互联网上最大的网站管理员论坛发生了数据泄露事件

又是一天,又是一次大数据泄露。7月1日,WebsitePlanet研究团队与安全研究员耶利米·福勒(Jeremiah Fowler)合作发现了一个不受密码保护的数据库,其中包含互联网上最大的网站管理员门户的记录。经进一步研究,Digital Point似乎泄露了863412名用户的数据。

Digital Point声称是世界上最大的网络管理员论坛和网络相关服务市场。该论坛允许人们买卖网站、搜索引擎优化和各种各样的服务。该网站面向那些为自己或客户维护或创建网站的个人。

数据泄露摘要。ComLocation加利福尼亚州圣地亚哥2工业互联网论坛/网站管理员记录总数62858144记录No。共有863412位数字点用户暴露了地理范围世界范围内的数据类型暴露了用户电子邮件、姓名、内部用户ID号、内部记录和用户帖子。潜在影响域劫持、有针对性的网络钓鱼尝试、基于电子邮件的恶意软件攻击、社会工程。数据库面临勒索软件的风险。中间件信息,可能允许恶意软件的第二路径。存储信息,网络罪犯可以利用这些信息深入网络。

Data storage Format这是一个弹性数据库,可以打开并在任何浏览器中可见(可公开访问),并且可以在没有管理凭据的情况下编辑、下载甚至删除数据。

*作为安全研究人员,我们从不提取数据或规避密码或其他安全措施。我们只拍摄有限数量的截图来验证我们的发现。

根据他们的LinkedIn档案“Digital Point是互联网上最大的网站管理员论坛。成千上万的自由职业者通过数字点论坛谋生。这里有自由职业者、服务提供商、编码员、营销人员和几乎每一个行业的人”

这种数据暴露增加了一场竞争的风险有针对性的网络钓鱼活动和域名劫持。拥有联系信息、电子邮件和其他详细信息可能会让网络罪犯利用获得的实际域名所有者的个人信息来冒充他们。域名劫持听起来就是这样,犯罪分子可能会试图更改注册信息和所有权细节。这种类型的盗窃将使域名劫持者获得对网站名称的完全控制,并可以将该域名用于自己的目的,或试图将其出售给第三方。每一点数据都是一块拼图,可以用来创建一个人或目标的完整图片或个人资料。暴露的数据库包含用户帖子和活动,因此从理论上讲,这会识别出正在出售域名的用户、他们的价值或要价等。

I并不是说Digital Point的用户面临此类网络钓鱼的风险,而是提高了对域名劫持真正威胁的认识。这个数据集将成为域名劫持者的信息宝库。许多电子邮件账户都受到[电子邮件保护]或类似的保护。域名被盗可能会毁掉一家企业或一个组织,而且不能保证你能把它归还。任何失去域名的人都会告诉你,与律师打交道、支付法庭费用、失去客户的信任都将是毁灭性的。

网站管理员可以采取一些措施来尝试和保护他们的域名。最简单的方法之一是启用双因素身份验证。使用强密码,定期更改,不要对多个帐户重复使用密码。这似乎是常识,但随着人类的进步,我们会感到舒适,错误也会发生。最后一步是永远不要向任何人提供你的管理员凭据,除非你可以验证或核实此人是谁,并且他们有真正的理由要求提供该信息。

内部记录还介绍了论坛的运作方式,以及数字点收集和存储的数据类型。其中一个有趣的收藏包括报告或标记帖子以及原因的用户和论坛成员。他们详细描述了为什么要告发某人,以及他们不喜欢什么。一些人对不良商业交易或垃圾邮件的看法是合理的,而另一些人则显得小气和个人化。显然,匿名报告其他成员的用户不希望这些信息被公开。

该数据库还面临勒索软件的风险,幸运的是,在“喵喵机器人”几乎在一夜之间摧毁了全球数千个数据库的两周前,该数据库被发现并得到了保护。不受密码保护的数据库的危险之一是,它是一个静坐的目标,等待被窃取、加密或删除。不仅可能存在通过其联系信息成为目标的用户的潜在风险,而且整个网络都暴露在外,容易受到攻击。

Digital Point的幕后故事和创始人我以前听说过他们,但在为向谁发送数据披露通知进行额外研究之前,我不知道Digital Point有如此丰富的历史。Digital Point由肖恩·霍根(Shawn Hogan)于2000年初创立,他从一个软件和搜索引擎优化专家发展成为当时最臭名昭著的联盟营销者之一。2011年,Ebay起诉Digital Point,称Hogan诈骗了Ebay 2800万美元的在线营销费用。

根据《商业内幕》上的一篇文章,“霍根在其他2.6万人的队伍中,已成为eBay上排名第一的联盟营销者。2013年,他还在谷歌的AdSense合作伙伴中排名第二。”。自2006年以来,他一直与FBI秘密合作,监控他发送的流量。他在代销佣金方面做得非常好,以至于他们开始怀疑网络流量在某种程度上操纵了eBay的系统,并在这个过程中奖励了霍根。FBI和eBay声称,他通过植入cookies来实现这一点,以便附属网络支付佣金。霍根声称没有任何不当行为,eBay的附属团队鼓励他继续做好工作。最后,肖恩·霍根被判处五个月联邦监禁,缓刑三年,罚款2.5万美元。

我们在7月1日发现数据库后立即发送了一份关于数据事件的负责任的披露通知。在收到通知后数小时内,公众对数据的访问受到限制。然而,Digital Point从未回复过最初的数据泄露通知或后续请求。截至本出版物发布时,我们尚未收到Digital Point的任何评论或回复。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注