来源:cnbeta 作者:妮子
我们已经知道rockyou.com的SQL漏洞使得3200万用户密码遭泄露,RockYou把密码以明文的形式存在了数据库里并被入侵者盗走。很不幸 的告诉你现在这件事情变得越来越糟了。开始RockYou打算对用户隐瞒此事,没有通知用户实际情况,而是申明说是部分的“旧”程序出现了一些问题。
于是入侵者以公布一小部分用户资料作为回应,而且表示已经成功入侵整个数据库的人不只他一个,入侵者都能很清楚的看到密码“躺”在那里。之所以说事情变得越来越糟了,是因为数据库中还存储了用户在其他的一些社交网络类型网站的数据,其中就包括用户在MySpace的一些数据,当然还有email账号。
Data UserAccount [32603388]
================
1 jennaplanerunner@hotmail.com mek***** myspace 0 bebo.com
2 phdlance@gmail.com mek***** myspace 1
3 jennaplanerunner@gmail.com mek***** myspace 0
5 teamsmackage@gmail.com pro***** myspace 1
6 ayul@email.com kha***** myspace 1 tagged.com
7 guera_n_negro@yahoo.com emi***** myspace 0
8 beyootifulgirl@aol.com hol***** myspace 1
9 keh2oo8@yahoo.com cai***** myspace 1
10 mawabiru@yahoo.com pur***** myspace 1
11 jodygold@gmail.com att***** myspace 1
12 aryan_dedboy@yahoo.com iri***** myspace 0
13 moe_joe_25@yahoo.com 725***** myspace 1
14 xxxnothingbutme@aol.com 1th***** myspace 0
15 meandcj069@yahoo.com too***** myspace 0
16 stacey_chim@hotmail.com cxn***** myspace 1
17 barne1en@cmich.edu ilo***** myspace 1
18 reo154@hotmail.com ecu***** myspace 1
19 natapappaslie@yahoo.com tor***** myspace 0
20 ypiogirl@aol.com tob***** myspace 1
21 brittanyleigh864@hotmail.com bet***** myspace 1 myspace.com
22 topenga68@aol.com che***** myspace 0
23 marie603412@yahoo.com cat***** myspace 0
24 mellowchick41@aol.com chu***** myspace 0
25 baiko0o@aol.com may***** myspace 0
26 indahamzah84@hotpop.com lov***** myspace 0
入侵者使用的Sql注入技术是一种已经在书本上详细记载了十多年的技术,脆弱的漏洞被非常基础的手段入侵,却酿成了灾难性的影响,现在RockYou、用户都认识到了事件的严重性了。奇怪的是为什么这么一块香甜可口的瑞士奶酪(对于安全漏洞和不良行为来说)没有被早点发现,而是现在网站拥有这么多的用户数据后才爆出问题。
RockYou到底哪里出错了呢?
1.简单的密码政策
注册时只要求用户输入长度不小于5位的密码,而且没有对大小写混合、特殊字符的要求,这实际上就是在鼓励用户使用简单的密码。
