这家社交网站奖励盗走其2000万用户信息的黑客
作者: 日期:2015年02月13日 阅:2,313

IMG_4273.JPG从俄罗斯社交网站Topface盗取2千万用户凭据的黑客,不仅没有被控告还得到了一份数额不小的酬劳。因为他“找到了”会导致灾难性数据泄露后果的漏洞。

这种神转折在其他任何国家发生都是不可思议的,不过Topface称修补这个漏洞将会一劳永逸地解决事件,因而才做出付款给黑客的举动。

此事件中的黑客曾试图在一家犯罪论坛上兜售那些偷来的数据,正是在那家论坛上,数据泄露第一次被全厂商Easy Solutions发现。如果没被发现,那些数据很可能已经被售出,而Topface则毫无所觉。

Topface的一份声明中说:“他(指黑客)已确认我们的调查结果,并且与Topface达成了协议,不再出售获取的电子邮件地址数据库。”

“鉴于他并没有将数据泄露给任何人,以及无意在将来这么做的事实,我们将不对他提起控诉。此外,作为对他发现漏洞并同意在数据安全领域与我们共同合作的奖励,我们将付给他一笔奖金。”

声明中还证实:泄露的大量数据中包含了电子邮件地址和用户名字,但没有密码或其他帐户信息。

“因为我们不存储用户的任何帐单信息,而且95%的帐户认证是通过社交网站进行,我们确信,第三方获取不到用户的其他任何信息。”

作为预防措施,通过电子邮件地址登录网站的用户被要求更改他们的密码。

这一回应留下很多疑问盘旋在人们脑海,比如,怎么确认那些数据真的没有外泄。Topface声称这笔交易是作为奖励,但很多人都认为不过是某种形式的赎金而已。想必,如果有人出价更高,Topface也未必就能把数据买回来。

通过改变规则来谋取某种形式的回报的黑客也并非绝无仅有。一个例子就是George Hotz,昵称‘Geohot’。他在2007年因为越狱iPhone和Sony的PSP3而恶名缠身,却在此后被脸谱网于2011年聘为职员。不过,他 并没有在偷取数据后获得钱财,这个类比不太恰如其分。

英国安全专家Graham Cluley在过去一直反对为黑客买单,无论在哪种情况下都反对。对这次事件,他不为所动。

他说:“我的关注点在于,像这样直接付钱给黑客无异于助长其他人有样学样非法入侵系统攫取数据的行为。”

“此事件中的黑客既偷取数据又随后放到网上售卖,已经证明了他们自己那靠不住的道德标准。如果发现了网站或产品的脆弱点,正确的做法是向相关组织通报漏洞所在,并与他们一起修复漏洞。错误的做法则是趁机盗取数百万的凭据然后售卖。”

Topface的用户将近9千2百万,且还在继续增长。看起来并未因黑客入侵事件而受到任何负面影响。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章