信息來源:cnBeta
據(jù)外媒 ZDNet 報道�����,Mega —— 這家于新西蘭成立并提供在線云存儲和文件托管服務(wù)的公司����,目前被發(fā)現(xiàn)其平臺中有成千上萬的帳號憑證信息已在網(wǎng)上被公開發(fā)布�。被泄露的信息以文本文件形式提供,據(jù)了解這份文本文件包含超過 15,500 條用戶名��、密碼和文件名的數(shù)據(jù)��,這意味著這些帳號都曾出現(xiàn)異常登錄的情況,并且?guī)ぬ栔械奈募脖慌廊×恕?
這份文本文件最早由 Digita Security 公司的首席研究官和聯(lián)合創(chuàng)始人 Patrick Wardle 于6月份在惡意軟件分析網(wǎng)站 VirusTotal 上發(fā)現(xiàn)�����,而這份文件是在幾個月前由一名據(jù)稱在越南的用戶上傳的����。
Wardle 提供的數(shù)據(jù)截圖
ZDNet 表示他們已驗證這些帳號��,確認(rèn)這些數(shù)據(jù)來自 Mega�����,通過聯(lián)系多位用戶���,還確定這些電子郵件�、密碼和一些文件都是在 Mega 上使用的�。
據(jù)"Have I Been Pwned"網(wǎng)站的管理員 Troy Hunt 分析,這些數(shù)據(jù)并不是通過直接入侵 Mega 而獲取的�����,而是被撞庫了���。他說文件中 98% 的電子郵件地址已經(jīng)存在于他的數(shù)據(jù)庫中(于先前的漏洞中收集)����。ZDNet 也表示,在他們聯(lián)系的人中���,有五人說他們在不同的網(wǎng)站上使用過相同的密碼�。
目前還不知道是誰創(chuàng)建的這份列表���,也不知道這些數(shù)據(jù)是如何被爬取到的����。雖然 Mega 提供端到端加密����,但登錄時沒有使用雙因素身份認(rèn)證方式,因此攻擊者只需使用登錄憑據(jù)便可登錄每個帳戶�,并抓取帳號中文件的文件名。
Mega 董事長 Stephen Hall 表示�����,Mega 不能通過檢查文件內(nèi)容來充當(dāng)審查員的角色,因為它在被上傳到 Mega 之前已在用戶的設(shè)備上被加密���,除了在技術(shù)上不可行之外�,Mega 和其他主要云存儲提供商實際上也做不到���,畢竟每秒上傳 100 多個文件����。
這不是 Mega 第一次遇到安全問題���。2016年,黑客聲稱通過利用其服務(wù)器中的安全漏洞獲取了內(nèi)部 Mega 文檔�。黑客還表示獲取了與管理帳戶關(guān)聯(lián)的七個電子郵件地址。
Stephen Hal 表示當(dāng)時沒有任何用戶數(shù)據(jù)遭到破壞�。
