科技獨角獸 Dave 被爆安全漏洞，750 萬用戶數(shù)據(jù)被免費下載

技術(shù)編輯：芒果果丨發(fā)自 思否編輯部
SegmentFault 思否報道丨公眾號：SegmentFault

前有米高梅 1.4 億用戶信息泄露，后有推特賬號被大規(guī)模入侵，許多人的個人隱私已經(jīng)被安全漏洞撕開保護層，直接暴露在光天化日之下。

這不，數(shù)字銀行應(yīng)用的科技獨角獸 Dave 又被爆出安全漏洞，750 萬用戶數(shù)據(jù)在黑客論壇被公開下載。

Dave 承認(rèn)安全漏洞，泄露 750 萬用戶信息

此前，一名黑客在一個公共論壇上公布了 Dave 的 7516625 名用戶的詳細(xì)信息。安全漏洞曝光后，Dave 解釋說，這次的安全漏洞來自于前商業(yè)伙伴 Waydev 的網(wǎng)絡(luò)，是一個工程團隊使用的分析平臺。

Dave 的以為發(fā)言人稱，“由于 Dave 的前第三方服務(wù)提供商 Waydev 公司遭到入侵，一個惡意團體最近在未經(jīng)授權(quán)的情況下訪問了 Dave 的某些用戶數(shù)據(jù)?！?/span>

目前，Dave 已經(jīng)堵住了黑客的訪問入口，并正在通知客戶此事件，Dave 的應(yīng)用程序密碼在暴露后也被重置。

Dave 方面表示，“意識到此事后，公司立即展開了調(diào)查，目前調(diào)查仍在進(jìn)行中，并且正在與執(zhí)法部門協(xié)調(diào)，包括與 FBI 合作調(diào)查聲稱已破解密碼并嘗試出售 Dave 用戶數(shù)據(jù)的黑客。”Dave 還請來了網(wǎng)絡(luò)安全公司 CrowdStrike 協(xié)助調(diào)查。

黑客論壇上發(fā)布 Dave 用戶數(shù)據(jù)

一位了解到 Dave 用戶數(shù)據(jù)泄露的人士向外媒透露，有黑客正在 RAID 上提供 Dave 應(yīng)用的用戶數(shù)據(jù)，RAID 是一個黑客論壇，以黑客泄露數(shù)據(jù)庫的首選場所而聞名。

這次泄露 Dave 用戶數(shù)據(jù)的黑客也非常有名，是名叫 ShinyHunters 的黑客組織（或個人），ShinyHunters 的“戰(zhàn)績”還包括出售過 包括 Mathway、 Tokopedia、 Wishbone 等其他公司的數(shù)據(jù)。

Dave 的用戶數(shù)據(jù)目前在黑客論壇上提供免費下載，論壇成員使用積分就可以解鎖下載鏈接。

這 750 萬用戶數(shù)據(jù)中，包含大量信息，比如用戶的真實姓名、電話號碼、電子郵件、出生日期和家庭地址，甚至包括用戶的社會安全號碼。但 Dave 說，這些細(xì)節(jié)是加密的。外媒獲得數(shù)據(jù)副本后證實了這一點。

這些數(shù)據(jù)的密碼也是加密的，使用 bcrypt 進(jìn)行散列，bcrypt 是一種散列函數(shù)，可以防止黑客查看明文密碼。

Dave 方面說，目前，他們沒有證據(jù)表明黑客利用這些數(shù)據(jù)進(jìn)入用戶賬號執(zhí)行了任何未經(jīng)授權(quán)的操作。

Dave 750 萬用戶的數(shù)據(jù)已經(jīng)在黑客論壇上被公開免費下載，雖然目前還未發(fā)生入侵賬戶進(jìn)行操作的情況，但數(shù)據(jù)泄露帶來的隱患是無法預(yù)料的。

數(shù)字化時代，個人信息只能靠著一串串?dāng)?shù)字和字符保護，數(shù)據(jù)安全關(guān)乎每個人。安全漏洞頻發(fā)，一味的在漏洞曝光后“堵住”入口只是亡羊補牢，防患于未然才是上策。

-?END -