偷情網站Ashley Madison遭到自稱為The Impact Team的駭客集團入侵,駭客公布了約40GB的文件,包含Ashley Madison的會員資料庫與程式碼。而近來這些內容陸續讓資安專家拿來進行安全分析,發現該站使用者有大量容易破解的弱密碼,而網站原始碼則內含資料庫金鑰與AWS權杖。
自Ashley Madison外洩的會員資料庫中含有約3600萬名的會員紀錄,但其會員密碼是加密的。資安軟體業者Avast的資深系統工程師Ross Dickey取出其中最早註冊的100萬名會員密碼,然後基於五百大最爛密碼排行榜及1400萬個自rockyou駭客事件外洩的密碼列表,再透過hashcat密碼復原工具企圖還原Ashley Madison用戶密碼,成功找到了逾2.5萬組密碼,由於太多人使用同樣的密碼,所以密碼組合其實只有1064種。
例如有超過6000名用戶以「123456」為密碼,有3000多名使用「password」,有2000名使用「12345」,其他在前二十名排行榜上的密碼還包括「12345678」、「qwerty」、「pussy」、「secret」、「dragon」、「welcome」、「ginger」、「sparky」、「helpme」、「blowjob」、「nicole」、「justin」、「camaro」、「johnson」、「yamaha」、「midnight」、「chris」等。
Dickey說明,此一排行也許有些偏頗,因為他只取出前100萬名的Ashley Madison會員資料進行分析,他們可能很早就註冊該站,尚無太多攸關密碼的安全意識。同時再度呼籲網路使用者應該要選擇強密碼,以避免太容易被破解或猜測。
除了部份加密的密碼只要透過簡單的工具就能被破解之外,資訊安全顧問Gabor Szathmari則在外洩的Ashley Madison網站程式碼中發現各種憑證,包含資料庫密碼、AWS憑證、Twitter OAuth憑證、SSL憑證私鑰,以及其他的應用程式憑證等。
Szathmari說,把機密數據存放在原始碼中是個高風險的架構,這些暗藏在程式碼中的資料庫憑證與AWS權杖很可能簡化了The Impact Team的攻擊,最終導致Ashley Madison的資料全部外洩。他奉勸開發人員使用強大的資料庫密碼,而且千萬不要把機密資訊存放在原始碼中。
此外,先前McAfee資安公司創辦人約翰麥考菲(John McAfee)也曾公開他對Ashley Madison被駭事件的研究指出,該網站根本沒有被駭,該事件是由內賊所為,而且是名女性。(編譯/陳曉莉)
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15