信息來源:cnBeta
據外媒 ZDNet 報道,Mega —— 這家于新西蘭成立并提供在線云存儲和文件托管服務的公司����,目前被發(fā)現(xiàn)其平臺中有成千上萬的帳號憑證信息已在網上被公開發(fā)布。被泄露的信息以文本文件形式提供���,據了解這份文本文件包含超過 15,500 條用戶名�、密碼和文件名的數據��,這意味著這些帳號都曾出現(xiàn)異常登錄的情況�,并且?guī)ぬ栔械奈募脖慌廊×恕?
這份文本文件最早由 Digita Security 公司的首席研究官和聯(lián)合創(chuàng)始人 Patrick Wardle 于6月份在惡意軟件分析網站 VirusTotal 上發(fā)現(xiàn)���,而這份文件是在幾個月前由一名據稱在越南的用戶上傳的��。
Wardle 提供的數據截圖
ZDNet 表示他們已驗證這些帳號�,確認這些數據來自 Mega,通過聯(lián)系多位用戶����,還確定這些電子郵件、密碼和一些文件都是在 Mega 上使用的�����。
據"Have I Been Pwned"網站的管理員 Troy Hunt 分析���,這些數據并不是通過直接入侵 Mega 而獲取的����,而是被撞庫了�����。他說文件中 98% 的電子郵件地址已經存在于他的數據庫中(于先前的漏洞中收集)����。ZDNet 也表示,在他們聯(lián)系的人中�����,有五人說他們在不同的網站上使用過相同的密碼。
目前還不知道是誰創(chuàng)建的這份列表�����,也不知道這些數據是如何被爬取到的���。雖然 Mega 提供端到端加密�����,但登錄時沒有使用雙因素身份認證方式���,因此攻擊者只需使用登錄憑據便可登錄每個帳戶,并抓取帳號中文件的文件名���。
Mega 董事長 Stephen Hall 表示��,Mega 不能通過檢查文件內容來充當審查員的角色�����,因為它在被上傳到 Mega 之前已在用戶的設備上被加密,除了在技術上不可行之外����,Mega 和其他主要云存儲提供商實際上也做不到�,畢竟每秒上傳 100 多個文件�。
這不是 Mega 第一次遇到安全問題。2016年��,黑客聲稱通過利用其服務器中的安全漏洞獲取了內部 Mega 文檔���。黑客還表示獲取了與管理帳戶關聯(lián)的七個電子郵件地址�����。
Stephen Hal 表示當時沒有任何用戶數據遭到破壞�����。
