我们已经知道rockyou.com的SQL漏洞使得3200万用户密码遭泄露,RockYou把密码以明文的形式存在了数据库里并被入侵者盗走。很不幸 的告诉你现在这件事情变得越来越糟了。 开始RockYou打算对用户隐瞒此事,没有通知用户实际情况,而是申明说是部分的”旧”程序出现了一些问题。于是入侵者以公布一小部分用户资料作为回 应,而且表示已经成功入侵整个数据库的人不止他一个,入侵者都能恨清楚的看到密码”躺”在那里。之所以说事情变得越来越糟了,是因为数据库中还存储了用户 在其他的一些社交网络类型网站的数据,其中就包括用户在MySpace的一些数据,当然还有email账号。
Data UserAccount [32603388]
================
1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com
2|phdlance@gmail.com|mek*****|myspace|1|
3|jennaplanerunner@gmail.com|mek*****|myspace|0|
5|teamsmackage@gmail.com|pro*****|myspace|1|
6|ayul@email.com|kha*****|myspace|1|tagged.com
7|guera_n_negro@yahoo.com|emi*****|myspace|0|
8|beyootifulgirl@aol.com|hol*****|myspace|1|
9|keh2oo8@yahoo.com|cai*****|myspace|1|
10|mawabiru@yahoo.com|pur*****|myspace|1|
11|jodygold@gmail.com|att*****|myspace|1|
12|aryan_dedboy@yahoo.com|iri*****|myspace|0|
13|moe_joe_25@yahoo.com|725*****|myspace|1|
14|xxxnothingbutme@aol.com|1th*****|myspace|0|
15|meandcj069@yahoo.com|too*****|myspace|0|
16|stacey_chim@hotmail.com|cxn*****|myspace|1|
17|barne1en@cmich.edu|ilo*****|myspace|1|
18|reo154@hotmail.com|ecu*****|myspace|1|
19|natapappaslie@yahoo.com|tor*****|myspace|0|
20|ypiogirl@aol.com|tob*****|myspace|1|
21|brittanyleigh864@hotmail.com|bet*****|myspace|1|myspace.com
22|topenga68@aol.com|che*****|myspace|0|
23|marie603412@yahoo.com|cat*****|myspace|0|
24|mellowchick41@aol.com|chu*****|myspace|0|
25|baiko0o@aol.com|may*****|myspace|0|
26|indahamzah84@hotpop.com|lov*****|myspace|0|
入侵者使用的Sql注入技术是一种已经在书本上详细记载了十多年的技术,脆弱的漏洞被非常基础的手段入侵,却酿成了灾难性的影响,现在RockYou、用户都认识到了事件的严重性了。奇怪的是为什么这么一块香甜可口的瑞士奶酪(对于安全漏洞和不良行为来说)没有被早点发现,而是现在网站拥有这么多的用户数据后才爆出问题。
RockYou到底哪里出错了呢?
1.简单的密码政策
注册时只要求用户输入长度不小于5位的密码,而且没有对大小写混合、特殊字符的要求,这实际上就是在鼓励用户使用简单的密码。
