Trakt警告用戶2014年發生的密碼洩露

每隔一段時間， 數以萬計的用戶名和密碼的大量數據庫都會上網，我們大多數人都不禁想知道黑客如何收集如此龐大的數據量，似乎沒有人注意到。好吧，週三，一家名為Trakt的服務提供商承認它遭遇了數據洩露，而其周圍的細節可能只是讓我們對這些巨大的數據轉儲是如何形成的一個小小的洞察力。

Trakt是一個在線平台，可讓您跟踪您關注和想要觀看的電影和電視節目。它可以在許多不同的平台上運行，幾年前，其創始人Justin Nemeth 告訴福布斯 ，它使用最新潮的技術，機器學習，為您提供有關您可能喜歡的電視節目和電影的建議。對於相對適度的月度訂閱，您可以購買具有其他功能的VIP計劃。

Trakt可能不是那裡最知名的名字，但是如果你在Twitter上看到#trakt話題標籤 ，你就會看到每一分鐘，有人正在使用該服務告訴全世界他們正在觀看什麼。換句話說，有很多用戶可能想知道Trakt週三所說的話。

Trakt是數據洩露事件的受害者

該公司決定不發布官方聲明，但這種新聞永遠不會被包攬。在Trakt開始向用戶通報此事件後不久，人們開始分享他們收到的內容。由於Trakt沒有透露任何進一步的信息，所以我們必須使用電子郵件中的截圖 。

首先，我們應該說VIP用戶可以保持冷靜。他們的財務細節沒有受到影響，因為他們是由第三方支付處理器處理和存儲的。你可能會說，這也是一樣，因為當信用卡數據受到威脅時，盡快通知持卡人是很重要的。可以說，在違規後不會立即通知使用他們的卡進行Trakt訂閱的人。

Trakt於2014年遭到破壞

事件恰好發生在四年前，即2014年12月。顯然，這些歹徒通過PHP漏洞進入並在那里呆到2015年1月，當時Trakt將他們的基礎設施遷移到一個新平台，並在不知不覺中堵塞了安全漏洞。當他們進入時，黑客設法竊取了姓名，電子郵件地址，用戶名，位置數據和“加密密碼”。特拉克沒有說有多少人受到影響，但是他們注意到他們“只是最近才”了解到這一事件，並且調查正在進行中，這意味著我們將來可能會看到更多新聞。

這只是一次違規。現在想想人們仍然不知道的數百起類似事件。這就是上週發現的龐大數據庫的情況。然而，它們是否有用在很大程度上取決於被破壞的服務如何存儲用戶的密碼. 可悲的是，有證據表明，在這個特殊方面，Trakt在事件發生時並沒有做得那麼好。

密碼存儲完全不同

正如我們已經提到的，Trakt說它以“加密”格式存儲人們的密碼。經驗告訴我們，這可能意味著密碼確實是加密的，但也可能意味著它們被散列。無論哪種方式，Trakt的管理層似乎都明白密碼沒有正確存儲。

所有受影響的用戶都收到了帶有密碼重置鏈接的電子郵件，並被要求在可能已重複使用的網站上進行更改。有了這個，Trakt基本上承認密碼沒有安全存儲。這很可能意味著數據現在處於我們最近談到的巨大轉儲之一。

值得慶幸的是，關閉漏洞的2015年遷移也帶來了“更安全的密碼存儲算法”，這意味著2015年1月之後註冊的人應該是安全的。至少那是理論。