用Kindle吗?亚马逊可能泄露了你的密码

admin 2022年5月11日06:21:06安全新闻评论11 views1837字阅读6分7秒阅读模式

近年来,互联网安全事件呈上升态势,无论是从数量还是复杂程度。数据泄露就是一个例子。根据安全研究中心Ponemon Institute对全球283公司的研究,每条被盗记录会给公司带来158美元的损失。

每天都不断地有数据泄露事件发生,这次轮到亚马逊了!

Twitter用户0x2Taylor前天刚刚宣布攻入了亚马逊的一台服务器,据说这台服务器上包含80000多名Kindle用户的登录信息,或者叫登录凭证。

这算是个重磅消息了吧?有Kindle设备的小伙伴不在少数,下面这则消息很值得关注。

用Kindle吗?亚马逊可能泄露了你的密码


“我警告过亚马逊,他们不理我╭(╯^╰)╮”


这名黑客为了证明自己的确拿下了这台服务器,将这部分Kindle用户的登录信息公布在了Mega网盘上,提供下载,数据尺寸近600MB。里面包含了亚马逊Kindle用户的用户名、加密的密码、用户所在城市、邮政编码、电话号码、最后登录IP地址。

0x2Taylor表示他自己已经亲自确认过这些身份信息的有效性。

不过其实原本他也不想这样的。几天以前他就把漏洞汇报给了亚马逊,并且向亚马逊索要700美元的费用,但亚马逊方面根本就没有理睬他。

用Kindle吗?亚马逊可能泄露了你的密码

泄露数据截图

其实索要费用本也无可厚非,他自己也说:“亚马逊是家大公司,他们本来就应该花钱做安全防护工作。我曾经试过单独联系他们,但他们根本就无视我的警告。”“既然这样,我也真的不想帮他们了。”

而且的确在公布这份数据的下载地址之前,0x2Taylor也有在Twitter上发出相应的截图。

他还非常热心地建议各位Kindle用户,尽快修改亚马逊账户密码,还提醒用户应该定期进行密码修改。实际上,这位名叫0x2Taylor的黑客就是Alton Sterling枪击案之后网络攻击巴吞鲁日(Baton Rouge)警方,获取数据的那名黑客。


可是,这些数据的确是有效的吗?


国外媒体Security Affairs为了确认网上这些登录信息的有效性,联系了Cylance SPEAR团队的安全研究人员Brian Wallace。

Wallace是这么评价这份数据的:

“作为一名安全研究人员,同时也是亚马逊的用户,我对这次事件真的非常好奇。根据我对这些数据的检查,我发现这些不大像是一般用户数据。其中的用户账户邮件地址格式非常统一,都由姓和名,外加一串随机字符组成。

而且这些邮箱地址,后缀就只有gmail.com、yahoo.com和hotmail.com。我算了一下,这三个域名分别占到所有邮箱地址的1/3。这对于一般的用户数据而言是不太正常的,但如果是针对这三个域名随机选配,那就正常了。

这个证据应该能表明,这些数据是生成的,于是我又持续去找有关这些数据根本就不是合法用户信息的证据。

这些数据还提供用户所谓最后登陆IP。从我的分析来看,其中有大量的IP地址是属于一家名叫ColoCrossing的公司的,这家公司提供Datacenter-Aa-a-Service服务。的确某些亚马逊用户连接会是来自数据中心,但应该只是极少数,而不会是这么多。

谈到里面的user_agent字段,这个字段理应是由用户最后一次登录所用浏览器提供的,但我感觉这也不像是合法用户行为。和上面谈到的电子邮箱域名一样,这些用户代理信息应该也是从某个列表中随机选取的,所以每一类用户代理信息都差不多的数量。

浏览器这种东西是有市场占比的差异的,有些很流行,有些则用的人很少。

数据中列出的密码也不像普通用户会用到的。所有的密码基本上都包含了随机的大写字母和数字,普通人怎么会用这种密码。的确会有用户选择随机生成的密码,但不至于80000多个用户都这么做吧。

我并没有在Aamazon.com亚马逊官网测试这些账户的有效性,毕竟这可能会带来潜在的安全风险。

基于这些证据,我认为发布的这些数据根本就不是真正的亚马逊用户信息,这些信息应该都是生成的。现在还不清楚这些信息是否是由那位发布信息的人伪造的,还是某个第三方机构。

当前绝大部分媒体报道的部分都是说,亚马逊服务器泄露80000多账户。而现在看来,这些信息的真实性是得打个问号了。亚马逊方面尚未就此做出回应,看样子此事还有了点扑朔迷离的意思。

盒子妹认为,不管这事儿是不是真的,改个密码总是可以的


* 参考来源:securityaffairshackread,FB小编欧阳洋葱编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

用Kindle吗?亚马逊可能泄露了你的密码用Kindle吗?亚马逊可能泄露了你的密码

原文始发于微信公众号(漏洞盒子VulBox):用Kindle吗?亚马逊可能泄露了你的密码

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月11日06:21:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  用Kindle吗?亚马逊可能泄露了你的密码 http://cn-sec.com/archives/980977.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: