據(jù)KrebsOnSecurity得到的消息稱,今年約會(huì)服務(wù)網(wǎng)站Cupid Media(國(guó)外的)被入侵,泄漏了超過(guò)4200萬(wàn)條記錄，包括姓名,郵箱,沒(méi)加密的密碼和生日。

存放Cupid Media數(shù)據(jù)的服務(wù)器非常”有名”,hacker從同一臺(tái)服務(wù)器上獲取了Adobe,PR Newswire和National White Collar Crime Center和其他網(wǎng)站數(shù)以億計(jì)的記錄.

被竊取的數(shù)據(jù)庫(kù)中有超過(guò)4200萬(wàn)的記錄，這些記錄的格式是下面這樣的.我是11月8號(hào)接觸到Cupid Media的.

8天后，我從這個(gè)公司總經(jīng)理Andrew Bolton那兒聽到一些消息.Bolton說(shuō)這次的信息泄漏應(yīng)該和2013年一月份的一次入侵有關(guān)系.

“在一月份的時(shí)候，我們?cè)诠镜木W(wǎng)絡(luò)上檢測(cè)到一些可疑的活動(dòng),并且根據(jù)當(dāng)時(shí)我們掌握的信息，我們采取了一些我們覺得合適的措施.我們通知了受影響的用戶，并且為一些特殊的用戶重置了密碼,”Bolton說(shuō),”現(xiàn)在我們正在確認(rèn)受影響的用戶是否重置了密碼和收到郵件通知沒(méi)”.

無(wú)論是在媒體還是什么地方，我也沒(méi)找到任何關(guān)于他說(shuō)的”2013年一月份的入侵”的報(bào)道.當(dāng)我告知Bolton我接觸的用戶都說(shuō)自己的明文密碼被公開在上面的目錄中時(shí),Bolton卻告訴我我可能已經(jīng)”非法接觸”公司用戶.他還提到”上面那份公開的記錄中大部分的記錄都失效了，很多用戶帳號(hào)早已經(jīng)就沒(méi)有使用或者被刪除了”.

“在這次信息泄漏時(shí)間中實(shí)際上受影響的用戶數(shù)量應(yīng)該比你說(shuō)的4200萬(wàn)要少得多”,Bolton說(shuō)到.

Cupid Media公司的網(wǎng)站和Twitter上聲明Cupid Media在全球有超過(guò)3000萬(wàn)的用戶.不幸的是，很多公司都有把失效用戶的信息也存放起來(lái)的習(xí)慣.

Alex Holden是 Hold Security LLC公司的首席安全工程師,他說(shuō)Bolton的聲明讓他響起軟件巨頭公司Adobe.Ad

在那次Adobe被入侵的事件中，超過(guò)15000萬(wàn)人的eamil和密碼被泄漏，但Adobe說(shuō)目前他們只需要通知3800萬(wàn)的用戶就行，因?yàn)槠渌挠脩舳际窃缇筒淮嬖诘?

“Adobe說(shuō)他們有3800萬(wàn)的用戶，卻泄漏了15000萬(wàn)人的信息”，Holdent說(shuō)，”這個(gè)就涉及到公司的安全觀了，要看公司是怎么區(qū)分用戶和相信公司而愿意把信息存放在他們公司服務(wù)器上的個(gè)人了”.

這種大規(guī)模的入侵帶來(lái)的問(wèn)題是由于很多人都是在不同網(wǎng)站上用的都是一個(gè)一樣的密碼，這樣獲得了一個(gè)密碼和eamil就可能獲得很多個(gè)人信息.在這點(diǎn)上，F(xiàn)acebook做的很好，他通知那些Adobe的用戶修改他們的Facebook帳號(hào)密碼，降低了Adobe數(shù)據(jù)泄漏帶來(lái)的影響.

3400萬(wàn)Cupid用戶用Yahoo,Hotmail或者Gmail郵箱注冊(cè).56個(gè)本地安全公司的雇員也在這里尋找真愛.

Holden還說(shuō)Cupid Media的數(shù)據(jù)庫(kù)對(duì)于很多發(fā)垃圾郵件的人是個(gè)金礦.Cupid的用戶對(duì)于那些垃圾郵件特別是打廣告的郵件要比一般人要重視的多.想一下，那種偉哥,約會(huì)服務(wù),和減肥藥的廣告投放到他們的郵箱中，會(huì)發(fā)生什么?

Bolton后來(lái)在他的郵件中語(yǔ)氣要緩和的多,他表示公司沒(méi)有完全理解這次入侵帶來(lái)的后果.

“因?yàn)槟闾峁┝撕芏嘈畔?，我們現(xiàn)在已經(jīng)清楚地知道了一月的入侵使我們失去了什么”,Bolton寫道,”我們現(xiàn)在正在再次確認(rèn)受影響的用戶是否已經(jīng)重置密碼，并且是否收到我們的郵件通知”.

Bolton還寫道:

在一月份被入侵之后，我們聘請(qǐng)了外面的安全團(tuán)隊(duì)完成一次大范圍的安全加固.我們將密碼已經(jīng)哈希和加鹽處理過(guò)了,我們還提示用戶使用強(qiáng)密碼，并且我們還做了一些其他的安全措施.

我們想要感謝你讓我們重視到了這個(gè)問(wèn)題，我肯定我們有責(zé)任深入調(diào)查這次入侵并且做任何有必要的改進(jìn)。保護(hù)用戶的隱私和數(shù)據(jù)對(duì)我們來(lái)說(shuō)非常重要，我們會(huì)繼續(xù)加強(qiáng)安全措施.我們真誠(chéng)地對(duì)這次事件對(duì)用戶帶來(lái)的不變感到歉意.

看樣子Cupid公司不會(huì)再明文儲(chǔ)存密碼了.至少Cupid Media不會(huì)在你要求重置密碼的時(shí)候明文發(fā)送密碼，而很多大公司卻還是明文發(fā)送.在2011年二月的時(shí)候，有一件事情引起廣泛關(guān)注.這件事是關(guān)于pof.com網(wǎng)站3000萬(wàn)用戶的數(shù)據(jù)被曝光,pof也是一個(gè)約會(huì)服務(wù)公司，而且它也承認(rèn)明文存儲(chǔ)用戶密碼.

盡管我不會(huì)crack任何密碼,但是我覺得看一下Cupid Media用戶的常用密碼還是可以的.看起來(lái)Cupid用戶對(duì)密碼并不是很重視，因?yàn)楹艽笠徊糠钟脩粲昧顺?jí)弱的弱口令.根據(jù)我的統(tǒng)計(jì)，超過(guò)十分之一的Cupid用戶用了下面是個(gè)密碼:

排名前十的非數(shù)字密碼，這組密碼很可能被很多約會(huì)網(wǎng)站的會(huì)員使用喲.