遭受暴力破解的加密方法，并不像bcrypt、scrypt或者PBKDF2那么有效，這些加密方法可以減少攻擊者每秒的自動(dòng)猜測密碼的數(shù)量。

評論：防不勝防，加密信息被盜。

2、Yahoo Voices

在2012年7月，名為D33Ds Company的黑客組織通過SQL注入攻擊侵入雅虎的子網(wǎng)站，對包含超過45萬未加密Yahoo Voice密碼的數(shù)據(jù)庫進(jìn)行竊取。攻擊者在其公開張貼在網(wǎng)上的密碼信息中附上了這條信息：“我們希望負(fù)責(zé)管理該子網(wǎng)站的安全性的各方將此作為一次警告，而不是一種威脅。”

評論：保護(hù)數(shù)據(jù)，自我保護(hù)和外部防范都要做好。

3、LinkedIn

在2012年6月，LinkedIn從安全社區(qū)得到糟糕的評價(jià)，因?yàn)樵摴居谐^650萬用戶密碼被竊取，而這些密碼的唯一保護(hù)是未加料的加密哈希。研究人員Ching Tim Meng表示：“從一個(gè)重要線索中我們可以確定該公司對其安全是否重視：使用未加料SHA1密碼哈希。這是不安全地存儲(chǔ)哈希密碼的經(jīng)典錯(cuò)誤，這是一個(gè)嚴(yán)重的錯(cuò)誤。”

評論：疏忽帶來用戶密碼被盜。

4、eHarmony

在LinkedIn事故不久后，攻擊者在網(wǎng)上公布了來自eHarmony網(wǎng)站的超過150萬不區(qū)分大小寫的密碼，這暴露了該在線交友網(wǎng)站糟糕的密碼保護(hù)政策。與LinkedIn一樣，eHarmony也是使用未加料的哈希來保護(hù)其密碼。來自Trustwave SpiderLabs的研究人員報(bào)告稱，只花了72小時(shí)就破解了80%的密碼。

評論：同樣的案例。

5、Zappos

在2012年1月，在線鞋類零售商Zappos在發(fā)現(xiàn)2400萬密碼遭受泄露后，向其所有客戶發(fā)送密碼重置通知。該公司對于其對密碼部署的保護(hù)機(jī)制“含糊其辭”，并沒有透露用以模糊登錄信息的加密類型。雖然該公司因此受到一些非議，但很多業(yè)內(nèi)人士對該公司快速響應(yīng)泄露事故以及采取積極措施要求用戶重置密碼的做法表示贊賞。

評論：亡羊補(bǔ)牢，為時(shí)未晚。

6、DreamHost

Web托管公司DreamHost遭受了嚴(yán)重的泄露事故，攻擊者侵入了包含其所有共享托管賬戶的FTP登錄憑證的數(shù)據(jù)庫。這次泄露事故也暴露了該托管公司的問題，即他們將這些密碼存儲(chǔ)以純文本保存的傳統(tǒng)數(shù)據(jù)庫表中。很多身份管理專家稱，這次泄露事故很好地說明了為什么企業(yè)需要重新思考在分布式數(shù)據(jù)庫中登錄憑證的存儲(chǔ)。

7、Twitter

上個(gè)月，Twitter宣布超過25萬用戶的密碼被泄露，并敦促其用戶重置其密碼。根據(jù)業(yè)界傳言稱，該公司正在努力開發(fā)與谷歌目前使用的類似的雙因素身份驗(yàn)證。這并不是Twitter遭遇的唯一的泄露事故。在2012年5月，攻擊者在Pastebin公布了約6萬名Twitter用戶的密碼賬戶信息，雖然該公司表示，這其中至少有一半是被阻攔的垃圾郵件賬戶。

評論：即使重要信息泄露的可能是百分之一，也不能松懈。

8、Booz Allen Hamilton

來自AntiSec組織的攻擊者向政府軍方承包商Booz Allen Hamilton進(jìn)行了攻擊，并發(fā)布了9萬個(gè)美國軍方電子郵件地址和密碼，這些密碼使用未加料的SHA1哈希加密。另外有趣的細(xì)節(jié)包括美國中央司令部、特種作戰(zhàn)司令部、海軍陸戰(zhàn)隊(duì)、空軍部隊(duì)以及國土安全局的賬戶密碼。

評論：國家安全受到威脅。

9、Sony Pictures

對于索尼來說，2011年并不是一個(gè)好年頭。在超過7700萬索尼Playstation網(wǎng)絡(luò)用戶的個(gè)人身份信息泄露后，LulzSec繼續(xù)在其傷口上撒鹽—竊取并公布了SonyPictures.com的100萬用戶密碼。此泄露事故的攻擊者Raynaldo Rivera去年被定罪。

評論：震驚世界的黑客行動(dòng)。

10、RockYou

RockYou公司在2009年遭受了泄露事故，3200萬純文本密碼被泄露，這也是第一批公開的大型密碼泄露事故之一。RockYou不得不向FTC支付25萬美元的民事罰款，因?yàn)槠湮茨苈男须[私政策—沒有提供足夠安全的密碼保護(hù)。