信息來源:cnBeta
據(jù)外媒 ZDNet 報(bào)道����,Mega —— 這家于新西蘭成立并提供在線云存儲(chǔ)和文件托管服務(wù)的公司���,目前被發(fā)現(xiàn)其平臺(tái)中有成千上萬的帳號(hào)憑證信息已在網(wǎng)上被公開發(fā)布��。被泄露的信息以文本文件形式提供�����,據(jù)了解這份文本文件包含超過 15,500 條用戶名��、密碼和文件名的數(shù)據(jù)���,這意味著這些帳號(hào)都曾出現(xiàn)異常登錄的情況,并且?guī)ぬ?hào)中的文件名也被爬取了�。
這份文本文件最早由 Digita Security 公司的首席研究官和聯(lián)合創(chuàng)始人 Patrick Wardle 于6月份在惡意軟件分析網(wǎng)站 VirusTotal 上發(fā)現(xiàn),而這份文件是在幾個(gè)月前由一名據(jù)稱在越南的用戶上傳的����。
Wardle 提供的數(shù)據(jù)截圖
ZDNet 表示他們已驗(yàn)證這些帳號(hào),確認(rèn)這些數(shù)據(jù)來自 Mega����,通過聯(lián)系多位用戶,還確定這些電子郵件�����、密碼和一些文件都是在 Mega 上使用的。
據(jù)"Have I Been Pwned"網(wǎng)站的管理員 Troy Hunt 分析��,這些數(shù)據(jù)并不是通過直接入侵 Mega 而獲取的��,而是被撞庫了�����。他說文件中 98% 的電子郵件地址已經(jīng)存在于他的數(shù)據(jù)庫中(于先前的漏洞中收集)�����。ZDNet 也表示��,在他們聯(lián)系的人中�,有五人說他們?cè)诓煌木W(wǎng)站上使用過相同的密碼。
目前還不知道是誰創(chuàng)建的這份列表�����,也不知道這些數(shù)據(jù)是如何被爬取到的��。雖然 Mega 提供端到端加密��,但登錄時(shí)沒有使用雙因素身份認(rèn)證方式����,因此攻擊者只需使用登錄憑據(jù)便可登錄每個(gè)帳戶,并抓取帳號(hào)中文件的文件名�����。
Mega 董事長 Stephen Hall 表示���,Mega 不能通過檢查文件內(nèi)容來充當(dāng)審查員的角色�,因?yàn)樗诒簧蟼鞯?Mega 之前已在用戶的設(shè)備上被加密��,除了在技術(shù)上不可行之外��,Mega 和其他主要云存儲(chǔ)提供商實(shí)際上也做不到���,畢竟每秒上傳 100 多個(gè)文件�����。
這不是 Mega 第一次遇到安全問題����。2016年�,黑客聲稱通過利用其服務(wù)器中的安全漏洞獲取了內(nèi)部 Mega 文檔��。黑客還表示獲取了與管理帳戶關(guān)聯(lián)的七個(gè)電子郵件地址�。
Stephen Hal 表示當(dāng)時(shí)沒有任何用戶數(shù)據(jù)遭到破壞���。
